Zurück

Assumed Breach

Vorbereitung auf interne Angriffe

Ich denke, wir sind uns in der IT-Security einig, dass es keinen hundertprozentigen Schutz vor Cyber-Angriffen geben kann. Im Assumed Breach Szenario gehen wir davon aus, dass sich ein böswilliger Angreifer bereits Zugang zu Ihrem internen Netzwerk verschafft hat. Kompromittierte vertrauenswürdige interne Verbindungen (Trusted Relationship oder Valid Accounts) sind ein mögliches Szenario. Ein weiteres Beispiel bildet das klassische Praktikanten Szenario.

Im Assumed Breach Szenario kläre ich wichtige Fragen zu Ihrer IT-Sicherheit: Wie weit schafft es ein (interner) Angreifer in der Post-Breach Phase in ihrem Netzwerk? Ist es möglich, auch als unberechtigter Benutzer auf sensible Kundendaten zuzugreifen und diese über verschiedene Kanäle zu extrahieren? Gibt es Schwachstellen oder Fehlkonfigurationen im Microsoft Active Directory (AD), die über kurz oder lang zu einer Kompromittierung Ihres Active Directory führen? Bemerken Ihre internen Verteidiger unautorisierte Aktivitäten im Netzwerk und wie schnell reagieren sie? Wie ist Ihre Visibilität im Netzwerk und am Endpoint?

Gibt es Schwachstellen oder Fehlkonfigurationen im Microsoft Active Directory (AD), die über kurz oder lang zu einer Kompromittierung Ihres Active Directory führen? Bemerken Ihre internen Verteidiger unautorisierte Aktivitäten im Netzwerk und wie schnell reagieren sie? Wie ist Ihre Visibilität im Netzwerk und am Endpoint?

Wie ich beim Assumed Breach Szenario vorgehe

Planung | Scoping

Im ersten Schritt definiere ich in Absprache mit meinen Kunden ein mögliches Szenario für das Assumed Breach Assessment - dies kann z.B. ein Praktikantenszenario sein. Anschließend definieren wir mögliche Ziele - dies kann z.B. die Kompromittierung des CEO-Accounts bzw. dessen Workstation, die Kompromittierung bestimmter User-Accounts (z.B. Systemadministratoren) oder die Übernahme des Microsoft Active Directory sein. Im Idealfall sollten so wenig Mitarbeiter wie möglich involviert sein (White Team), denn so erhalten Sie ein wirklich realistisches und unverzerrtes Bild des IST-Zustandes Ihres aktuellen IT-Security und IT-Defense Levels.
Methodik | Umsetzung

Je nach definiertem Szenario beginne ich z.B. als unprivilegierter User auf einem Ihrer Windows Clients in Ihrer Domäne. Ich beginne mit einer ersten Internal Discovery und verschaffe mir einen ersten Überblick über Ihre interne Infrastruktur, mögliche Schwachstellen, Fehlkonfigurationen im Active Directory etc. Darauf aufbauend versuche ich in der Post-Breach-Phase die zuvor definierten Ziele zu erreichen. Im Vergleich zu einem internen Penetration Test agiere ich möglichst unauffällig und spiele meine Stärken im Bereich Defense Evasion voll aus. Am Ende des Tages gewinnen Sie wertvolle Erkenntnisse über die Stärken und Schwächen Ihres EDR und darüber, wie Ihre internen Verteidiger auf den Cyber-Angriff reagieren bzw. ob sie die Aktivitäten im eigenen Netzwerk überhaupt bemerken.
Report | Weiterentwicklung

Das Assumed Breach Assessment endet mit einem Abschlussbericht und einer Abschlusspräsentation. Sie erhalten ein unverzerrtes Bild Ihrer aktuellen Stärken und Schwächen sowohl auf technischer als auch auf Verteidigerebene. Wie weit bin ich gekommen? Habe ich die gesetzten Ziele erreicht? Wie steht es um den Schutz Ihrer sensiblen Unternehmensdaten? Welche Aktivitäten sind Ihren internen Verteidigern aufgefallen? Wie haben Ihre Verteidiger generell auf den Cyber-Angriff reagiert? Wie hat Ihr EDR in den verschiedenen Post-Breach-Phasen (Detection und Response) reagiert?
Basierend auf den Antworten auf diese Fragen können die nächsten Schritte festgelegt werden.

Warum Assumed Breach bei RedOps?

Beim Assumed Breach Szenario gehen ich wie beim Red Team Approach vor, mit dem Unterschied, dass die Phase des Initial Access entfällt. Durch meine Stärken im Bereich Defense Evasion stelle ich Ihre Verteidiger auf eine harte Probe.

Mit RedOps verfolge ich einen ganzheitlichen und realistischen Ansatz. Am Ende des Tages erhalten Sie ein unverzerrtes Bild über den aktuellen IST-Zustand Ihrer Verteidiger und Ihrer technischen IT-Sicherheit.

Verantwortung und Integrität

Wer Offensive Security Services in Anspruch nimmt und sich bewusst einem ethischen Hackerangriff aussetzt, sollte dies mit einem Partner tun, auf den er sich absolut verlassen kann. Ich behandle alle Informationen streng vertraulich und bin 100% integer in dem, was ich tue.
Forschungsorientierung

IT-Security ist kein Produkt, sondern ein ständiger Lernprozess. Deshalb investiere ich viel Zeit in Weiterbildung und Forschung. Meine Ergebnisse im Bereich Endpoint Security konnte ich bereits auf mehreren internationalen IT-Security Konferenzen präsentieren.
Qualität statt Quantität

Mit der Offensive Security habe ich meine Leidenschaft zu meiner Kernkompetenz gemacht. Ich verkaufe keine Produkte oder Lizenzen, sondern lebe rein von meiner Expertise im Bereich der IT-Security. Qualität geht bei mir klar vor Quantität.

Making sense of IT:Security

Red Team Approach

Beim Red Team Approach handelt es sich um ein Tool, das kleinen und mittleren Unternehmen (KMUs) ermöglicht, reale Cyber-Angriffe zu simulieren.

Penetration Testing

Penetration Testing konzentriert sich auf die technische Analyse Ihrer Systeme und bildet die Grundlage für einen effektiven Härtungsprozess.

Egress / C2-Test

Der Egress / C2-Test untersucht, über welche Protokolle, Ports und Kanäle ein böswilliger Angreifer Command and Control (C2) Verbindungen von innen nach außen aufbauen kann.