Mit offensiver Sicherheit oder „OffSec“ wird eine Reihe proaktiver Sicherheitsstrategien bezeichnet, bei denen dieselben Taktiken wie böswillige Akteure bei realen Angriffen angewendet werden, um die Netzwerksicherheit zu stärken, statt sie zu schädigen. Zu den gängigen offensiven Sicherheitsmethoden gehören Red Teaming, Penetrationsprüfungen und Anfälligkeitsbewertungen.
Offensive Sicherheitsoperationen werden oft von ethischen Hackern durchgeführt – Cybersicherheitsexperten, die ihre Hacking-Fähigkeiten einsetzen, um IT-Systemfehler zu finden und zu korrigieren. Ethische Hacker führen simulierte Einbrüche mit Genehmigung durch, im Gegensatz zu echten Cyberkriminellen, die in Systeme eindringen, um vertrauliche Daten zu stehlen oder Malware einzuschleusen. Sie stoppen, kurz bevor sie echten Schaden anrichten, und nutzen die Erkenntnisse aus ihren gefälschten Angriffen, um Unternehmen bei der Verbesserung ihrer Abwehr zu unterstützen.
In der Vergangenheit wurde mit offensiver Sicherheit auch eine Strategie zur Frustration potenzieller Angreifer bezeichnet, beispielsweise indem Bedrohungsakteure in Dead-End-Directories gelockt werden. Diese antagonistischen Methoden sind in der heutigen Informationssicherheit weniger verbreitet.
Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Erkenntnisse, um das Risiko einer Datenschutzverletzung besser zu managen.
Registrieren Sie sich für den X-Force Threat Intelligence Index
Um zu verstehen, warum offensive Sicherheit wichtig ist, ist der Vergleich mit defensiver Sicherheit hilfreich.
Defensive Sicherheitsmaßnahmen wie Antivirensoftware und Firewalls sind von ihrem Konzept her reaktiv. Diese Tools wurden entwickelt, um entweder bekannte Bedrohungen zu blockieren oder verdächtiges Verhalten zu erkennen. Einige erweiterte defensive Sicherheitstools, wie z. B. SOAR-Plattformen, können auch Reaktionen auf laufende Angriffe automatisieren.
Zwar können defensive Sicherheitstaktiken dazu beitragen, laufende Cyberangriffe zu vereiteln, doch sind diese Methoden mit einem hohen Arbeitsaufwand für Sicherheitsteams verbunden. Analysten müssen Warnungen und Daten sortieren, um eine echte Bedrohung von einem Fehlalarm zu unterscheiden. Ebenso können defensive Sicherheitsmaßnahmen nur vor bekannten Angriffsvektoren schützen. Das führt dazu, dass Unternehmen neuen und unbekannten Cyberbedrohungen ausgesetzt sind.
Offensive Sicherheit ergänzt defensive Sicherheit. Sicherheitsteams nutzen OffSec-Taktiken, um unbekannte Angriffsvektoren, die andere Sicherheitsmaßnahmen möglicherweise übersehen, zu erkennen und darauf zu reagieren. Offensive Sicherheit ist auch proaktiver als defensive Sicherheit. Statt auf Cyberangriffe zu reagieren, wenn sie eintreten, finden und beheben offensive Sicherheitsmaßnahmen Schwachstellen, bevor Angreifer sie ausnutzen können.
Kurz gesagt: Offensive Sicherheit liefert Informationen, durch die die defensive Sicherheit noch effektiver wird. Sie reduziert auch die Belastung der Sicherheitsteams. Aufgrund dieser Vorteile ist offensive Sicherheit in einigen stark regulierten Sektoren ein Industriestandard.
Die Taktiken, Techniken und Verfahren (TTPs), die offensive Sicherheitsexperten verwenden, sind die gleichen, die auch von Bedrohungsakteuren eingesetzt werden. Mithilfe dieser TTPs können OffSec-Experten beim Testen bestehender Sicherheitsprogramme potenzielle Sicherheitslücken ausfindig machen, die echte Hacker ausnutzen könnten.
Zu den wichtigsten offensiven Sicherheitstaktiken gehören:
Das Sicherheitslücken-Scanning ist ein automatisierter Prozess zur Erkennung von Sicherheitslücken in den IT-Ressourcen eines Unternehmens. Dabei wird ein spezielles Tool verwendet, um Computersysteme auf Sicherheitslücken zu scannen.
Sicherheitslückenscanner können Assets nach bekannten Sicherheitslücken durchsuchen, die mit bestimmten Softwareversionen zusammenhängen. Sie können auch eher aktivere Tests durchführen, z. B. um zu prüfen, wie Anwendungen auf gängige SQL-Injection-Zeichenfolgen oder andere schädliche Eingaben reagieren.
Hacker verwenden häufig Sicherheitslückenscans, um Sicherheitslücken zu identifizieren, die sie bei einem Angriff ausnutzen können. OffSec-Experten wiederum verwenden dieselben Sicherheitslückenscanner, um diese Sicherheitslücken zu finden und zu schließen, bevor Hacker sie ausnutzen können. Durch diesen proaktiven Ansatz können Unternehmen Bedrohungen immer einen Schritt voraus sein und ihren Schutz erhöhen.
Penetrationsprüfungen oder „Pen-Tests“ sind simulierte Cyberangriffe, um Sicherheitslücken in Computersystemen zu finden. Im Prinzip agieren Pen-Tester als menschliche Sicherheitslückenscanner und suchen nach Netzwerkfehlern, indem sie echte Hacker imitieren. Pen-Tester nehmen die Perspektive des Angreifers ein, was ihnen wiederum ermöglicht, die Schwachstellen, auf die böswillige Akteure am ehesten abzielen, effektiv zu ermitteln.
Da Sicherheitsexperten Pen-Tests durchführen, können sie Sicherheitslücken erkennen, die vollautomatische Tools möglicherweise übersehen, und es ist weniger wahrscheinlich, dass Fehlalarme angezeigt werden. Wenn die Tester einen Mangel ausnutzen können, können Cyberkriminelle das auch. Und da Pen-Tests häufig von Sicherheitsdiensten anderer Anbieter durchgeführt werden, können diese häufig Mängel finden, die internen Sicherheitsteams möglicherweise entgehen.
Red Teaming, auch bekannt als „Angreifersimulation“, ist eine Übung, bei der eine Gruppe von Experten die TTPs realer Cyberkrimineller verwendet, um einen simulierten Angriff auf ein Computersystem zu starten.
Im Gegensatz zu Pen-Tests handelt es sich beim Red Teaming um eine Angreifer-Sicherheitsbewertung. Das rote Team nutzt aktiv Angriffsvektoren, ohne echten Schaden zu verursachen, um zu sehen, wie weit sie gehen können. Das rote Team tritt auch gegen ein blaues Team von Sicherheitsingenieuren an, die es aufhalten wollen. So erhält das Unternehmen die Möglichkeit, seine Prozeduren zur Reaktion auf Vorfälle in der Praxis zu testen.
Unternehmen beschäftigen entweder ein internes rotes Team oder beauftragen einen anderen Anbieter mit der Durchführung von Red-Team-Übungen. Um sowohl technische Abwehrmaßnahmen als auch das Bewusstsein der Mitarbeiter zu testen, kann in Red-Team-Operationen eine Reihe von Taktiken angewendet werden. Zu den gängigen Red-Team-Methoden gehören Ransomware-Angriffe, Phishing- und andere Social-Engineering-Simulationen und sogar Angriffsmethoden vor Ort wie Tailgating.
Rote Teams können je nach der Menge der ihnen zur Verfügung stehenden Informationen verschiedene Arten von Tests durchführen. Bei einem Whitebox-Test hat das rote Team volle Transparenz über die interne Struktur und den Quellcode des Zielsystems. Bei einem Blackbox-Test hat das rote Team keine Informationen über das System und muss von außen eindringen, ähnlich wie Hacker in der realen Welt. Bei einem Graybox-Test verfügt das rote Team womöglich über einige grundlegende Kenntnisse über das Zielsystem, wie IP-Bereiche für Netzwerkgeräte, aber nicht viel mehr.
Praktische Hacking-Erfahrung, Kenntnisse von Programmiersprachen und Vertrautheit mit der Sicherheit von Webanwendungen sind für offensive Sicherheitsmaßnahmen unerlässlich. Um ihr Fachwissen in diesen Bereichen zu validieren, erwerben Sicherheitsexperten häufig Zertifizierungen wie Offensive Security Certified Professional (OSCP) oder Certified Ethical Hacker (CEH).
OffSec-Teams folgen auch etablierten ethischen Hacking-Methoden, darunter Open-Source-Projekte wie dem Open Source Security Testing Methodology Manual (OSSTMM) und dem Penetration Testing Execution Standard (PTES).
Offensive Sicherheitsexperten sind auch mit gängigen offensiven Sicherheitstools vertraut, dazu zählen:
Metasploit: Ein Framework für die Entwicklung und Automatisierung von Exploits gegen IT-Systeme. Es wird hauptsächlich für Pen-Tests und Anfälligkeitsbewertungen verwendet.
Kali Linux: Ein Linux-Betriebssystem für Pen-Tests und digitale Forensik.
Burp Suite: Ein Sicherheitstest-Tool für Webanwendungen, das nach Sicherheitslücken suchen, den Web-Traffic abfangen und ändern sowie Angriffe automatisieren kann.
Wireshark: Ein Netzwerkprotokoll-Analyseprogramm, das den Netzwerkverkehr aufzeichnet und überprüft und so hilft, Sicherheitsprobleme in der Netzwerkkommunikation zu erkennen.
Nmap: Ein Netzwerkscan-Tool, das für die Netzerkennung, das Port-Scannen und die Dienst-Identifizierung verwendet wird.
Aircrack-ng: Eine Tool-Suite zum Testen der WLAN-Netzsicherheit. Es kann Pakete aufspüren, Handshakes erfassen und Passwortverschlüsselungen knacken.
John the Ripper: Ein Tool zum Knacken von Kennwörtern, das Brute-Force-Angriffe gegen Kennworthashes durchführt.
sqlmap: Ein Tool, das den Prozess der Ausnutzung von SQL-Injection-Sicherheitslücken in Web-Apps automatisiert.
Die offensiven Sicherheitsservices von X-Force Red können Sie bei der Identifizierung, Priorisierung und Behebung von Sicherheitsmängeln in Ihrem gesamten digitalen und physischen Ökosystem unterstützen.
Decken Sie Schatten-IT auf und bringen Sie mit korrelierten, auf Tatsachen beruhenden Erkenntnissen, die auf gegnerischer Versuchung basieren, schnell ans Ziel. Die optimierten Arbeitsabläufe verbessern Ihre allgemeine Ausfallsicherheit durch die Integration in Ihr bestehendes Sicherheits-Ökosystem.
Führen Sie ein Programm für das Schwachstellenmanagement ein, das Sicherheitslücken, die Ihre wichtigsten Assets gefährden könnten, identifiziert, priorisiert und deren Behebung verwaltet.
Durch Angreifersimulationsübungen, z. B. Red Teaming und Purple Teaming, können Lücken bei Ihren Incident-Response-Teams, Kontrollen und Prozessen aufgedeckt und geschlossen werden, um so den Schaden zu minimieren, sollte es zu einem Sicherheitsverstoß kommen.
Penetrationsprüfungen sind inszenierte Sicherheitsangriffe, mit denen Pen-Tester den Sicherheitsteams helfen, kritische Sicherheitsschwachstellen aufzudecken und den allgemeinen Sicherheitsstatus zu verbessern.
Schwachstellenmanagement ist die kontinuierliche Entdeckung, Priorisierung und Behebung von Sicherheitsschwachstellen in der IT-Infrastruktur und Software eines Unternehmens.
Hacking (auch Cyber-Hacking genannt) ist die Verwendung unkonventioneller oder illegaler Mittel, um unbefugten Zugriff auf ein digitales Gerät, Computersystem oder Computernetzwerk zu erlangen.