Cyberangreifer gehen vor, indem sie die Netzwerke und Anwendungen ihrer Zielorganisationen – ihre digitale Angriffsfläche – scannen, um mehrstufige Angriffe mithilfe verschiedener Techniken und Verfahren durchzuführen, die entdeckte und Zero-Day-Schwachstellen ausnutzen. In diesem Dokument betrachten wir mehrere Bedrohungsklassen, gegen die sich Unternehmen verteidigen müssen, und betonen die Verwendung von Zero-Trust-Prinzipien, um die Chancen zu erhöhen, den Schaden durch die Aktivitäten von Gegnern einzudämmen. Anschließend werfen wir einen kurzen Blick auf die Taktiken, Techniken und Verfahren der Angreifer, die im MITRE ATT&CK-Framework kodifiziert sind. Abschließend besprechen wir das MITRE D3FEND-Framework und ordnen es den Zero-Trust-Prinzipien zu. 

Das National Institute of Standards and Technology (NIST) bietet in seinem Glossar des Computer Security Resource Center (CSRC) eine abstrakte Definition der „Angriffsfläche“ als „die Menge von Punkten an der Grenze eines Systems, eines Systemelements oder einer Umgebung, an der ein Angreifer versuchen kann, in das System, Systemelement oder die Umgebung einzudringen, dort Einfluss auszuüben oder Daten daraus zu extrahieren.“

Eine andere Möglichkeit, sich die „Angriffsfläche“ vorzustellen, besteht darin, alle bekannten und unbekannten Schwachstellen zu berücksichtigen, die in verschiedenen Komponenten der digitalen Umgebung lauern. Eine nicht abschließende Liste solcher Komponenten würde Folgendes beinhalten: 

• Physische und virtuelle Netzwerk-, Rechen- und Speicherressourcen
  
• Hypervisoren, virtuelle Maschinen, Container-Orchestrierungssysteme, Service Meshes
  
• Software, die auf diesen Assets läuft, wie Firmware, Betriebssysteme, Datenbankverwaltungssoftware, Anwendungssoftware
  
• Container-Image-Repositorys, VM-Image-Repositorys, Code-Repositorys
  
• Interne und externe APIs, Microservice-Endpunkte, Anwendungsportale
  
• Dienste, die außerhalb der lokalen Umgebung liegen, aber lokal genutzt werden, wie z. B. Identitätsvalidierungsdienste, Zeitserver und Remote-Datenspeicher
  
• Identitätsspeicher, Benutzerkontodatenbanken, Geschäftsdatenspeicher

Um das Geschäftsrisiko zu minimieren, müssen Unternehmen ihre eigenen digitalen Vermögenswerte und ihr geistiges Eigentum sowie die Privatsphäre ihrer Kunden und Mitarbeiter schützen und gleichzeitig alle gesetzlichen Compliance-Anforderungen erfüllen. Dabei müssen sie gleichzeitig sicherstellen, dass Geschäftsabläufe und digitale Erlebnisse weiterhin verfügbar und zuverlässig sind. Die Lösung für diese Herausforderung besteht in der Einhaltung der Zero-Trust-Prinzipien: Anwendung der geringsten Privilegien, explizite Überprüfung, kontinuierliche Bewertung und Annahme eines Verstoßes.¹ Auf diese Weise können Organisationen eine Reihe verschiedener Bedrohungsklassen angehen, wie in den folgenden Abschnitten erläutert.

Daten sind das Lebenselixier moderner digitaler Unternehmen. Daher haben Angreifer starke finanzielle Motive, es auf die Daten eines Unternehmens abgesehen zu haben. Nach dem Diebstahl können die Daten im Darknet verkauft und von Dritten verwendet werden, um dem Dateneigentümer weiteren Schaden zuzufügen. Eine Organisation kann auch Opfer von Ransomware werden, bei der Angreifer die Daten der Organisation unzugänglich machen, indem sie diese entweder an Ort und Stelle verschlüsseln oder sie vollständig aus der Infrastruktur der Organisation entfernen. Die Angreifer können dann vom Opfer eine Zahlung – ein „Lösegeld“ – für die Wiederherstellung der Daten verlangen. Eine dritte Klasse von Datenangriffen wird von Akteuren eingesetzt, die einfach nur Schaden anrichten wollen. Dabei geht es darum, die Daten subtil zu beschädigen und so die Geschäftsprozesse und die davon abhängigen digitalen Erlebnisse zu stören. 

Ein Datenleck oder eine Datenpanne liegt vor, wenn sich ein Angreifer ohne die Zustimmung des Eigentümers Zugriff auf vertrauliche Informationen verschafft. Neben den Auswirkungen auf das geistige Eigentum führen diese Angriffe häufig auch zu Markenschäden und Vertrauensverlust. Das Gesetz verpflichtet Organisationen, von Datendiebstählen betroffen sind, jeden Verlust von Daten, die personenbezogene Daten enthalten, zu melden. Phishing-Techniken, das Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen und der Einsatz von Supply-Chain-Kompromittierungen sind beliebte Methoden, um in die digitale Umgebung einzudringen, in der Daten gespeichert sind.

Ein bemerkenswertes aktuelles Beispiel ist der Angriff auf die Lieferkette von SolarWinds.² die Angreifer nutzten, um in Tausende von Unternehmen und Regierungsorganisationen einzudringen. Dieser erste Zugriff diente als Sprungbrett für nachfolgende Angriffsschritte, indem er eine dauerhafte Präsenz in der digitalen Infrastruktur etablierte und so eine laterale Bewegung über mehrere Anwendungen und Netzwerke des Opfers hinweg ermöglichte. Letztendlich führten diese Taktiken zum Endziel des Angreifers: Er wollte Anmeldeinformationen/Passwörter kompromittieren und die Daten des Opfers exfiltrieren. 

Eine weitere Form des Angriffs auf Daten sind „Ransomware“-Angriffe, bei denen Hacker Schadsoftware einsetzen, um wichtige Geschäftsprozesse zu stören oder vollständig zu blockieren. In den meisten Fällen werden wichtige Geschäftsdaten verschlüsselt oder entfernt, wodurch kritische Arbeitsabläufe gestört werden. In manchen Fällen werden auch die Daten im Datenspeicher zur Identitätsauthentifizierung verschlüsselt oder entfernt, wodurch legitime Benutzer effektiv vollständig vom System ausgeschlossen werden. Erst nach Erhalt des „Lösegelds“ stellen die Angreifer den Zugriff auf das System wieder her oder entschlüsseln die Daten. Im Mai 2021 legte ein Ransomware-Angriff Colonial Pipeline lahm.³ das Benzin und Düsentreibstoff in den Südosten der Vereinigten Staaten transportiert.

Einige Angreifer verwenden bei ihren Datenangriffen einen differenzierteren Ansatz. Anstatt die Daten zu exfiltrieren oder unzugänglich zu machen, nehmen diese raffinierten Angreifer eine kleine Anzahl sorgfältig gezielter Änderungen an den vor Ort gespeicherten Daten der betroffenen Organisation vor – und erzielen den Erfolg dabei über die normalen, nach außen gerichteten Arbeitsabläufe der Anwendung. Beispiele hierfür sind etwa die Erhöhung des Anteils der Flugsitze, die mit Rabatt verkauft werden, die Manipulation einer Lagerbestandsdatenbank, um den Anschein zu erwecken, dass mehr oder weniger Artikel zum Verkauf stehen, oder das Hinzufügen eines speziellen Rabattcodes auf einer E-Tail-Site. Diese „verdeckten“ Änderungen, die oft erst zu erkennen sind, wenn der Schaden bereits angerichtet ist, nutzen die Geschäftsabläufe des Opfers aus, um für den Angreifer einen Mehrwert zu erzielen. 

Hacker starten Angriffe, die Ressourcen der Netzwerk- und Computerinfrastruktur verbrauchen, sodass Geschäftsprozesse zum Erliegen kommen oder ineffizient funktionieren. Die Ziele solcher Angriffe variieren von der Schädigung des Rufs des Zielunternehmens über die Erpressung von Zahlungen bis hin zum Erreichen eines bestimmten Geschäftsergebnisses, wie etwa der Sperrung des Online-Ticketverkaufs. Darüber hinaus nutzen fortgeschrittene Angreifer diese Art von Angriff häufig als Ablenkungsmanöver, während sie andere Schritte eines gleichzeitigen, ausgefeilteren Angriffs ausführen. 

Angreifer verwenden Botnetze, um den Angriffsverkehr auf die Ressourcen des Ziels zu lenken und so Distributed-Denial-of-Service-Angriffe (DDoS) zu starten. Volumetrische DDoS-Angriffe überfluten das Netzwerk des Ziels mit Datenverkehr und verbrauchen die gesamte verfügbare Bandbreite. Bei Protokoll-DDoS-Angriffen wird spezieller Datenverkehr gesendet, um die Verbindungstabellen auf zustandsbehafteten Netzwerkgeräten (z. B. Firewalls) zu füllen, sodass legitime Verbindungen unterbrochen werden. DDoS-Angriffe auf Anwendungen verbrauchen mit unrechtmäßigen Anfragen Ressourcen auf den Servern. 

Angreifer können sich unbefugten Zugriff auf Computerressourcen verschaffen, um im Namen des Angreifers Berechnungen durchzuführen, deren Ergebnisse an einen Befehls- und Kontrollserver zurückgemeldet werden. Dies geschieht meistens, um Krypto-Mining-Code im Hintergrund auszuführen, ohne dass der Besitzer des Computers davon weiß. Phishing und Drive-by-Downloads sind typische Methoden, um Krypto-Mining-Code auf Computern bereitzustellen. Hacker nutzen die Lateral-Movement-Taktik von MITRE ATT&CK, um die von ihnen gestohlene CPU-Kapazität zu vergrößern, und die Persistenztaktik, um ihre Fähigkeit zum Ausführen nicht autorisierter Berechnungen aufrechtzuerhalten.

Akteure mit böswilliger Absicht schädigen Organisationen, indem sie einen gewünschten Arbeitsablauf oder das gewünschte Benutzererlebnis missbrauchen. Diese Bedrohungen können zu Umsatzeinbußen, einer Schädigung des Markenimages und höheren Betriebskosten im Zusammenhang mit der Betrugsbekämpfung führen.

Aus Eigennutz getrieben, nutzen Hacker legitime Geschäftsprozesse, um Organisationen zu schaden. Beispielsweise können sie mithilfe der Automatisierung eine große Anzahl an Tickets für eine beliebte Veranstaltung kaufen, sodass es für andere unmöglich ist, sie zu kaufen, und sie dann zu einem höheren Preis verkaufen. 

Geschäftsinformationen können von der öffentlichen Website einer Organisation abgegriffen oder aus internen Systemen gestohlen und dann auf eine Weise verwendet werden, die der Organisation schadet. Beispielsweise könnte ein Konkurrent Preisinformationen abgreifen und seine eigenen Preise senken, um Kunden abzuwerben. 

Hacker können den Inhalt einer öffentlich zugänglichen Website ändern und verunstalten, um ein Unternehmen in Verlegenheit zu bringen. Sie können den Inhalt auch ändern, um den Website-Benutzern falsche Informationen zu übermitteln. 

Betrüger finden Wege, Finanztransaktionen im Namen anderer Benutzer durchzuführen, sodass sie von den Transaktionen profitieren. Sie übernehmen mit gestohlenen Anmeldeinformationen die Kontrolle über ein Konto oder verleiten ahnungslose Benutzer dazu, eine Website aufzurufen, die ihrer üblichen Website ähnelt, und ihre Kontoanmeldeinformationen preiszugeben. Diese Art von Betrug wird typischerweise auf E-Commerce-Websites oder Portalen von Finanzinstituten begangen. Während der COVID-Ära beteiligten sich viele Betrüger am Arbeitslosenbetrug, indem sie unter Verwendung gestohlener Identitäten betrügerische Arbeitslosenanträge stellten und die Leistungen an sich selbst überwiesen.⁴

Ein hartnäckiger Gegner, der eine Bedrohung gegen eine Organisation ausspricht, ist geduldig, organisiert und hochqualifiziert. Um Schaden anzurichten, muss der Angreifer verschiedene taktische Ziele erreichen, etwa Informationen sammeln, sich ersten Zugriff verschaffen, einen Brückenkopf errichten, Informationen stehlen, Daten exfiltrieren und mehr. Das MITRE ATT&CK-Framework⁵ listet taktische Ziele, Techniken zum Erreichen der taktischen Ziele und Verfahren zur Implementierung dieser Techniken auf. Verteidiger können dieses Framework verwenden, um jeden Angriff in seine verschiedenen Taktiken, Techniken und Verfahren (TTPs) zu zerlegen. Diese finden Sie auf der MITRE ATT&CK-Framework-Site . Wir stellen fest, dass bei jeder Taktik und den damit verbundenen Techniken die Einhaltung des Zero-Trust-Prinzips in der gesamten digitalen Umgebung die Erfolgswahrscheinlichkeit der Angreifer verringert und die Wahrscheinlichkeit einer frühzeitigen Erkennung ihrer Aktivitäten erhöht, wie in Abbildung 1 dargestellt. 

Das D3FEND-Framework bietet eine Wissensdatenbank und einen Wissensgraphen für Gegenmaßnahmen, die „semantisch strenge Typen und Beziehungen enthalten, die sowohl die Schlüsselkonzepte im Bereich der Gegenmaßnahmen zur Cybersicherheit als auch die Beziehungen definieren, die erforderlich sind, um diese Konzepte miteinander zu verknüpfen.“⁷ Mithilfe dieses Frameworks können Sicherheitsexperten darüber entscheiden, welche Funktionen zum Schutz vor Bedrohungen erforderlich sind, die für ihre digitale Umgebung relevant sind.

Darüber hinaus ist es möglich, Sicherheitsrisiken im Hinblick auf die Vorbereitung auf die verschiedenen im MITRE ATT&CK-Framework aufgeführten TTPs zu betrachten, indem man die Fähigkeit zur Umsetzung der im D3FEND-Framework aufgeführten relevanten Gegenmaßnahmen berücksichtigt. Das Bindegewebe zwischen den beiden Frameworks ist die Abstraktion des „digitalen Artefakts“. Wenn Angreifer für ihren Angriff eine Reihe von TTPs einsetzen, entstehen durch ihre Aktivität erkennbare digitale Artefakte. Das D3FEND-Framework hilft Praktikern dabei, gezielt nach digitalen Artefakten zu suchen, die durch die Aktivitäten des Gegners erzeugt wurden, und unterstützt sie beim Aufbau eines umsetzbaren Verteidigungsplans.

Wir stellen fest, dass die Kategorien der MITRE D3FEND-Gegenmaßnahmen gut den Zero-Trust-Sicherheitstechniken entsprechen, die auf den Zero-Trust-Prinzipien basieren, wie in Abbildung 2 dargestellt. 

Die heutigen Anwendungen und digitalen Erfahrungen werden durch den geschäftlichen Wunsch nach einer intensiveren Einbindung einer größeren Bandbreite von Zielkunden vorangetrieben, die sowohl Menschen als auch Smart-Geräte einbeziehen, und zwar im breiteren Kontext eines Ökosystems aus vernetzten digitalen Unternehmen, die auf eine zunehmend mobile Belegschaft und Kundenbasis ausgerichtet sind. Gleichzeitig führt die Forderung nach immer größerer Geschäftsflexibilität und -effizienz dazu, dass Anwendungsarchitekturen in viel stärkerem Maße Open-Source- und SaaS-Komponenten nutzen. Folglich ist die Kernanwendung heute von einer tieferen und weniger kontrollierten Infrastruktur abhängig als je zuvor. Moderne Geschäftsanforderungen haben zu einer zunehmenden Komplexität der Anwendungsarchitektur geführt. Dadurch ist eine breitere und dynamischere Bedrohungsfläche entstanden, die von raffinierten Gegnern ausgenutzt wird, die besser finanziert und motivierter sind als je zuvor.

Das MITRE ATT&CK-Framework bietet eine geordnete Nomenklatur für Taktiken, Techniken und Verfahren, die böswillige Akteure zum Ausführen komplexer Angriffe verwenden. Das MITRE D3FEND-Framework gibt einen Wissensgraphen mit Gegenmaßnahmen an, den Organisationen verwenden können, um erkennbare digitale Artefakte zu erkennen, die von den bei einem Angriff verwendeten TTPs erzeugt werden. MITRE D3FEND-Gegenmaßnahmen können mit verschiedenen Zero-Trust-Prinzipien verknüpft werden, und die Einhaltung dieser Prinzipien macht den spezifischen Mechanismus zur Implementierung der Gegenmaßnahme effektiver. 

Laden Sie den Bericht herunter