Attack Simulation

In einer Attack Simulation wird eine oder mehrere Komponenten einer realen Cyberattacke simuliert und untersucht, wie verwundbar ein Unternehmen für eine bestimmte Form einer Attacke ist. Dies sind Open Source Intelligence (OSINT), Dark Web Research, physische Sicherheit, WLAN Audit und Cyber Attack Bounty.

Falls folgende Fragen in Ihrem Unternehmen noch offen sind, empfiehlt sich eine Attack Simulation:

  • Was findet ein Angreifer über unser Unternehmen und unsere Mitarbeitenden alles im Internet?
  • Werden Zugangsdaten unseres Unternehmens im Darknet verkauft?
  • Sind unsere Server physisch vor Angriffen geschützt?
  • Kommt man von unserem Gäste-WLAN auf unsere kritischen Systeme?
  • Schaffen es ethische Hacker, uns zu kompromittieren, ohne böswillig Schaden anzurichten?

 

Ablauf

Scoping

Ziel und Umfang

Sinn des Scoping-Meetings ist es, die Ziele der Attack Simulation zu definieren und genügend Wissen über die zu testenden Umgebung zu transferieren, damit auf deren Basis dann die Offerte erstellt werden kann. Die Fragen drehen sich dabei meistens um die Testszenarien und Rahmenbedingungen.

Offerte

Agreement

Auf Basis des Scoping-Meetings wird die Offerte erstellt. Nebst den Zielen, Methoden, Preis und Rahmenbedingungen enthält diese auch einen Durchführungsvorschlag. Dabei ist selbstverständlich nichts in Stein gemeisselt und die Offerte wird gerne den Bedürfnissen angepasst. Verrechnet wird grundsätzlich immer nach tatsächlichem Aufwand.

Kick-Off

Testdetails

Im Kick-Off werden die Testdetails mit den verantwortlichen Personen besprochen. Hier sind insbesondere die Definition der genauen Zielumgebung und der exakte Ablauf zentral. Auch die schnelle und reibungslose Kommunikation während des Tests wird in diesem Meeting sichergestellt.

Test

durchführung

Die Tests werden in enger Koordination mit der verantwortlichen Person durchgeführt und somit sichergestellt, dass es keine bösen Überraschungen gibt. In der zur Verfügung stehenden Zeit werden dann möglichst viele Testdaten gesammelt und allfällige kritische Funde umgehend kommuniziert.

Auswerten

Erkenntnisse

Die gesammelten Daten werden ausgewertet und Massnahmen ausgearbeitet. Die besten Massnahmen nützen nichts, wenn diese nicht umsetzbar sind oder zu viele Ressourcen benötigen. Deshalb wird hier insbesondere die Umsetzbarkeit der Massnahmen in der getesteten Infrastruktur geprüft und allfällige Workarounds werden mit einkalkuliert.

Report

Schlussbericht

Die Resultate werden zusammengefasst und ausgewertet. Für alle Risiken werden Massnahmen vorgeschlagen und deren Priorität festgehalten. Der Bericht enthält auch Informationen über die eingesetzten Tools und Methoden, so dass diese in Zukunft auch selbst eingesetzt werden könnten.

Abschluss

Schlussbesprechung

In einem Abschlussmeeting wird sichergestellt, dass die Resultate und Massnahmen aus dem Test verstanden und umgesetzt werden können. Da Fragen meistens erst bei der Behebung auftauchen, sind wir selbstverständlich für weitere Rückfragen stets erreichbar und geben gerne Auskunft.

Deliverables

Sämtliche Resultate werden in einem Schlussbericht (PDF, Excel und JSON) übermittelt und über die Plattform Mesher zur Verfügung gestellt. Hier beginnt die eigentliche Arbeit. Die Cybersicherheit kann nur erhöht werden, sofern auch Massnahmen umgesetzt werden. Deshalb ist es uns ein zentrales Anliegen, dass die Erkenntnisse aus dem Tests am richtigen Ort im richtigen Format ankommen und Medienbrüche eliminiert werden.

PDF
Der Schlussbericht im PDF-Format enthält einen einleitenden Teil, Executive Summary, Tools und Methoden, Testdetails, positive Aspekte und bestandene Anforderungen, Risiken und Massnahmen mit detaillierter Beschreibung, Kategorisierung und Priorisierung.
 
EXCEL
Das Excel enthält sämtliche Risiken und Massnahmen mit detaillierter Beschreibung, Kategorisierung und Priorisierung. Dank dem bearbeitbaren Format eignet sich diese Liste für die Weiterverarbeitung der Resultate und es können einfach weitere Informationen hinzugefügt werden.
 
JSON
Die JSON-Datei enthält sämtliche Risiken und Massnahmen mit detaillierter Beschreibung, Kategorisierung und Priorisierung. Das JSON-Format ist das gängigste Format für die automatisierte Weiterverarbeitung von Informationen und kann häufig mit wenig Aufwand in die bestehenden Tools eingefüttert werden.
Report

Kategorisierung

Alle Findings werden von uns gemäss ihrer Eintrittswahrscheinlichkeit und Auswirkung kategorisiert. Nach Bedarf kann auch für jede Schwachstelle zusätzlich der CVSS Score berechnet werden.

risk_matrix
Report

Executive Summary

Jeder Bericht enthält eine Executive Summary, in welchem die Resultate und empfohlenen Massnahmen auf einer Seite zusammengefasst sind und in Diagrammen veranschaulicht werden.

chart_2

Mesher

Über Mesher wird Ihr aktueller Sicherheitslevel erfasst und Sie können den Return on Investment für die unterschiedlichen Massnahmen einsehen. Hier sind auch sämtliche Resultate visualisiert und können dank Integrationen mit bestehenden Tools verknüpft werden. Mit der Plattform können technische Massnahmen direkt mit Tasks den entsprechenden Personen zugeteilt werden und agiles Arbeiten ohne Medienbrüche wird ermöglicht.

Mehr zur Plattform Mesher

Mesher Plattform

Code of Conduct

Bei einer Attack Simulation kann Social Engineering Teil des Audits sein. Das Ziel bei einem Social Engineering Audit ist es, die Sensibilisierung und Reaktionen der Mitarbeitenden auf Social Engineering Attacken zu überprüfen. Die simulierten Attacken werden dabei realen Angriffen nachempfunden. Entgegen realen Angriffen müssen bei simulierten Angriffen jedoch gesetzliche und moralische Grenzen eingehalten werden. Die persönliche Integrität und das psychische Wohlbefinden der involvierten Personen sollen in keiner Weise durch ein Social Engineering Audit beeinträchtigt werden. Die Resultate werden in einem solchen Audit grundsätzlich nur anonymisiert zur Verfügung gestellt und sollen keinen Rückschluss auf die Identität der einzelnen getesteten Personen und deren Verhalten erlauben.

 

Open Source Intelligence (OSINT)

Im Modul OSINT wird in öffentlich zugänglichen Quellen nach Informationen gesucht, welche auch für einen Angreifer interessant sein können. Dies sind insbesondere Informationen, welche zum Beispiel für einen gezielten Phishing-Angriff verwendet werden könnten. Dies stellt typischerweise auch den ersten Schritt bei realen, gezielten Angriffen dar und das Wissen über preisgegebene Informationen kann helfen, sich als Unternehmen besser auf solche Angriffe vorzubereiten. Auch wenn Informationen, welche mal öffentlich zugänglich waren, nicht mehr so einfach entfernt werden können (Internet Archive) kann der Zugang zu solchen Informationen allenfalls erschwert werden und die Messlatte für einen Angreifer höher gelegt werden. Auch kann dieses Modul dabei helfen, die Awareness für das Preisgeben von solchen Informationen zu erhöhen.

 

Dark Web Research

Geleakte Daten und Passwörter landen häufig im Dark Web zum Verkauf. Oft werden diese dann von anderen kriminellen Gruppen gekauft und monetarisiert, zum Beispiel durch Eskalieren der Privilegien und dem Verschlüsseln und Verlangen von Lösegeld (Ransomware). Dies zeigt auch die immer mehr verbreitete Spezialisierung der kriminellen Organisationen und die Verwendung des Ransomware-as-a-Service-Modells. Das heisst die einzelnen Schritte müssen nicht zwingend von der gleichen kriminellen Organisation durchgeführt werden, was häufig zu zeitlichen Unterbrüchen führt. So bietet sich die Chance, allfällige Daten- und Passwörter-Leaks zu erkennen, bevor diese zu grösserem Schaden führen. In der Dark Web Research kann einmalig, oder idealerweise durch regelmässiges Monitoring, nach genau solchen Leaks im Dark Web gesucht werden. Sollten Verbindungen zu Ihrem Unternehmen ersichtlich sein, werden Sie umgehend informiert und Schritte zur Milderung des Schadens gemeinsam besprochen und eingeleitet. Ein solches Dark Web Monitoring hätte schon so manche Firma vor grösserem Schaden bewahren können.

 

Physische Sicherheit

Cyberattacken, die als Ursprung einen physischen Angriffsvektor wie zum Bespiel ungeschützte LAN-Zugänge, WLAN oder USB-Sticks mit Malware haben, sind grundsätzlich sehr gezielte Angriffe und werden eher versierteren Angreifern zugeschrieben. Dies hat auch durchaus seine Richtigkeit und das Abwehren von solchen Angriffen muss nicht zwingend oberste Priorität haben, sollte aber dennoch früher oder später geprüft und Sicherheitsmassnahmen etabliert werden. Das Versenden eines USB-Sticks per Post kann mit ein bisschen OSINT für einen Angreifer eine relativ simple aber effektive Angelegenheit werden und ist gar nicht so einfach zu unterbinden. In dieser Simulation schauen wir gemeinsam die möglichen physischen Angriffsvektoren an und prüfen die vorhandenen Sicherheitsmassnahmen auf ihre Effektivität. Dies kann neben den oben genannten Beispielen wie LAN, WLAN, USB-Sticks auch die physische Sicherheit des Rechenzentrums, Drucker, Passwörter auf Post-its, nicht-gesperrte Workstations oder Social-Engineering-Angriffe beinhalten. Da es bei solchen Simulationen häufig um Menschen und deren Verhalten geht, sind wir uns der Brisanz bewusst und folgen einem strengen Code of Conduct.

 

WLAN Audit

Ein Angriff über WLAN kann man einem physischen Angriffsvektor zuschreiben und für eine sichere WLAN-Architektur müssen einige Punkte beachtet werden. In diesem Audit testen wir genau diese Sicherheit. Die Abtrennung von Gäste-WLANs, sichere Verschlüsselung und die Zugriffsteuerung sind die zentralen Komponenten, welche getestet werden. Mittels dem sogenannten Wardriving und Brute-Force-Attacken kann die bestehende Sicherheit in einem simulierten Angriff getestet werden. Es ist leider keine Seltenheit, dass aus dem ungesicherten Gäste-WLAN für den Betrieb zentrale Systeme erreichbar sind und maximaler Schaden angerichtet werden kann. Solche Missgeschicke gilt es aufzudecken und zu bereinigen.

 

Cyber Attack Bounty

Für die meisten Unternehmen geht es in erster Linie darum, sich vor finanziell motivierten Cyberattacken (zum Beispiel Ransomware) zu schützen. Häufig fehlen jedoch die Ressourcen, um tiefgehende Penetration Tests oder Red Teamings durchzuführen. Nur die externe Angriffsfläche abzudecken reicht heutzutage längst nicht mehr aus, um sich vor aktuellen Cyberbedrohungen zu schützen. Bei diesem Service erlauben Sie unseren Red Team Spezialisten Ihr Unternehmen unter Realbedingungen anzugreifen. Dabei setzen wir dieselben Tools und Methoden wie reale Angreifer ein und Ihr Unternehmen wird einem echten Härtetest unterzogen. Wie bei realen Cyberattacken wird Ihr Unternehmen nicht nur einmalig einem Angriff unterzogen, sondern es wird permanent nach Angriffspfaden gesucht. Bezahlt wird nur nach erfolgreichen Angriffen, heisst nach dem Erreichen von vordefinierten Zielen, wie zum Beispiel Initial Compromise, Zugriff auf sensitive Daten oder Domain Dominance. Mit unserem Bericht können dann genau diese Angriffspfade mitigiert werden. Gibt es keine erfolgreiche Attacke, so wird auch nichts bezahlt, ganz einfach. Dies bietet wohl die realistischste und effizienteste Art, die Cybersicherheit eines Unternehmens gezielt zu erhöhen.