Gehen Sie davon aus, dass Sie gehackt werden!

Assume Breach

Erkennen Sie die Ausbreitung in Ihrem Netzwerk?

Assume Breach ist eine Sicherheitsstrategie, die davon ausgeht, dass ein Angriff auf ein System oder eine Organisation unvermeidlich ist und dass es daher wichtig ist, die Auswirkungen eines solchen Angriffs so weit wie möglich zu minimieren. Die Idee hinter Assume Breach ist, dass es besser ist, sich auf die Verteidigung von Angriffen vorzubereiten, anstatt davon auszugehen, dass ein System vollständig sicher ist.

Welche Maßnahmen umfasst Assume Breach?

Bei der Durchführung eines Assume Breach Assessment gehen beauftragte Hacker ähnlich vor, wie bei einem Red Teaming Assessment.

Im Unterschied zum Red Teaming, erhalten die Angreifer jedoch bereits einen initialen Zugang zum internen Netzwerk, beispielsweise über einen kompromittierten VPN-Zugang oder eine Malware, die auf einem Rechner ausgeführt wird.

Der Grundgedanke ist: Nur weil ein Netzwerk zum aktuellen Zeitpunkt sicher erscheint, ist die Wahrscheinlichkeit hoch, dass Angreifer dennoch auf die ein oder andere Weise einen initialen Zugriff erlangen können.

Was ist das Ziel von Assume Breach?

Das Ziel eines Assume Breach Assessment ist die zielgerichtete Analyse, ob ein Angreifer, der sich im internen Netzwerk versucht auszubreiten, erkannt wird und effektive Maßnahmen ergriffen werden, die eine weitere Ausbreitung und den Abfluss von Daten verhindert.

Typischer Ablauf eines realen Angriffs auf Unternehmen

Ein Angreifer erhält einen initialen Zugang zum Unternehmen

Ein Mitarbeiter nutzt an mehreren Stelle das gleiche Passwort. Ein Soziales Netzwerk, bei dem er sich mit der Unternehmens-Emailadresse angemeldet hat, erleidet ein Datenleck, wodurch das Passwort des Mitarbeiters bekannt wird. Dies nutzt eine Hackergruppierung aus und verschafft sich über den VPN des Unternehmens Zugang zum internen Netzwerk.

Keine Alarme!

Da sich der Mitarbeiter regelmäßig selbst über den VPN einwählt, ist das Verhalten der Angreifer bisher nicht auffällig. Sie bekommen Zugriff auf einen Host, auf dem der Mitarbeiter Nutzerrechte hat, jedoch auf unterschiedliche Netzwerk-Shares zugreifen kann.

Eskalation der Privilegien!

Die Hacker können ihre Rechte auf dem Host eskalieren und werden zum lokalen Administrator. Dies ermöglicht es den Angreifern zusätzliche Schadsoftware unerkannt nachzuladen und weitere Kennwörter und Authorisierungstokens zu erlangen.

Ausbreitung im Netzwerk

Durch die zusätzlichen Nutzerinformationen und Authorisierungstoken können sich die Angreifer immer weiter unerkannt im Netzwerk ausbreiten. Sie nutzen dabei nicht nur Hackertools, sondern auch auf den Systemen verfügbare Programme, die von keinen Anti-Viren-Programmen als schädlich erkannt werden.

Zugriff auf das Herzstück des Unternehmens

Durch eine Verkettung von Rechteeskalationen erlangen die Angreifer zugriff auf den Domaincontroller und damit die Hoheit über alle Rollen und Rechte-Vergaben. Auch der Zugriff auf den Backup-Server kann nun ungestört erfolgen. Die Angreifer haben das Unternehmen übernommen und beginnen damit, Daten auszuleiten.

VERSCHLÜSSELUNG!

Nachdem umfangreiche Datenmengen mit sensiblen Unternehmensinterna aus dem Unternehmen abgeflossen sind, schlagen die Hacker zu und verschlüsseln sämtliche Dateien auf den Rechnern im Unternehmen. Sie fordern eine hohe Summe in Kryptowährungen, bevor der Schlüssel zur Entschlüsselung preisgegeben wird.