Breach and Attack Simulation (BAS) / Active-Directory Penetrationstest

Setzen Sie auch Windows in Ihrem Unternehmen ein? Dann haben Sie eine übliche technische Umgebung mit vielen bekannten Schwachstellenmöglichkeiten, in der Konfiguration der Umgebung. In sehr vielen Umgebungen genügt das Öffnen eines einzigen falschen E-Mail-Anhangs durch einen Mitarbeitenden oder ein einziger falscher Download, damit Kriminellen der Erstzugriff gelingt

Im Anschluss dringen Cyberkriminelle tief in Unternehmensnetze ein. Man spricht von einem „Advanced Persistent Threat“ (APT), also einer Bedrohung, bei der Angreifer sich tief und dauerhaft in die Unternehmens-IT einnisten.

Das Ziel der Kriminellen ist dabei stets Erpressung:

• Klassisch durch Verschlüsseln relevanter Daten, in deren Folge Ihr Unternehmen arbeitsunfähig wird.
• Ganz ohne Verschlüsseln reicht es oft aus, mit der Veröffentlichung sensibler Daten zu drohen und gegen ein Lösegeld davon abzusehen.
• Es gibt Fälle, bei denen der Verdacht nahe liegt, dass Daten einfach veröffentlicht werden und dabei vorab durch die Kriminellen auf plötzlich sinkende Aktienkurse gewettet wurde. Durch die Veröffentlichung sensibler Daten geht die Wette auf.

Das Active Directory ist zentraler Bestandteil Ihrer IT-Infrastruktur. Es dient der Verwaltung und Authentifizierung von Benutzerkonten, Computern, Ressourcen und Anwendungen. Daher ist die Sicherheit Ihrer Active Directory Umgebung von zentraler Bedeutung. Das Risiko eines erfolgreichen Angriffes wird dadurch minimiert.

Penetrationstests in Kombination mit Konfigurationsprüfungen sind eine der effektivsten Methoden, um Schwachstellen in Ihrer Active Directory Umgebung zu identifizieren. Ein Penetrationstest simuliert einen vorab definierten, zu simulierenden Angriff auf Ihre IT-Infrastruktur und identifiziert potenzielle Schwachstellen und Angriffspunkte, die ein Angreifer ausnutzen könnte. Dabei verwenden wir die Paradigmen „Pre-Assume Breach“ und „Assume Breach“.

„Pre-Assumed Breach“: Dieses Szenario konzentriert sich auf die Frage, ob ein Angreifer überhaupt in der Lage wäre, Schadsoftware erfolgreich auszuführen und somit einen Zugang zu Ihrem Netz zu erlangen. Das Ziel des „Pre-Assumed Breach“-Szenarios ist es, potenzielle Schwachstellen in den Sicherheitsmaßnahmen eingesetzter Clientgeräte zu identifizieren und zu bewerten, wie gut diese gegen einen initialen Angriff geschützt sind.

„Assumed Breach“: Es wird simuliert wie Angreifer im Falle eines bereits erfolgten erfolgreichen Angriffs sich in Ihrem lokalen Netz ausbreiten könnten (Lateral Movement). Es wird also angenommen, dass ein Angreifer bereits Zugriff auf Ihre Active Directory Umgebung hat. Dabei kann es sich um einen verärgerten Mitarbeiter, einen Praktikanten oder einen externen Angreifer handeln.

Um die Szenarien zu realisieren, stellen Sie einen Zugang zu Ihrer Active Directory Umgebung zur Verfügung. Dies geschieht in der Regel durch die Bereitstellung eines Client-Geräts, das bereits Teil des AD ist, sowie eines mit üblichen Berechtigungen konfigurierten Benutzers. Der Aufwand Ihrerseits ist also gering.

Tests können vor Ort durchgeführt werden, sind aber mit Einsatz unserer Pentest-Box erheblich effizienter. Die Box hat nur zwei Anschlüsse: Strom und Netzwerk. Sie konfigurieren den Netzwerkzugang so, dass wir mit den zu testenden Netzwerken kommunizieren können. Die Verbindung zu uns wird über einen sicheren VPN-Kanal hergestellt.

Im Szenario „Pre-Assumed Breach“ prüfen wir die Wirksamkeit von Schutzmechanismen wie bspw. Application Whitelisting oder Antivirus-Lösungen (AV). Es wird getestet, ob diese Mechanismen umgangen werden können, um Schadsoftware erfolgreich auszuführen und ein potenzielles Einfallstor für zukünftige Angriffe zu schaffen. Auch wird überprüft ob lokale Fehlkonfigurationen des Clientgerätes vorliegen durch welche es einem Angreifern möglich ist, seine Berechtigungen lokal zu erweitern oder sensible Daten des Gerätes auszulesen.

Bevor der „Assumed Breach“-Penetrationstest durchgeführt wird, erfolgt eine erste Konfigurationsanalyse der Active Directory Umgebung. Hierbei werden die Einstellungen und Konfigurationen der Umgebung auf mögliche Schwachstellen untersucht. Dabei werden auch bereits bekannte Schwachstellen in der Umgebung berücksichtigt, um gezielt nach möglichen Angriffspunkten zu suchen. Die Ergebnisse dieser toolgestützten Prüfung werden anschließend verifiziert.

In der praktischen „Assumed Breach“-Prüfung werden dann aufbauend auf der Konfigurationsanalyse die ausnutzbaren Fehlkonfigurationen der AD-Umgebung verifiziert und Lateral Movement-Angriffe ausgeführt. Hierbei werden verschiedene Angriffsmethoden eingesetzt, um mögliche Schwachstellen aufzudecken und ggf. im Verlauf der Prüfung weitere Benutzerzugänge zu kompromittieren, dies beinhaltet optional auch das Erraten von kryptographisch umgewandelten Benutzerpasswörtern durch Brute-Force oder regelbasierte Wortlistenangriffe. Darüber hinaus werden mögliche Angriffspfade identifiziert, die Benutzer ausnutzen können, um ggf. weitere Zugänge zu kompromittieren oder ihre Berechtigungen unberechtigt zu erhöhen. Zusätzlich wird eine Sicherheitsanalyse der verwendeten Freigaben im Netzwerk durchgeführt, um ggf. falsch konfigurierte Berechtigungen zu erkennen.