Atomic Red Team Teil 1:  Sicherheitskontrollen durch  Angriffsemulation testen

Oktober 18, 2021

Atomic Red Team Teil 1: Sicherheitskontrollen durch Angriffsemulation testen

By Cristofer Sochacki

Sie haben in Ihrem Unternehmen den Virenschutz der nächsten Generation installiert, die neuesten Sicherheits-Patches angewendet und alle Endpunkt-Telemetriedaten an einen Anbieter von Managed Detection & Response weitergeleitet. Die Frage, die sich Ihnen nun stellt, ist: Wie können Sie sicherstellen, dass die installierten Schutzmaßnahmen ordnungsgemäß funktionieren und alle Cyber-Angriffe erkannt werden?

Die Antwort liegt in der Emulation von Angriffen, einer leistungsstarken Methode zur Validierung von Sicherheitskontrollen. In unserem Vortrag auf der DattoCon NOW haben wir die fünf unten aufgeführten Schritte erläutert, wie Sie diese Methode zur Verbesserung Ihrer Cyber-Resilienz nutzen können. Es gibt viele Open-Source- und kommerzielle Tools, die Sie für die Durchführung dieser Tests verwenden können.

Unsere Auffassung von einem ganzheitlichen Prozess einer Angriffsemulation besteht aus mehreren Schritten:

  • Wählen Sie die Angriffe, die Sie emulieren möchten.
  • Wählen Sie ein Emulations-Tool, mit dem Sie relevante Angriffstechniken emulieren können.
  • Führen Sie die Emulation der Angriffstechnik aus.
  • Überprüfen Sie die Ergebnisse und ordnen Sie sie den Angriffen zu.
  • Falls Angriffe nicht entdeckt wurden, beheben Sie die Probleme und starten Sie einen neuen Test.

Auswahl der zu emulierenden Angriffe

Das MITRE ATT&CK-Framework ist eine hervorragend geeignete Ressource, um mehr über Angriffstechniken zu erfahren. MITRE ATT&CK ist eine Sammlung von Techniken und Vorgehensweisen, die aus öffentlich bekannten und beobachteten Cyberangriffen stammen. Jede Vorgehensweise enthält Informationen darüber, wo sie aufgetreten ist und welche Möglichkeiten zur Erkennung und zur Abwehr geeignet sind. Wir empfehlen Ihnen, sich mit MITRE ATT&CK vertraut zu machen, da es bei der Aufarbeitung von Cyber-Ereignissen sehr hilfreich ist und eine wichtige Grundlage für viele Sicherheitstools darstellt.

MITRE verfügt auch über den ATT&CK Navigator, mit dem Sie Vorgehensweisen visualisieren können, die den Phasen eines Angriffs zugeordnet sind. Sie können auf verschiedene Weise auswählen, welche Techniken Sie testen möchten.

  • Verwenden Sie MITRE ATT&CK und den ATT&CK Navigator, um Techniken anzuzeigen, die einer dokumentierten Art der Bedrohung oder Malware zugeordnet sind.
  • Finden Sie Techniken, die den jüngsten Cyberangriffen entsprechen, über die berichtet wurde oder die Ihnen selbst begegnet sind.
  • Prüfen Sie die vom Datto Threat Management-Team erstellten Bedrohungsprofile und wählen Sie Techniken von Angreifern aus, die auf MSPs und deren Kunden abzielen.

Führen Sie die Tests durch

In den meisten Fällen ist die Auswahl eines Tools für die Tests viel einfacher als erwartet. Während kostenpflichtige Lösungen auf dem Markt die Emulation von Angriffen erleichtern und automatisieren, können Sie auch viele Open-Source-Tools nutzen, ohne dass Sie mehr als Ihre Zeit investieren müssen. Wir empfehlen Atomic Red Team von Red Canary.

Es ist wichtig, dass Sie Ihre Tests in der gleichen Reihenfolge durchführen, in der ein Angreifer sie ausführen würde. Wenn Sie sich am MITRE ATT&CK-Framework orientieren, beginnen Sie mit Reconnaissance und fahren mit Impact fort. Wir empfehlen außerdem, alle Angriffsemulationen auf einem Testrechner auszuführen. Viele dieser Angriffe verändern den Host, auf dem sie ausgeführt werden, wodurch die Nutzbarkeit des Hosts beeinflusst wird.

Überprüfen Sie Ihre Ergebnisse

Sobald Sie die von Ihnen ausgewählten Angriffsemulationen ausgeführt haben, ist es an der Zeit, die Ergebnisse zu überprüfen. In einem idealen Test sollten alle Angriffsemulationen in irgendeiner Form zu einer Erkennung oder Warnung führen. Erstellen Sie eine Matrix der Tests, die Sie durchgeführt haben, um die Erkennungen und Warnungen zuzuordnen, die von Ihren Sicherheitstools oder Anbietern ausgelöst wurden. Ist die Zuordnung abgeschlossen, überprüfen Sie die Angriffsemulationen, die nicht zu einer Erkennung oder Warnung geführt haben. Dies sind die Angriffsemulationen, auf die wir uns im nächsten Schritt konzentrieren.

Beheben Sie die Sicherheitslücken

Dass nicht alle emulierten Angriffe erkannt werden, ist üblich und kein Grund zur unmittelbaren Besorgnis. Es ist wichtig, die Gründe für die verpassten Erkennungen zu verstehen.

Es gibt mehrere Gründe, die dazu führen können, dass Angriffe nicht erkannt werden:

  • Fehlkonfiguration von Sicherheitstools
  • Die Sicherheitslösung hat die Bedrohung als gutartig eingestuft
  • Eine Lücke in der Abdeckung der Sicherheitstools
  • Fehlende Erkennung durch Ihre Sicherheitslösung

Es ist wichtig, mit Ihren Sicherheitspartnern und -anbietern über fehlende Erkennungen zu sprechen, um die Ursache zu verstehen. Ein gemeinsamer Ansatz zum Verständnis der Ergebnisse führt zu den besten Lösungen.

Sobald Sie die Gründe für die fehlenden Erkennungen erforscht und die Fehler behoben haben, sollten die Tests wiederholt werden. Nur so können Sie sichergehen, dass die vorgenommenen Änderungen zum gewünschten Ergebnis führen.

Nächste Schritte

Es empfiehlt sich, Ihren Testprozess und die durchgeführten Angriffsemulationen zu dokumentieren. Die Tests sollten monatlich oder vierteljährlich wiederholt werden. In Ihrem -System werden ständig Updates und Änderungen vorgenommen. Dadurch können Sicherheitslücken entstehen, die das Risiko für Ihr Unternehmen erhöhen. Kontinuierliche Tests ermöglichen es, die Entwicklung Ihrer Sicherheitslösungen zu verfolgen und Lücken zu erkennen.

Schließlich haben wir in Zusammenarbeit mit unserem Datto RMM-Team eine RMM-Komponente entwickelt, die fünf Angriffstechniken automatisiert, um LockBit Ransomware-Techniken zu emulieren. Diese Komponente ist ab sofort im Datto ComStore erhältlich.

Wir hoffen, dass Ihnen dieser Beitrag dabei hilft, die Emulation von Angriffen zu nutzen, um Ihre Cyberabwehr zu testen und zu optimieren. Loggen Sie sich jetzt ein, um den oben beschriebenen Prozess zu befolgen und Ihre Sicherheitskontrollen mithilfe der RMM-Komponente zu testen.

Teil 2 dieses Blogs beschreibt die Verwendung des Atomic Red Team-Tools zur Emulation einer benutzerdefinierten Auswahl von Angriffstechniken.

Dieser Blog wurde von Cristofer Sochacki, Senior Security Engineer, und Brian Milbier, Director of Threat Management, Security Engineering und Security Architecture, verfasst.

Vorstellung von Datto SaaS Defense: Erweiterter Bedrohungsschutz (Advanced Threat Protection) nun verfügbar

SaaS Defense ist ab sofort verfügbar. Nehmen Sie an einer virtuellen Live-Diskussion über den umfassenden Bedrohungsschutz und die Spam-Filterlösung von Datto für MSPs teil.

Read More
Relevant Articles

Subscribe to the Blog