Assume Breach
Gehen Sie davon aus, dass Sie gehackt werden!
Erkennen Sie die Ausbreitung in Ihrem Netzwerk?
Assume Breach ist eine Sicherheitsstrategie, die davon ausgeht, dass ein Angriff auf ein System oder eine Organisation unvermeidlich ist und dass es daher wichtig ist, die Auswirkungen eines solchen Angriffs so weit wie möglich zu minimieren. Die Idee hinter Assume Breach ist, dass es besser ist, sich auf die Verteidigung von Angriffen vorzubereiten, anstatt davon auszugehen, dass ein System vollständig sicher ist.
Welche Maßnahmen umfasst Assume Breach?
Bei der Durchführung eines Assume Breach Assessments gehen beauftragte Hacker ähnlich vor wie bei einem Red Teaming Assessment.
Im Unterschied zum Red Teaming, erhalten die Angreifer jedoch bereits einen initialen Zugang zum internen Netzwerk, beispielsweise über einen kompromittierten VPN-Zugang oder eine Malware, die auf einem Rechner ausgeführt wird.
Der Grundgedanke ist: Nur weil ein Netzwerk zum aktuellen Zeitpunkt sicher erscheint, ist die Wahrscheinlichkeit dennoch hoch, dass Angreifer auf die ein oder andere Weise einen initialen Zugriff erlangen können.
Was ist das Ziel von Assume Breach?
Das Ziel eines Assume Breach Assessments ist die zielgerichtete Analyse, ob ein Angreifer, der sich im internen Netzwerk versucht auszubreiten, erkannt wird und effektive Maßnahmen ergriffen werden, die eine weitere Ausbreitung und den Abfluss von Daten verhindern.
Typischer Ablauf eines realen Angriffs auf Unternehmen
Ein Angreifer erhält einen initialen Zugang zum Unternehmen
Ein Mitarbeiter nutzt an mehreren Stelle das gleiche Passwort. Ein soziales Netzwerk, bei dem er sich mit der Unternehmens-Emailadresse angemeldet hat, erleidet ein Datenleck, wodurch das Passwort des Mitarbeiters bekannt wird. Dies nutzt eine Hackergruppierung aus und verschafft sich über den VPN des Unternehmens Zugang zum internen Netzwerk.
Keine Alarme!
Da sich der Mitarbeiter regelmäßig selbst über den VPN einwählt, ist das Verhalten der Angreifer bisher nicht auffällig. Sie bekommen Zugriff auf einen Host, auf dem der Mitarbeiter Nutzerrechte hat und auf unterschiedliche Netzwerk-Shares zugreifen kann.
Eskalation der Privilegien!
Die Hacker können ihre Rechte auf dem Host eskalieren und werden zum lokalen Administrator. Dies ermöglicht es den Angreifern, zusätzliche Schadsoftware unerkannt nachzuladen und weitere Kennwörter und Authorisierungstokens zu erhalten.
Ausbreitung im Netzwerk
Durch die zusätzlichen Nutzerinformationen und Authorisierungstokens können sich die Angreifer immer weiter unerkannt im Netzwerk ausbreiten. Sie nutzen dabei nicht nur Hackertools, sondern auch auf den Systemen verfügbare Programme, die von keinen Anti-Viren-Programmen als schädlich erkannt werden.
Zugriff auf das Herzstück des Unternehmens
Durch eine Verkettung von Rechteeskalationen erlangen die Angreifer Zugriff auf den Domaincontroller und damit die Hoheit über alle Rollen und Rechte-Vergaben. Auch der Zugriff auf den Backup-Server kann nun ungestört erfolgen. Die Angreifer haben das Unternehmen übernommen und beginnen damit, Daten auszuleiten.
VERSCHLÜSSELUNG!
Nachdem umfangreiche Datenmengen mit sensiblen Unternehmensinterna aus dem Unternehmen abgeflossen sind, schlagen die Hacker zu und verschlüsseln sämtliche Dateien auf den Rechnern im Unternehmen. Sie fordern eine hohe Summe in Kryptowährungen, bevor der Schlüssel zur Entschlüsselung preisgegeben wird.
Wir dachten, dass wir mit unserer Endpoint-Protection und unserem Managed SOC Anbieter hervorragend aufgestellt wären. Laokoon Security hat uns vor Augen geführt, wo unsere blinden Flecken waren – und uns zielführende Vorschläge angeboten, wie wir diese beseitigen.
CISO eines mittelständischen Unternehmens
Assume Breach
Wann macht ein Assume Breach Assessment für mein Unternehmen Sinn?
- Sie möchten wissen, ob Sie laufende Angriffe zuverlässig erkennen.
- Sie wollen sich nicht nur auf Theorien und Versprechen von Herstellern verlassen.
- Sie haben bestenfalls bereits Penetrationstests gemacht und haben einen Überblick über Ihre Assets.
Die Kollegen von Laokoon waren für uns bei wirklich jeder Frage umgehend zur Stelle und haben unkompliziert unterstützt.
Teamleiter Entwicklung