In den letzten Jahren sind immer mehr Anbieter von sogenannten Breach and Attack Simulation Plattformen aus dem Boden geschossen. Im Jahr 2017 wurde Breach and Attack Simulation von Gartner als neue Kategorie in den „Hype Cycle for Threat-Facing Technologies“ aufgenommen und es wurde der Technologie das Potential bescheinigt, innerhalb der nächsten 10 Jahre zum Mainstream zu werden. Manche sprechen gar von einer technologischen Revolution, die grundlegend verändert, wie man in Zukunft den Sicherheitsstatus eines Unternehmens analysieren wird.
In diesem Blogartikel möchte ich folgende Fragen rund um das Thema Breach and Attack Simulation beantworten:
- Was steckt hinter dieser neuartigen Technologie?
- Welche Probleme versucht man mit Breach and Attack Simulation zu lösen?
- Für welche Unternehmen eignen sich BAS-Lösungen besonders?
- Welche interessanten Lösungen sind am Markt und wie unterscheiden sie sich voneinander?
- Wie verhält sich Breach and Attack Simulation zum klassischen Penetration Testing von Unternemensnetzwerken?
Also, los geht es!
Was ist Breach and Attack Simulation?
Breach and Attack Simulation ist eine neue Art der Prüfung von IT-Sicherheitsmaßnahmen, bei welcher reale Angriffshandlungen nachgeahmt werden, um festzustellen, ob die verschiedenen Sicherheitsvorkehrungen des Unternehmen Ihren Zweck tatsächlich erfüllen. Es gibt drei verschiedene Arten von BAS-Lösungen:
Agenten-basierte BAS-Lösungen:
Agentenbasierte Lösungen sind die einfachste Form von Breach and Attack Simulation. Hierbei werden Agenten im gesamten LAN eingesetzt, und es wird anhand gefundener Schwachstellen bestimmt, welche Routen einem potenziellen Angreifer offenstehen, um sich im Netzwerk zu bewegen. Eine agentenbasierte BAS-Lösung weist große Ähnlichkeiten zu Schwachstellen-Scans auf, bietet aber deutlich mehr Kontext.
Auf „böswilligem“ Datenverkehr basierend BAS-Lösungen
Diese BAS-Lösungen generieren innerhalb des Netzwerks auffälligen Datenverkehr zwischen extra dafür vorgesehenen virtuellen Maschinen, die als Angriffsziele für verschiedenste Angriffsszenarien dienen. Es wird dann eine Übersicht erstellt, welche Events nicht von den eigenen Sicherheitskontrollen aufgedeckt und blockiert wurden. Wie bei agenten-basierte BAS Lösungen, bekommt man Informationen, wie sich ein Angreifer, der ins Netzwerk gelangt, bewegen könnte.
Cloudbasierte BAS-Lösungen
BAS-Lösungen die cloudbasiert sind, kommen am Nächsten an einen realen Angriff heran. Sie simulieren von außen zahlreiche Angriffsszenarien über verschiedene Eintrittspunkte. (sog. Multi-Vector Attacs) und damit auch den Netzwerkperimeter des Unternehmens. Die Cloud-Plattformen speisen sich aus verschiedensten Quellen mit den neusten Bedrohungen und sind damit immer sehr aktuell. Als SaaS-Lösungen sind sie sehr schnell implementiert.
Welche Probleme versucht man mit BAS-Tools zu lösen?
BAS-Lösungen geben Unternehmen eine Antwort auf die Frage „Funktionieren unsere Cyber-Sicherheitsmaßnahmen wirklich?“. Insbesondere große Unternehmen tätigen hohe Investitionen in Security-Produkte, haben aber trotzdem nicht das Vertrauen, dass diese auch den immer raffinierteren Attacken standhalten können und immer richtig konfiguriert sind. Aus finanziellen und praktischen Gründen ist es auch nicht möglich ganze Entreprise-Produktionsumgebungen permanent und manuell auf Sicherheitslücken zu testen. Breach and Attack Simulation füllt genau diese Lücke und erlaubt es Unternehmen mehr aus Ihren bestehenden Sicherheitslösungen herauszuholen, indem kontinuierliches Testen des Unternehmensnetzwerks bei geringem Risiko möglich gemacht wird.
Für welche Unternehmen eignen sich BAS-Lösungen
Schaut man sich im BAS-Markt um, so stellt man fest, dass sich viele Angebote an große Entreprise-Kunden mit hohen Sicherheitsanforderungen richten, wie z.B. Finanzinstitute und Versicherungen. Es ist nicht überraschend, dass gerade für diese Unternehmen Breach and Attack Simulation besonders interessant ist. Sie haben typischerweise zahlreiche Security-Produkte im Einsatz, eine dynamische IT-Landschaft und ein hohen IT-Reifegrad. Hinzu kommen hohe Anforderungen an IT-Sicherheit und ein großer Compliance-Druck. High-End-Lösungen wie Breach and Attack Simulation sind für dieses Umfeld prädestiniert.
Allerdings gibt es auch für kleinere Unternehmen die Möglichkeit, BAS-Technologie zu nutzen. Einige Lösungsanbieter habe Ihre BAS-Tools mandantenfähig gemacht, sodass diese über Partnerunternehmen auch kleineren Unternehmen zugutekommen können.
Welche Produkte sind am Markt und wie unterscheiden sie sich voneinander?
Im noch sehr jungen BAS-Markt tümmeln sich einige Unternehmen und Start-Ups, vornehmlich aus Israel und den USA. Im Folgenden möchte ich gerne einige ausgewählte Lösungsanbieter vorstellen:
Safebreach (Israel/USA)
Safebreach wurde 2014 in Tel Aviv gegründet und ist damit einer der „älteren“ Player am Markt. Safebreach beschreibt Ihr Produkt als Continous Security Validating Platform, welche die Funktion eines virtuellen Ethical-Hackers übernimmt. Die Plattform besteht aus zwei Komponenten: der Cloud-Management-Konsole und on-premise virtuellen Maschinen namens „Breach Simulators“, die untereinander sog. „War Games“ spielen. Die Lösung von Safebreach basiert also auf „böswilligem“ Datenverkehr, der zwischen den Breach Simulators untereinander und der Cloud fließt.
Safebreach ist der Pionier in der BAS-Industrie und hat mittlerweile ein umfangreiches „Hacker’s Playbook“ mit tausenden von Angriffsmethoden, das permanent vom Safebreach Lab aktualisiert wird.
Cymulate (Israel)
Cymulate wurde im Jahr 2016 ebenfalls in Israel gegründet. Im Jahr 2018 wurde Cymulate von Gartner zum „Cool Vendor“ benannt und ist wohl die Plattform im BAS-Markt, um die es den größten Hype gibt. Unter anderem wurde von bekannten Wagniskapitalgebern beachtliche Summen beschafft. Cymulate wirbt mit einem besonders einfachem Deployment und Betrieb. Im Netzwerk selbst ist lediglich ein Einzelagent notwendig. Die Plattform bietet zahlreiche Angriffsvektoren (E-Mail Gateway, Web Gateway, Web Application Firewall, Lateral Movement, Data Loss Prevention und Endpoint Security Control) und kann damit einen Advanced Persistent Threat (APT) simulieren. Toll sind die Integrationen zu anderen Sicherheitsprodukten, wie etwa Schwachstellenmanagement-Lösungen, SIEM- und EDR-Lösungen. Preislich ist ist Cymulate sehr hoch angesiedelt. Zum jetzigen Zeitpunkt kostet das 7-Vector-Bundle über den AWS Marketplace 7000 USD pro Monat. Es ist allerdings auch eine abgespeckte Version mit weniger Angriffsvektoren erhältlich. Auf Youtube kann man sich einen guten Einblick in die Plattform verschaffen:
XM Cyber (Israel)
XM Cyber ist meiner Meinung nach ein weiterer erwähnenswerter Player im BAS-Markt. Seit Gründung im Jahre 2016 durch Spitzenkräfte der israelischen Cyber-Geheimdienst-Gemeinschaft, hat sich das Unternehmen einige Aufmerksamkeit erkämpft uns ist derzeit auf globalem Expansionskurs. Die HaXM-Plattform ist relativ einfach auszurollen. Auf allen kritischen Assets muss ein leichtgewichtiger Software-Agent installiert werden, die Plattform selbst wird als Software-as-a-Service bereitgestellt. Für sehr sicherheitsbewusste Unternehmen kann die Lösung auch on-premise eingerichtet werden. Die Simulationen erfolgen in drei Schritten:
- Zunächst werden die kritischen Assets ausgewählt
- Angriffe werden simuliert und alle Angriffsvektoren zu den kritischen Assets werden offengelegt (dies geschieht sehr anschaulich im „Battle Ground“-Dialogfeld der Plattform)
- Im Anschluss sind ausführliche Remediation-Reports und Sicherheitsauswertungen verfügbar
Diese 3-Minuten Demo von XM Cyber gibt einen sehr guten Einblick in die Plattform und zeigt das eindrucksvolle User-Interface:
Wie verhält sich Breach and Attack Simulation zu manuellem Penetration Testing
Es bleibt die spannende Frage zu klären, ob Breach and Attack Simulation traditionelles Penetration Testing von Netzwerken in Zukunft ersetzen kann. Zurzeit ist die Marktdurchdringung von Breach and Attack Simulation noch nicht sehr weit fortgeschritten. Als Penetrationtester wird man meiner Meinung nach nicht so schnell um seinen Job fürchten müssen. Außerdem fordern Compliance-Vorgaben stand heute immer noch die Durchführung von klassischen Penetrationstests. Nicht zuletzt ist Breach and Attack Simulation auch eine Frage des Budgets – viele kleinere und mittlere Unternehmen ringen sich schon das Investment in einen kleinen Penetrationstest ab, da ist es ziemlich fraglich, ob diese Unternehmen in die Anschaffung einer teuren BAS-Lösung investieren werden.
Einige BAS-Tools am Markt bieten lediglich Angriffsszenarien, die keine Exploits beinhalten und damit im Zweifel mit manuellem Pentesting ergänzt werden sollten. Man darf nicht vergessen, dass eine Simulation eben eine Simulation bleibt und gesammelte Daten extern analysiert werden, mit dem Zweck abzuleiten, was in der Realität passieren würde. Damit steigt die Wahrscheinlichkeit für False Positives und False Negatives.
Trotz der Hindernisse, die Anbieter von BAS-Lösungen noch zu überwinden haben, bin ich sehr davon überzeugt, das Breach and Attack Simulation mit zunehmender Reife das klassisches Netzwerk-Pentesting stark zurückdrängen wird. Mit guten BAS-Lösungen kann man Exploits „ausführen“, die keinen Schaden anrichten können. Ein gewissenhafter Pentester würde mir den typischen Pentesting-Tools solche Exploits gar nicht angehen, weil stets die Gefahr besteht, die Kundenumgebung zu beeinträchtigen. Außerdem erhält man mit Breach and Attack Simulation konsistente Ergebnisse, unabhängig von den Fähigkeiten eines Menschen, und zwar kontinuierlich und nicht nur als Momentaufnahme. Ich bin mir sehr sicher, dass es in nicht allzu ferner Zukunft Pentest-as-a-Service-Angebote geben wird, die durch Breach and Attack Simulation ermöglicht werden und Unternehmen jeder Größe zugänglich sein werden.
Fazit
Es lohnt sich die Entwicklungen auf dem BAS-Markt im Auge zu behalten. In Zukunft wird der Stellenwert von BAS-Lösungen mit hoher Wahrscheinlichkeit deutlich zunehmen. Breach and Attack Simulation hat meiner Meinung nach das Potential mit zunehmender technologischer Reife und sinkenden Kosten auf breiter Front eine erstzunehmende Alternative zu klassischem Network Penetration Testing zu werden.