{"id":14800,"date":"2021-04-03T11:44:19","date_gmt":"2021-04-03T09:44:19","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=14800"},"modified":"2022-03-31T14:19:09","modified_gmt":"2022-03-31T12:19:09","slug":"compromise-assessment-als-teil-der-sicherheits-infrastruktur-in-unternehmen","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/compromise-assessment-als-teil-der-sicherheits-infrastruktur-in-unternehmen\/","title":{"rendered":"Compromise Assessment als Teil der Sicherheits-Infrastruktur in Unternehmen"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/compromise-assessment-als-teil-der-sicherheits-infrastruktur-in-unternehmen\/#Angriffe_aufspueren_-_bevor_grosser_Schaden_entsteht\" >Angriffe aufsp\u00fcren - bevor gro\u00dfer Schaden entsteht<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/compromise-assessment-als-teil-der-sicherheits-infrastruktur-in-unternehmen\/#Schwachstellen_traditioneller_Security-Massnahmen\" >Schwachstellen traditioneller Security-Ma\u00dfnahmen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/compromise-assessment-als-teil-der-sicherheits-infrastruktur-in-unternehmen\/#Compromise_Assessment_fuer_ein_besseres_Security-Maturity-Level\" >Compromise Assessment f\u00fcr ein besseres Security-Maturity-Level<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/compromise-assessment-als-teil-der-sicherheits-infrastruktur-in-unternehmen\/#Mit_forensischen_Methoden_den_Angreifern_auf_der_Spur\" >Mit forensischen Methoden den Angreifern auf der Spur<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/compromise-assessment-als-teil-der-sicherheits-infrastruktur-in-unternehmen\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<h2><strong>Angriffe aufsp\u00fcren &#8211; bevor gro\u00dfer Schaden entsteht<\/strong><\/h2>\n<p>Compromise Assessment kann eine wertvolle Technik sein, um das Maturity Level der IT-Security zu erh\u00f6hen.<\/p>\n<p>Die Angriffsversuche auf Unternehmen werden immer ausgekl\u00fcgelter: <a href=\"https:\/\/testing.secuinfra.com\/solutions\/apt-scanner\/\">Advanced Persistant Threats (APT)<\/a> setzen keine Standardtools ein, die ein IPS (Intrusion Prevention System) oder IDS (Intrusion Detection System) erkennt, sondern eigene Tools mit unbekannten Signaturen. Ziel dabei: sich in die Infrastruktur des Opfers einzunisten und sich Hintert\u00fcren offen zu halten. Daf\u00fcr werden Konfigurationen in der Registry hinterlegt oder ein Service installiert, der regelm\u00e4\u00dfig ausgef\u00fchrt wird.<\/p>\n<p>Traditionelle Schutzma\u00dfnahmen wie das teilautomatisierte Vulnerability Management oder Penetrations-Tests sind in Unternehmen h\u00e4ufig genutzte IT-Sicherheits-Features gegen Cyberangriffe. Sie decken m\u00f6gliche Angriffsvektoren auf, zeigen, ob diese in der Infrastruktur ausgenutzt werden k\u00f6nnen und welche Folgen sie haben: Welche Rechte kann ein Eindringling erlangen und wie schwer wiegen die Sicherheitsl\u00fccken?<\/p>\n<p>Die Ergebnisse basieren beim Vulnerability Management \u00fcberwiegend auf den Datenbest\u00e4nden und beim Penetrations-Test auf dem Fachwissen der Tester. Mangelt es in beiden F\u00e4llen an der Qualit\u00e4t, k\u00f6nnen die Ursachen von Angriffen nicht ermittelt werden. Darin liegt die gr\u00f6\u00dfte Schw\u00e4che beider Ma\u00dfnahmen. Bei Penetrations-Tests liegen weitere Herausforderungen in der festgelegten Scope von Systemen und in den Berechtigungen: Diese bestimmen, wie weit ein Tester gehen darf, ohne zus\u00e4tzlich Sch\u00e4den an Systemen zu hinterlassen. Denn Penetrations-Tests sind invasiv und greifen in die Systeme ein &#8211; da es zu Ausf\u00e4llen und Mehrkosten kommen kann, sind sie mit hohen Risiken verbunden. Dennoch stellen sie nur Momentaufnahmen von der Sicherheit des Systems und der Konfiguration zum Testzeitpunkt dar.<\/p>\n<p>Im Vulnerability Management zeigen hochgeladene CVE-Daten auf Basis der Softwarepakete, die im Unternehmen zum Einsatz kommen, ob Schwachstellen vorhanden sind. Oft ist hier auch das Patch-Management aufgeh\u00e4ngt: Sicherheitsl\u00fccken werden mit neuen Software-Versionen geschlossen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Schwachstellen_traditioneller_Security-Massnahmen\"><\/span><strong>Schwachstellen traditioneller Security-Ma\u00dfnahmen<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Beide Methoden zeigen nicht auf, ob vorhandene Schwachstellen bereits ausgenutzt wurden. Angriffe werden oft nur erkannt, wenn sich die Systeme anders als gewohnt verhalten. Eine Schwachstelle, die von diesen traditionellen Schutzma\u00dfnahmen ebenfalls oft \u00fcbersehen wird, sind Zero-Day-L\u00fccken: unbekannte Sicherheitsl\u00fccken, die neu entdeckt wurden und deswegen von einem Angreifer ausgenutzt werden k\u00f6nnen, um erheblichen Schaden anzurichten. Herk\u00f6mmliche Ma\u00dfnahmen erkennen diese L\u00fccken nicht, da sie nur auf bekannte abzielen. Auch einfache Konfigurationsfehler k\u00f6nnen von den traditionellen Ma\u00dfnahmen \u00fcbersehen werden \u2013 f\u00fcr einen Angreifer sind sie dagegen offensichtlich. Dabei handelt es sich oft um zu gro\u00dfz\u00fcgige Berechtigungsvergaben: Im Active Directory von Windows finden sich h\u00e4ufig Accounts und sogar Gruppen mit diversen Berechtigungen und schlechten Passw\u00f6rtern. Im Ernstfall k\u00f6nnen diese leicht ausgenutzt und die komplette Infrastruktur kompromittiert werden. Best Practice ist, Usern so wenig Rechte wie m\u00f6glich einzur\u00e4umen, doch gerade in kleineren Unternehmen mit wenig Manpower in der IT ist das nicht immer der Fall. Mitarbeiter ersetzen sich gegenseitig und ben\u00f6tigen daf\u00fcr umfangreiche Rechte. Die Konfigurationen sind per se so ausgerichtet, dass die Systeme laufen und die t\u00e4gliche Arbeit verrichtet werden kann. Der Fokus auf die Sicherheit fehlt.<\/p>\n<p>Kommen nur traditionelle oder pr\u00e4ventive Ma\u00dfnahmen zum Einsatz, ist das Maturity-Level der IT-Security-Infrastruktur meist nicht ausreichend, um Angriffe und akute Bedrohungen zu erkennen, zu reagieren und damit fortlaufende Sch\u00e4digungen jeglicher Art zu vermeiden: Systemausf\u00e4lle kosten in der Regel viel Geld und m\u00fcssen auf ein Minimum reduziert werden.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Compromise_Assessment_fuer_ein_besseres_Security-Maturity-Level\"><\/span><strong>Compromise Assessment f\u00fcr ein besseres Security-Maturity-Level<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Traditionelle Ma\u00dfnahmen k\u00f6nnen mit sinnvollen Features erg\u00e4nzt werden: <a href=\"https:\/\/testing.secuinfra.com\/services\/compromise-assessment\/\">Compromise Assessment<\/a> zum Beispiel ist speziell darauf ausgelegt, Spuren von Angriffen zu finden, die sogenannten IOCs \u2013 Indicators of Compromise. Durch die Analyse und Bewertung dieser Indikatoren k\u00f6nnen zum einen kompromittierte Systeme erkannt werden und zum anderen die zugrunde liegenden Schwachstellen entdeckt und klare Handlungsempfehlungen zur Behebung der Schwachstellen abgeleitet werden. In Form einer Remediationsphase werden die Ursachen behoben und der gew\u00fcnschte Soll-Zustand hergestellt, um laufende Angriffe zu beenden und k\u00fcnftige zu verhindern.<\/p>\n<p>Compromise Assessment ist dabei keine pr\u00e4ventive Disziplin in der IT-Security, sondern eine bewertende. Sie betrachtet nicht nur einen Teil, sondern die gesamte Infrastruktur und erm\u00f6glicht auch einen Blick in die Vergangenheit. Es handelt sich um eine ressourcenschonende und akkurate Methode um Angriffe, welche trotz pr\u00e4ventiver Ma\u00dfnahmen oftmals erfolgreich sind, schnell zu erkennen und etwaigen Schaden zu minimieren. Es hat sich gezeigt, dass mit Compromise Assessment das Sicherheitslevel stark erh\u00f6ht werden kann: Studien verschiedener Unternehmen und Institute belegen, dass es in der Regel 2-3 Monate dauert, bis ein Angriff \u00fcberhaupt entdeckt wird. Somit hat ein Angreifer mehrere Monate Zeit sein eigentliches Ziel zu erreichen. Der m\u00f6gliche Schaden der dabei entsteht wird mit jedem Tag, an welchem der Angreifer unentdeckt bleibt, gr\u00f6\u00dfer. Mit Compromise Assessment kann die Zeit zur Erkennung eines erfolgreichen Angriffs im besten Fall auf wenige Tage reduziert werden.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Mit_forensischen_Methoden_den_Angreifern_auf_der_Spur\"><\/span><strong>Mit forensischen Methoden den Angreifern auf der Spur<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Compromise Assessment nutzt forensische Methoden und Tools, um Spuren von Angriffen zu finden: Es kommt in der Regel ein Agent auf dem Endsystem zum Einsatz, der einen Scan startet, \u00fcberwacht und die Ergebnisse an ein zentrales System \u00fcbermittelt. Auf dem Endsystem wird mit forensischer Gr\u00fcndlichkeit gezielt nach Angriffsspuren (IOCs \u2013 Indicators of Compromise) gesucht: Betrachtet werden zum Beispiel fl\u00fcchtige und nicht-fl\u00fcchtige Daten auf einem System, Konfigurationen, Anmeldungen, Nutzerinteraktionen oder Software, die installiert, ausgef\u00fchrt oder heruntergeladen wurde. Die Indikatoren eines Angriffs beruhen dabei auf\u00a0 forensischen Artefakten, welche ein Angreifer zwangsl\u00e4ufig hinterl\u00e4sst.<\/p>\n<p>Allein in Windows gibt es rund 200 dieser Artefakte, Hinterlassenschaften von Angreifern wie Tools in typischen Verzeichnissen oder Konfigurationsschl\u00fcssel. Es kann sich auch um ungew\u00f6hnliche Netzwerkverbindungen zu verd\u00e4chtigen Servern, IP-Adressen und Ports handeln oder um Logdateien, die w\u00e4hrend des Betriebes erzeugt werden, also Interaktionen, Anmeldungen und Prozessstarts. Sie alle werden f\u00fcr die Auswertung herangezogen.<\/p>\n<p>Das Scannen nach Angriffsspuren (IOCs \u2013 Indicators of Compromise) \u00a0und die Analyse k\u00f6nnen auch auf wiederkehrender Basis erfolgen. Dies hat den Vorteil, dass nicht nur eine Momentaufnahme entsteht, sondern fortlaufend nach neuen unbekannten Angriffsspuren gesucht wird und ein Angreifer im Idealfall innerhalb kurzer Zeit sehr zuverl\u00e4ssig entdeckt wird. Die SECUINFRA GmbH bietet beispielweise einen \u201eContinuous Compromise Assessment\u201c Service an. Hierbei wird ein initialer Scan inklusive Auswertung durchgef\u00fchrt, um eine erste Einsch\u00e4tzung \u00fcber die generelle Lage beim Kunden zu erhalten. Dies ist meist recht aufwendig, da gegebenenfalls Millionen forensischer Artefakte untersucht werden m\u00fcssen. Selbst die Profis von SECUINFRA ben\u00f6tigen mit ihren Tools hierf\u00fcr mehrere Tage. Im Anschluss daran finden regelm\u00e4\u00dfig weitere Scans und Auswertungen statt, bei welchen nur noch die \u00c4nderungen an den f\u00fcr einen Angreifer verr\u00e4terischen Artefakten analysiert werden m\u00fcssen. Dies ist bedeutend einfacher und geht somit auch bedeutend schneller.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit\"><\/span><strong>Fazit<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Compromise Assessment stellt ein wertvolles Instrument dar, dass die Tools der IT-Security sinnvoll erweitern und ihr Maturity-Level erh\u00f6hen kann: Mit Compromise Assessment k\u00f6nnen die Spuren von Cyber Angriffen entdeckt und im Idealfall hoher Schaden verhindert werden.<\/p>\n<p><strong>Mehr \u00fcber <a href=\"https:\/\/testing.secuinfra.com\/services\/compromise-assessment\/\">Compromise Assessment<\/a><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mit Compromise Assessment k\u00f6nnen die Spuren von Cyberangriffen entdeckt und im Idealfall hoher Schaden verhindert werden.<\/p>\n","protected":false},"author":14,"featured_media":27644,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[78,66],"tags":[],"dpc_coauthors":[],"class_list":["post-14800","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compromise-assessment","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14800","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/14"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=14800"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14800\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/27644"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=14800"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=14800"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=14800"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=14800"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}