In einer Attack Simulation wird eine oder mehrere Komponenten einer realen Cyberattacke simuliert und untersucht, wie verwundbar ein Unternehmen für eine bestimmte Form einer Attacke ist. Dies sind Open Source Intelligence (OSINT), Dark Web Research, physische Sicherheit, WLAN Audit und Cyber Attack Bounty.
Falls folgende Fragen in Ihrem Unternehmen noch offen sind, empfiehlt sich eine Attack Simulation:
Sinn des Scoping-Meetings ist es, die Ziele der Attack Simulation zu definieren und genügend Wissen über die zu testenden Umgebung zu transferieren, damit auf deren Basis dann die Offerte erstellt werden kann. Die Fragen drehen sich dabei meistens um die Testszenarien und Rahmenbedingungen.
Auf Basis des Scoping-Meetings wird die Offerte erstellt. Nebst den Zielen, Methoden, Preis und Rahmenbedingungen enthält diese auch einen Durchführungsvorschlag. Dabei ist selbstverständlich nichts in Stein gemeisselt und die Offerte wird gerne den Bedürfnissen angepasst. Verrechnet wird grundsätzlich immer nach tatsächlichem Aufwand.
Im Kick-Off werden die Testdetails mit den verantwortlichen Personen besprochen. Hier sind insbesondere die Definition der genauen Zielumgebung und der exakte Ablauf zentral. Auch die schnelle und reibungslose Kommunikation während des Tests wird in diesem Meeting sichergestellt.
Die Tests werden in enger Koordination mit der verantwortlichen Person durchgeführt und somit sichergestellt, dass es keine bösen Überraschungen gibt. In der zur Verfügung stehenden Zeit werden dann möglichst viele Testdaten gesammelt und allfällige kritische Funde umgehend kommuniziert.
Die gesammelten Daten werden ausgewertet und Massnahmen ausgearbeitet. Die besten Massnahmen nützen nichts, wenn diese nicht umsetzbar sind oder zu viele Ressourcen benötigen. Deshalb wird hier insbesondere die Umsetzbarkeit der Massnahmen in der getesteten Infrastruktur geprüft und allfällige Workarounds werden mit einkalkuliert.
Die Resultate werden zusammengefasst und ausgewertet. Für alle Risiken werden Massnahmen vorgeschlagen und deren Priorität festgehalten. Der Bericht enthält auch Informationen über die eingesetzten Tools und Methoden, so dass diese in Zukunft auch selbst eingesetzt werden könnten.
In einem Abschlussmeeting wird sichergestellt, dass die Resultate und Massnahmen aus dem Test verstanden und umgesetzt werden können. Da Fragen meistens erst bei der Behebung auftauchen, sind wir selbstverständlich für weitere Rückfragen stets erreichbar und geben gerne Auskunft.
Sämtliche Resultate werden in einem Schlussbericht (PDF, Excel und JSON) übermittelt und über die Plattform Mesher zur Verfügung gestellt. Hier beginnt die eigentliche Arbeit. Die Cybersicherheit kann nur erhöht werden, sofern auch Massnahmen umgesetzt werden. Deshalb ist es uns ein zentrales Anliegen, dass die Erkenntnisse aus dem Tests am richtigen Ort im richtigen Format ankommen und Medienbrüche eliminiert werden.
Alle Findings werden von uns gemäss ihrer Eintrittswahrscheinlichkeit und Auswirkung kategorisiert. Nach Bedarf kann auch für jede Schwachstelle zusätzlich der CVSS Score berechnet werden.
Jeder Bericht enthält eine Executive Summary, in welchem die Resultate und empfohlenen Massnahmen auf einer Seite zusammengefasst sind und in Diagrammen veranschaulicht werden.
Über Mesher wird Ihr aktueller Sicherheitslevel erfasst und Sie können den Return on Investment für die unterschiedlichen Massnahmen einsehen. Hier sind auch sämtliche Resultate visualisiert und können dank Integrationen mit bestehenden Tools verknüpft werden. Mit der Plattform können technische Massnahmen direkt mit Tasks den entsprechenden Personen zugeteilt werden und agiles Arbeiten ohne Medienbrüche wird ermöglicht.
Bei einer Attack Simulation kann Social Engineering Teil des Audits sein. Das Ziel bei einem Social Engineering Audit ist es, die Sensibilisierung und Reaktionen der Mitarbeitenden auf Social Engineering Attacken zu überprüfen. Die simulierten Attacken werden dabei realen Angriffen nachempfunden. Entgegen realen Angriffen müssen bei simulierten Angriffen jedoch gesetzliche und moralische Grenzen eingehalten werden. Die persönliche Integrität und das psychische Wohlbefinden der involvierten Personen sollen in keiner Weise durch ein Social Engineering Audit beeinträchtigt werden. Die Resultate werden in einem solchen Audit grundsätzlich nur anonymisiert zur Verfügung gestellt und sollen keinen Rückschluss auf die Identität der einzelnen getesteten Personen und deren Verhalten erlauben.
Im Modul OSINT wird in öffentlich zugänglichen Quellen nach Informationen gesucht, welche auch für einen Angreifer interessant sein können. Dies sind insbesondere Informationen, welche zum Beispiel für einen gezielten Phishing-Angriff verwendet werden könnten. Dies stellt typischerweise auch den ersten Schritt bei realen, gezielten Angriffen dar und das Wissen über preisgegebene Informationen kann helfen, sich als Unternehmen besser auf solche Angriffe vorzubereiten. Auch wenn Informationen, welche mal öffentlich zugänglich waren, nicht mehr so einfach entfernt werden können (Internet Archive) kann der Zugang zu solchen Informationen allenfalls erschwert werden und die Messlatte für einen Angreifer höher gelegt werden. Auch kann dieses Modul dabei helfen, die Awareness für das Preisgeben von solchen Informationen zu erhöhen.
Geleakte Daten und Passwörter landen häufig im Dark Web zum Verkauf. Oft werden diese dann von anderen kriminellen Gruppen gekauft und monetarisiert, zum Beispiel durch Eskalieren der Privilegien und dem Verschlüsseln und Verlangen von Lösegeld (Ransomware). Dies zeigt auch die immer mehr verbreitete Spezialisierung der kriminellen Organisationen und die Verwendung des Ransomware-as-a-Service-Modells. Das heisst die einzelnen Schritte müssen nicht zwingend von der gleichen kriminellen Organisation durchgeführt werden, was häufig zu zeitlichen Unterbrüchen führt. So bietet sich die Chance, allfällige Daten- und Passwörter-Leaks zu erkennen, bevor diese zu grösserem Schaden führen. In der Dark Web Research kann einmalig, oder idealerweise durch regelmässiges Monitoring, nach genau solchen Leaks im Dark Web gesucht werden. Sollten Verbindungen zu Ihrem Unternehmen ersichtlich sein, werden Sie umgehend informiert und Schritte zur Milderung des Schadens gemeinsam besprochen und eingeleitet. Ein solches Dark Web Monitoring hätte schon so manche Firma vor grösserem Schaden bewahren können.
Cyberattacken, die als Ursprung einen physischen Angriffsvektor wie zum Bespiel ungeschützte LAN-Zugänge, WLAN oder USB-Sticks mit Malware haben, sind grundsätzlich sehr gezielte Angriffe und werden eher versierteren Angreifern zugeschrieben. Dies hat auch durchaus seine Richtigkeit und das Abwehren von solchen Angriffen muss nicht zwingend oberste Priorität haben, sollte aber dennoch früher oder später geprüft und Sicherheitsmassnahmen etabliert werden. Das Versenden eines USB-Sticks per Post kann mit ein bisschen OSINT für einen Angreifer eine relativ simple aber effektive Angelegenheit werden und ist gar nicht so einfach zu unterbinden. In dieser Simulation schauen wir gemeinsam die möglichen physischen Angriffsvektoren an und prüfen die vorhandenen Sicherheitsmassnahmen auf ihre Effektivität. Dies kann neben den oben genannten Beispielen wie LAN, WLAN, USB-Sticks auch die physische Sicherheit des Rechenzentrums, Drucker, Passwörter auf Post-its, nicht-gesperrte Workstations oder Social-Engineering-Angriffe beinhalten. Da es bei solchen Simulationen häufig um Menschen und deren Verhalten geht, sind wir uns der Brisanz bewusst und folgen einem strengen Code of Conduct.
Ein Angriff über WLAN kann man einem physischen Angriffsvektor zuschreiben und für eine sichere WLAN-Architektur müssen einige Punkte beachtet werden. In diesem Audit testen wir genau diese Sicherheit. Die Abtrennung von Gäste-WLANs, sichere Verschlüsselung und die Zugriffsteuerung sind die zentralen Komponenten, welche getestet werden. Mittels dem sogenannten Wardriving und Brute-Force-Attacken kann die bestehende Sicherheit in einem simulierten Angriff getestet werden. Es ist leider keine Seltenheit, dass aus dem ungesicherten Gäste-WLAN für den Betrieb zentrale Systeme erreichbar sind und maximaler Schaden angerichtet werden kann. Solche Missgeschicke gilt es aufzudecken und zu bereinigen.
Für die meisten Unternehmen geht es in erster Linie darum, sich vor finanziell motivierten Cyberattacken (zum Beispiel Ransomware) zu schützen. Häufig fehlen jedoch die Ressourcen, um tiefgehende Penetration Tests oder Red Teamings durchzuführen. Nur die externe Angriffsfläche abzudecken reicht heutzutage längst nicht mehr aus, um sich vor aktuellen Cyberbedrohungen zu schützen. Bei diesem Service erlauben Sie unseren Red Team Spezialisten Ihr Unternehmen unter Realbedingungen anzugreifen. Dabei setzen wir dieselben Tools und Methoden wie reale Angreifer ein und Ihr Unternehmen wird einem echten Härtetest unterzogen. Wie bei realen Cyberattacken wird Ihr Unternehmen nicht nur einmalig einem Angriff unterzogen, sondern es wird permanent nach Angriffspfaden gesucht. Bezahlt wird nur nach erfolgreichen Angriffen, heisst nach dem Erreichen von vordefinierten Zielen, wie zum Beispiel Initial Compromise, Zugriff auf sensitive Daten oder Domain Dominance. Mit unserem Bericht können dann genau diese Angriffspfade mitigiert werden. Gibt es keine erfolgreiche Attacke, so wird auch nichts bezahlt, ganz einfach. Dies bietet wohl die realistischste und effizienteste Art, die Cybersicherheit eines Unternehmens gezielt zu erhöhen.
