Bei einer “Cyber Attack Simulation” werden im Rahmen eines realistischen Hacker-Angriffes die Erkennungs- und Abwehrmechanismen eines Unternehmens geprüft. Die CSP hat sich dieser Herausforderung gestellt und durch die Compass Security angreifen lassen. Im Rahmen von drei Blog-Beiträgen möchten wir unsere Erfahrungen und Erkenntnisse teilen:
- Teil 1: Ausgangslage und Rahmenbedingungen
- Teil 2: Ergebnisse und Erkenntnisse
- Teil 3: Behind the scenes
Ausgangslage und Rahmenbedingungen
Die CSP AG ist in den letzten Jahren stark gewachsen und setzt für die eigene IT vermehrt auf Cloud-Dienstleistungen. Damit verbunden sind auch sich laufend verändernde Anforderungen und Rahmenbedingungen zum Schutz unserer Daten.
Nach der Implementierung eines Informationssicherheits-Managementsystems (ISMS), welches Massnahmen auf verschiedenen Ebenen beinhaltet (Organisation, Prozesse, Technik, Awareness, Weisungen usw.) stellt sich die Frage, wie effektiv diese in der Praxis funktionieren. Eine Möglichkeit, dies für alle Beteiligten (Geschäftsleitung, IT-Abteilung, IT-Sicherheitsbeauftragter, Mitarbeitende) greifbar und verständlich zu prüfen, ist eine Cyber Attack Simulation.
Wir haben uns dieser Herausforderung gestellt und uns von der Compass Security[1] «angreifen» lassen. Bei der Planung dieser Angriffssimulation wurden insbesondere folgende Aspekte gemeinsam definiert:
- Auswahl des Szenarios: Das Szenario soll möglichst praxisnah und risikobasiert ausgewählt werden. Weil wir, je nach Schutzbedarf, ein Teil unserer Daten in der Cloud mit Microsoft 365 bearbeiten und in SharePoint Online speichern haben wir uns für eine Angriffssimulation auf SharePoint Online entschieden.
- Ziele des Vorhabens: Mit diesem Selbstversuch sollen gleich mehrere Ziele unterschiedlicher Stakeholder adressiert werden:
- CISO: Überprüfen der im Rahmen des ISMS implementierten Massnahmen (insb. technische Massnahmen, Schulung der Mitarbeitenden, Meldung von Sicherheitsvorfällen, Erkennung von Sicherheitsvorfällen)
- IT-Abteilung: Überprüfen der Sicherheitskonfiguration von M365 in der Praxis
- Geschäftsleitung: Externe, neutrale Standortbestimmung zum Schutz der eigenen Daten
- Mitarbeitende: Überprüfen der Schulung und Awareness
- Definition des Ziels für die Angreifer: Das Ziel war der Zugriff auf fiktive Kundendaten in SharePoint Online.
- Eingesetzte Taktiken und Techniken: Das MITRE ATT&CK® Framework beschreibt “tactics, techniques und procedures (TTPS)”, welche bei Hacker-Angriffen angewendet werden. Hier haben wir den Angreifern grösstenteils freie Hand gelassen. Sie sollen vorgehen, wie dies ein «echter» Hacker auch tun würde und primär den Weg des geringsten Widerstandes gehen.
- Einbezug der Mitarbeitenden und der IT-Abteilung: Die Angriffssimulation wurde in eine Awareness-Kampagne verpackt. Die Mitarbeitenden wurden informiert, dass Angriffe stattfinden werden, jedoch nicht wann und wie. Die IT-Abteilung war im Kernteam vertreten.
- Hilfestellung für die Angreifer: Um die Simulation möglichst effektiv zu gestalten und das vorhandene Budget zielgerichtet zu nutzen, haben die Angreifer einige Insider-Informationen erhalten. Diese haben insbesondere den Zeit- und Ressourcenbedarf für die Phasen «Reconnaissance», «Resource Development» und «Discovery» gemäss MITRE ATT&CK Framework
- Kommunikation: Während der Simulation wurde ein Kernteam laufend über die Hacker-Angriffe informiert und hat Entscheidungen zum weiteren Vorgehen getroffen. Die Ergebnisse wurden der GL präsentiert diese entschied jeweils über die weitere interne (und externe) Kommunikation.
- Zeitraum: Um die Angriffssimulation gleichzeitig für eine Awareness-Kampagne nutzen zu können fanden die Angriffe innerhalb eines Zeitfensters von 5 Monaten statt.
- Ausnahmen: Ausgenommen war die Kompromittierung von produktiven/echten Kundendaten oder Kundengeräten.
- Vorgehen bei erfolgreicher Kompromittierung: Allfällig aufgedeckte Sicherheitslücken oder Zugangsinformationen müssen vertraulich behandelt und zeitnah behoben/angepasst werden.
Die folgende Grafik zeigt eine Übersicht des gesamten Vorhabens:
Waren die fiktiven Angreifer erfolgreich? Wie sind sie vorgegangen? Haben sie ihr Ziel erreicht? Weitere Einblicke in unseren Selbstversuch finden Sie ab dem 02. November in Teil unserer Blogserie.
Wenn Sie mehr zu den Themen Informationssicherheits-Managementsystem (ISMS), Security-Awareness oder einer Standortbestimmung zum Thema erfahren möchten, wenden Sie sich bitte an Peter Flütsch.
[1] Die Compass Security ist auf die Themen Red-Teaming, Penetration Tests, Managed Detection and Response und Digital Forensics and Incident Response spezialisiert. Bei Fragen wenden sie sich bitte an Cyrill Brunschwiler, cyrill.brunschwiler@compass-security.com