Mittelalterliche Burgen galten Jahrhunderte lang als uneinnehmbare Festungen, dank ihres akribischen Designs. In der digitalen Ära spiegelt sich dieses mittelalterliche Wissen auch in der Cybersicherheit wider. Ähnlich wie Burgen mit strategischer Anordnung, um Angriffen standzuhalten, ist die Verteidigung in der Tiefe (Defense-in-Depth) die moderne Variante – ein mehrschichtiger Ansatz mit strategischer Redundanz und einer Mischung aus passiven und aktiven Sicherheitskontrollen.
Allerdings kann die sich wandelnde Bedrohungslandschaft im Bereich der Cybersicherheit selbst die am besten geschützten Verteidigungen herausfordern. Trotz der weit verbreiteten Einführung der Defense-in-Depth-Strategie halten sich Cyberbedrohungen hartnäckig. Glücklicherweise kann die Defense-in-Depth-Strategie durch den Einsatz von Breach and Attack Simulation (BAS) ergänzt werden, einem automatisierten Tool, das jede Sicherheitskontrolle in jeder Ebene bewertet und verbessert.
Defense-in-Depth: Falsches Sicherheitsgefühl durch Schichtung
Die Defense-in-Depth-Strategie, auch als mehrschichtige Verteidigung bekannt, wird seit den frühen 2000er Jahren von Organisationen weitgehend eingesetzt. Sie basiert auf der Annahme, dass Angreifer mehrere Verteidigungsschichten überwinden müssen, um wertvolle Vermögenswerte zu gefährden. Da kein einzelner Sicherheitsmechanismus einen absoluten Schutz gegen die Vielzahl von Cyberbedrohungen bieten kann, ist die Defense-in-Depth zur Norm für Organisationen weltweit geworden. Aber wenn heute jede Organisation diese Strategie verwendet, warum sind Sicherheitsverletzungen dann immer noch so häufig?
Letztendlich liegt der Hauptgrund darin, dass ein falsches Sicherheitsgefühl durch die Annahme entsteht, dass Schichtlösungen immer wie beabsichtigt funktionieren. Organisationen sollten jedoch nicht all ihr Vertrauen in mehrschichtige Verteidigungen setzen – sie müssen sich auch über neue Angriffsvektoren, mögliche Konfigurationsabweichungen und die komplexe Natur der Verwaltung von Sicherheitskontrollen auf dem Laufenden halten. Angesichts der sich entwickelnden Cyberbedrohungen ist ein unbegründetes Vertrauen in Verteidigungsschichten eine Sicherheitsverletzung, die nur darauf wartet, zu passieren.
Perfektionierung der Defense-in-Depth-Strategie
Die Defense-in-Depth-Strategie fördert den Einsatz mehrerer Sicherheitskontrollen auf verschiedenen Ebenen, um Cyberbedrohungen zu verhindern und zu erkennen. Viele Organisationen modellieren diese Ebenen um vier grundlegende Ebenen: Netzwerk-, Host-, Anwendungs- und Datenebenen. Sicherheitskontrollen werden für eine oder mehrere Ebenen konfiguriert, um eine robuste Sicherheitsposition aufrechtzuerhalten. In der Regel verwenden Organisationen IPS- und NGFW-Lösungen auf der Netzwerkschicht, EDR- und AV-Lösungen auf der Host-Schicht, WAF-Lösungen auf der Anwendungsschicht, DLP-Lösungen auf der Datenebene und SIEM-Lösungen auf mehreren Ebenen.
Obwohl dieser allgemeine Ansatz für nahezu alle Verteidigungs-in-Tiefe-Implementierungen gilt, dürfen Sicherheitsteams Sicherheitslösungen nicht einfach nur bereitstellen und vergessen. Tatsächlich umgehen laut dem Blue Report 2023 von Picus 41% der Cyberangriffe Sicherheitskontrollen im Netzwerk. Heutzutage erfordert eine effektive Sicherheitsstrategie ein solides Verständnis der Bedrohungslandschaft und regelmäßige Tests der Sicherheitskontrollen gegen echte Cyberbedrohungen.
Die Kraft der Automation nutzen: Einführung von BAS in die Defense-in-Depth-Strategie
Das Verständnis der Bedrohungslandschaft einer Organisation kann aufgrund der Vielzahl von Cyberbedrohungen herausfordernd sein. Sicherheitsteams müssen täglich Hunderte von Bedrohungsberichten durchsuchen und entscheiden, ob jede Bedrohung ihr Unternehmen ins Visier nehmen könnte. Darüber hinaus müssen sie ihre Sicherheitskontrollen gegen diese Bedrohungen testen, um die Leistung ihrer Defense-in-Depth-Strategie zu bewerten. Selbst wenn Organisationen jeden Nachrichtenbericht manuell analysieren und eine traditionelle Risikobewertung durchführen könnten (wie Penetrationstests und Red Teaming), würde dies zu viel Zeit und zu vielen Ressourcen in Anspruch nehmen. Kurz gesagt: Die heutige Bedrohungslandschaft im Bereich der Cybersicherheit ist ohne Automation nicht zu bewältigen.
Wenn es um die Prüfung von Sicherheitskontrollen und Automation geht, sticht ein bestimmtes Tool unter den anderen heraus: Breach and Attack Simulation (BAS). BAS hat seit seinem ersten Auftritt in Gartners Hype Cycle for Threat-Facing Technologies im Jahr 2017 einen wichtigen Platz im Bereich der Sicherheitsoperationen vieler Organisationen eingenommen. Eine ausgereifte BAS-Lösung bietet automatisierte Bedrohungsintelligenz und Bedrohungssimulation für Sicherheitsteams, um ihre Sicherheitskontrollen zu bewerten. Wenn BAS-Lösungen mit der Defense-in-Depth-Strategie integriert werden, können Sicherheitsteams potenzielle Sicherheitslücken proaktiv identifizieren und beheben, bevor bösartige Akteure sie ausnutzen können. BAS arbeitet mit verschiedenen Sicherheitskontrollen auf Netzwerk-, Host-, Anwendungs- und Datenebenen zusammen und ermöglicht es Organisationen, ihre Sicherheitsposition ganzheitlich zu bewerten.
Vom LLM unterstützte Cyber-Bedrohungsintelligenz
Wenn Automation in die Defense-in-Depth-Strategie integriert wird, ist der erste Schritt die Automatisierung des Prozesses der Cyber-Bedrohungsintelligenz (CTI). Die Operationalisierung von Hunderten von Bedrohungsberichten kann mithilfe von Deep-Learning-Modellen wie ChatGPT, Bard und LLaMA automatisiert werden. Moderne BAS-Tools können sogar ihre eigene LLM-gestützte CTI zur Verfügung stellen und sich mit externen CTI-Anbietern integrieren, um die Bedrohungslandschaft der Organisation zu analysieren und zu verfolgen.
Simulation von Angriffen auf der Netzwerkebene
Als grundlegende Verteidigungslinie wird die Netzwerkebene oft von Angreifern mit Infiltrationsversuchen getestet. Die Sicherheit dieser Ebene wird anhand ihrer Fähigkeit bewertet, bösartigen Datenverkehr zu erkennen und zu blockieren. BAS-Lösungen simulieren bösartige Infiltrationsversuche, die ‚wild‘ beobachtet wurden, und validieren die Sicherheitsposition der Netzwerkebene gegen echte Cyberangriffe.
Bewertung der Sicherheitsposition auf der Host-Ebene
Einzelne Geräte wie Server, Arbeitsstationen, Desktops, Laptops und andere Endpunkte machen einen erheblichen Teil der Geräte auf der Host-Ebene aus. Diese Geräte werden oft mit Malware, Ausnutzung von Schwachstellen und lateralen Bewegungsangriffen angegriffen. BAS-Tools können die Sicherheitsposition jedes Geräts bewerten und die Wirksamkeit der Sicherheitskontrollen auf der Host-Ebene testen.
Ermittlung von Sicherheitslücken in der Anwendungsebene
Öffentlich zugängliche Anwendungen wie Websites und E-Mail-Dienste sind oft der wichtigste, aber am stärksten gefährdete Teil der Infrastruktur einer Organisation. Es gibt unzählige Beispiele für Cyberangriffe, die durch Umgehung einer WAF oder einer harmlos aussehenden Phishing-E-Mail initiiert werden. Fortgeschrittene BAS-Plattformen können feindliche Aktionen nachahmen, um sicherzustellen, dass Sicherheitskontrollen in der Anwendung wie beabsichtigt funktionieren.
Schutz von Daten vor Ransomware und Exfiltration
Der Anstieg von Ransomware- und Datenexfiltrationsangriffen erinnert daran, dass Organisationen ihre eigenen und Kundendaten schützen müssen. Sicherheitskontrollen wie DLPs und Zugriffskontrollen in der Datenebene sichern sensible Informationen. BAS-Lösungen können feindliche Techniken replizieren, um diese Schutzmechanismen rigoros zu testen.
Kontinuierliche Validierung der Defense-in-Depth-Strategie mit BAS
Mit der Weiterentwicklung der Bedrohungslandschaft sollte auch die Sicherheitsstrategie einer Organisation mitwachsen. BAS bietet einen kontinuierlichen und proaktiven Ansatz, um jede Ebene des Defense-in-Depth-Ansatzes zu bewerten. Mit nachgewiesener Widerstandsfähigkeit gegen reale Cyberbedrohungen können Sicherheitsteams darauf vertrauen, dass ihre Sicherheitskontrollen jedem Cyberangriff standhalten können.
Picus Security hat 2013 die Technologie für Breach and Attack Simulation (BAS) entwickelt und seitdem Unternehmen dabei geholfen, ihre Cybersicherheit zu verbessern. Mit der Picus Security Validation Platform kann Ihre Organisation ihre bestehenden Sicherheitskontrollen selbst gegen die ausgeklügeltsten Cyberangriffe stärken. Besuchen Sie picussecurity.com, um eine Demo zu buchen oder unsere Ressourcen wie das Whitepaper „How Breach and Attack Simulation in eine Multi-Layered Defense Strategy passt“ zu erkunden.
Um Ihr Verständnis für sich entwickelnde Cyberbedrohungen zu erweitern, erkunden Sie die Top 10 MITRE ATT&CK-Techniken und verfeinern Sie Ihre Defense-in-Depth-Strategie. Laden Sie noch heute den Picus Red Report herunter.
Hinweis: Dieser Artikel wurde von Huseyin Can Yuceel, Security Research Lead bei Picus Security, verfasst und automatisiert übersetzt.