Breach and Attack Simulation (BAS) demystified

Der nächste Stern am Hype-Himmel der Security-Technologien nennt sich „Breach and Attack Simulation“, kurz BAS. Wir haben uns die Technologie angeschaut und zeigen hier, welche Vorteile aber auch welche Schwächen zu erwarten sind.

Breach and Attack Simulation (BAS) – was ist das überhaupt?

Mit Breach and Attack Simulation soll CISOs, CIOs, IT-Leitern und allen weiteren Verantwortlichen genau das ermöglicht werden, was der Name verspricht: die Simulation einer erfolgreichen Attacke auf die IT-Infrastruktur eines Unternehmens mit all ihren Systemen, Daten und Schätzen, die sich daraus ergeben. Hier sollen externe und interne Angreifer simuliert werden, die unterschiedliche Vektoren für ihre Angriffe nutzen und möglichst alle Phasen der Cyber Kill Chain durchlaufen (Lateral Movement, Data Exfiltration, etc.). Damit soll es möglich sein, das Risiko-Level der eigenen Infrastruktur bewerten und verbessern zu können. Aber ist das tatsächlich so? Und kann es mit den bekannten Mitteln wie Vulnerability Management und Penetration Testing mithalten?

Im jüngsten Gartner Hype Cycle for Security Operations wird BAS auf der „Spitze der überhöhten Erwartungen“ („Peak of Inflated Expectations“) einsortiert, also kurz vor dem Absturz ins „Tal der Ernüchterung“ („Trough of Disillusionment“) und prognostiziert der Technologie noch 5-10 Jahre Reifezeit, bis sie im Mainstream angekommen sein wird. Es ist also zu erwarten, dass in der nächsten Zeit eine Vielzahl von Anbietern oder auch Breach and Attack Simulation Vendors mit groß angelegten Marketing-Kampagnen auch im DACH-Markt sichtbar werden (und nach einer Weile erst mal wieder in der Versenkung verschwinden).

Wenn Sie nicht an den technischen Hintergründen und der Herleitung unserer Schlussfolgerungen interessiert sind, können Sie direkt zum Fazit am Ende springen. Ich nehme das höchstens ein bisschen persönlich.

Wie funktioniert BAS?

Werfen wir zunächst einen Blick auf die generelle Funktionsweise einer Breach and Attack Simulation-Lösung. Die Ansätze der momentan aktiven Lösungsanbieter (z.B. Cymulate, XM Cyber oder SafeBreach) unterscheiden sich hier nur im Detail. Zunächst werden im Netzwerk BAS-Agenten verteilt. Das sind im einfachsten Fall schmalspurige virtuelle Maschinen (VMs), im schlimmsten aber Software-Pakete, die auf den Clients und Servern im Netz installiert werden müssen.Das klingt erst mal halb so schlimm, bindet aber in komplexeren Netzen schnell signifikante Ressourcen der Virtualisierungslösung oder verursacht (echte) Kosten in der IaaS-Cloud des Vertrauens. Wird auf eine Lösung mit Software-Agenten gesetzt, müssen (laut Anbieter) ca. 10% aller Hosts im Netz mit einem Agenten ausgestattet werden, um eine vernünftige Abdeckung zu erreichen.
Nun muss dem Breach and Attack Simulation Tool beigebracht werden, wie das Netz aufgebaut ist. Dazu wird dem Tool nun bekannt gegeben, welche Security Controls sich zwischen welchen Agenten befinden. Im Beispiel oben sehen wir eine WAF und eine zentrale Next Generation Firewall als zentrale Instanz im Datacenter.

Und wann geht’s jetzt los mit der Attacke?

Die „Attacken“ kommen als Nächstes. Warum die Anführungszeichen? Weil es, wie der Name schon sagt, nur eine Simulation ist. Wir klicken nun also eine Reihe von Angriffen zusammen (manuell oder per Template, je nach Lösung) und bestimmen damit, welcher Agent nun welchen anderen wie „angreifen“ soll. Das kann sehr unterschiedlich aussehen:

  • Ein Agent im Client-Netz versucht ein paar TCP-Verbindungen auf einige Ports des Agenten im Datenbank-VLAN
  • Ein Agent in einem Server-Netz schickt Pakete zum Agenten im DB-VLAN, die auf eine bekannte IPS-Signatur passen (irgendein Exploit, z.B. gegen die BlueKeep-Schwachstelle)
  • Ein Agent aus dem Internet schickt einen HTTP-Request mit einer SQL-Injection durch die WAF zu dem Agenten, der neben unserer Webanwendung „ABC“ sitzt

Zwischen den Agenten im Internet (genauer: SaaS-Anteil des Anbieters), den Anwendungen im Rechenzentrum, den Datenbanken und dem Client-Segment müssen also die möglichen Angriffspfade definiert werden, damit das BAS-Tool weiß, auf welche Security-Komponenten es am Ende schimpfen darf (oder: wofür es Regel-Optimierung vorschlagen soll). In dem kleinen Beispiel-Netz ist das schnell gemacht, übertragen Sie das aber bitte mal auf ihr Netz (diverse Clouds, weitere Datacenter, viel mehr Anwendungen, etc.).

Nach diesem Muster lassen sich zig verschiedene Test-Szenarien durchspielen. Die Qualität der Ergebnisse hängt wiederum davon ab, wie der jeweilige Hersteller sie in seinem Produkt aufbereitet.

 

Welche Erkenntnisse gewinnen wir aus den Resultaten?

Was wir nun aus den Ergebnissen der Simulation erfahren, lässt sich einkochen auf: „Konnte Agent A eine bestimmte Verbindung zu Agent B aufbauen und Daten C übertragen?“
Diese Kernfrage wird in unterschiedlichen Geschmacksrichtungen beantwortet, quantifiziert und bewertet. Gut, das ist jetzt etwas verkürzt dargestellt, natürlich gibt es komplexere Szenarien. Beispielsweise das Zustellen einer E-Mail von Außen (Agent A) an ein internes System (Agent B) mit einem bösartigen Attachment oder Link (Daten C). Hm, okay, vielleicht passt es doch.
Überprüft werden mit solchen Simulationen immer nur die Security-Komponenten auf dem Weg zwischen A und B. In unserem Beispiel also die WAF, die NGFW und im zuletzt genannten Beispiel die Mailsecurity.
Hierdurch lässt sich gut erkennen, welcher Traffic innerhalb des Netzes möglich ist. Wenn die Angriffs-Simulationen recht umfassend angelegt werden, kann damit beispielsweise das Regelwerk der Segmentierungs-Firewall auf Lücken überprüft oder eben verifiziert werden.

 

Was zeigen die Ergebnisse der Breach and Attack Simulation nicht?

Bei der Bewertung, ob eine BAS-Lösung einen Mehrwert bringt oder nicht, möchte ich Ihr Augenmerk auf die Fragen lenken, die BAS heute eben nicht beantworten kann. Und das liegt weniger an der Qualität einer speziellen Lösung als an der Technologie an sich: Es ist eine Simulation, die lediglich unsere produktive Netzwerk-Infrastruktur mit nutzt, aber die dort befindlichen Systeme gänzlich außen vor lässt.
Ein paar Beispiele:

  • Schlägt ein BAS-System vor, zwischen Agent/Segment A und Agent/Segment B eine bestimmte IPS-Signatur zu aktivieren, heißt das nicht, dass dadurch das Sicherheitsniveau steigt. Denn die Breach and Attack Simulation weiß nicht, ob sich überhaupt von dieser Signatur betroffene Systeme in diesen Netzen befinden.
  • Ist im Datacenter eine Lösung zur Endpunkt-basierten Micro-Segmentierung (beispielsweise Guardicore) im Einsatz, unterscheiden sich die Ergebnisse eines BAS-Tests signifikant von der Realität, denn hier wird komplett an den (lokalen) Security Controls vorbeisimuliert.
  • Das gilt auch für Firewall-Regelwerke, die auf Usern/Gruppen statt IP-Adressen oder Applikationen statt TCP-/UDP-Ports basieren. Die BAS-Agenten authentifizieren sich nicht als (wechselnde!) User am Active Directory.
  • Wird eine Attacke auf einen Agenten hinter der WAF (Simulation einer Webapplikation) nicht von der WAF mitigiert, bedeutet das nicht unbedingt, dass die echten Webanwendungen dadurch einem Risiko ausgesetzt sind. Beispielsweise wenn sie völlig anders funktionieren als der Test des Agenten es impliziert oder sich das WAF-Regelwerk für die echte Applikation von dem unterscheidet, der für den Traffic der Angriffs-Simulation anschlägt.

 

Fazit

Im Klartext: Breach and Attack Simulationen zeigen, welche Attacken über das Netzwerk transportiert werden könnten, aber nicht, ob diese tatsächlich relevant für die Bewertung der Sicherheit des Netzes sind.
Das ist in etwa so, als würden wir bei einem Crashtest ein anderes Auto gegen den Betonblock schleudern und dann Rückschlüsse auf das eigene Auto ziehen, denn das hatte ja auch Airbags und ein Gurt-System!
Ist es das Ziel, die eingesetzte Micro-Segmentierung zu verifizieren, bieten sich deutlich schlankere Tools an, die auf diese Aufgabe spezialisiert sind und oft von Herstellern wie Fortinet (FortiGate), Palo Alto Networks oder Check Point mitgeliefert werden.
Das große Ziel, das Risiko-Level einer IT-Umgebung zu bewerten und eine Verbesserung zu ermöglichen, ist nach unserer Einschätzung mit einer Breach and Attack Simulation nur sehr eingeschränkt möglich. Unsere Alternative hierzu lautet: Automatisiertes Pentesting.
 

 

< Zurück zur Übersicht
Home | Insights | Blog | Breach and Attack Simulation (BAS) demystified