Defense in Depth — Verteidigung in der Tiefe

Ich lasse mich nicht durch oberflächliche Schutzmaßnahmen aufhalten.

Bis zum obersten Zimmer des Burgturms sind es einige Stufen. — Quelle

Wo lagern Sie die Kronjuwelen? Im Burgturm ganz oben, im Vorhof oder noch vor der Zugbrücke? Blöde Frage eigentlich. Natürlich schützen Sie Ihre Infrastruktur, aber vielleicht übersehen Sie ein paar Abkürzungen.

Meine militärische Vergangenheit hilft mir einen ganz anderen Blick für die Dinge zu entwickeln.

Als Angreifer gehe ich den Weg des geringsten Widerstandes. Ich mache es mir einfach, aber nicht zu einfach.

Phase 1

Aufklärung

Ich schaue mir das Angriffsziel aus allen Richtungen an. Ich schaue mir die frei verfügbaren Informationen an und lese zwischen den Zeilen. Daraus erstelle ich eine Liste und bewerte, wo ein Angriff am erfolgreichsten sein könnte. Dabei können unterschiedliche Faktoren eine Rolle spielen: Möglichst unentdeckt zu bleiben, möglichst schnell zu sein oder auch mit geringem Aufwand auszukommen.

Kompromittierung

Ich gehe die Liste durch und prüfe alle Möglichkeiten. Mindestens ein Punkt auf der Liste sollte mich weiterbringen und es ermöglichen, den äußeren Sicherheitsbereich zu durchbrechen. Spear Phishing oder Social Engineering klappen erstaunlich gut, auch wenn es einiges an Mehraufwand bedeutet.

Persistieren

Da ich damit rechne, dass die von mir gefundene Lücke geschlossen wird, verankere ich mich im System und schaffe mir einen ständigen Remotezugang, der auf den ersten Blick nicht zu erkennen ist. Nun kann ich in Ruhe weiterarbeiten.

Einen Angreifer hier aufzuhalten ist schwer. Es gibt sehr viele Angriffe, die aber oft im Grundrauschen untergehen.

Phase 2

interne Aufklärung

Im internen Netzwerk angekommen, verhalte ich mich wie nach Möglichkeit wie ein normaler Mitarbeiter. Keine ausgefallenen Aktivitäten, nutzen der ausgetretenen Pfade. Ich finde schon hier eine Reihe von wertvollen Informationen, die mir helfen das Unternehmen weiter zu kompromittieren. Allein das Lesen der ganzen Intranetartikel bietet mir einen guten Überblick.

laterale Bewegung

Sobald ich ein System gefunden habe, das mich meinem Ziel näher bringt, bereite ich auf den nächsten Schritt vor. Vernachlässigte Bestandssysteme, die kurz vor dem Auslaufen sind, werden kaum beachtet. Hier gibt es viele Möglichkeiten erfolgreich weiter zu kommen.

Rechteausweitung

Ich habe den Sprung auf ein “neues” altes System geschafft. Hier kann ich ungestört zum Administrator werden ohne Aufsehen zu erregen. Die weitreichenden Rechte verkürzen die Distanz zu meinem Ziel erheblich.

Präsenz sichern

Damit ich nicht ständig über mehrere Systeme gehen muss, richte ich mir direkte Verbindungen zu meinen kompromittierten Systeme ein. Zwar wird immer vom Durchbrechen der “Killchain” gesprochen, um einen Angreifer auszusperren, aber ich arbeite mit Netz und doppeltem Boden. Sobald mir ein Vektor wegfällt, habe ich noch einen zweiten.

Einen Angreifer hier aufzuhalten ist möglich, aber bedeutet konstante Arbeit — manchmal über Wochen — für den Verteidiger. Es gibt viele Stellen an denen eine unbefugte Nutzung von Systemen eindeutige Logeinträge hinterlässt. Allerdings müssen diese Logeinträge auch gelesen werden. Alle zu erwischen und die wesentlichen auszuwerten ist ein großer Aufwand, den viele Firmen nicht leisten wollen oder können.

Phase 3

Ziel erreichen

Ich habe das Netzwerk, die Systeme und Daten soweit unter meiner Kontrolle, sodass ich aus mehreren Richtungen mein Ziel erreichen kann. Ich bereite mich in Ruhe vor und teste alle benötigten Schritte. Sobald ich weiß, dass alles funktioniert, führe ich meinen Plan aus und erreiche mein Ziel.

Aufräumen? Wozu? Bisher hat mich niemand gefunden. Vermutlich wird es noch 200 Tage dauern, bis ich gefunden werde. Genügend Zeit mich auf wenig beachtete Systeme zu verschieben. Wenn ich noch einmal zurückkommen muss, kann ich sofort die alten Zugänge nutzen. Falls ich Verwirrung stiften möchte, lege ich eine “False Flag”. Dann war es wieder der “böse” Chinese oder Russe oder Amerikaner oder Deutsche, was am “besten” passt.

Fazit

An jeder Stelle kann ich entdeckt und aufgehalten werden. Aber das Gebiet ist so weitreichend, dass ein Verteidiger kaum alles sehen kann. Eine Unachtsamkeit reicht mir aus, um die nächste Hürde zu nehmen. Eine unfaire Partie. Meistens verhilft mir Nachlässigkeit zum Erfolg. Nachlässigkeit im Design, der Implementierung und der Überwachung der Systeme. Das kann nicht mit einem Patch oder einer Appliance verhindert werden. Das kann nur verhindert werden, indem Verteidiger wie Angreifer denken und so ihre Burg absichern. Auf jeder Ebene angemessene Sicherheitsmaßnahmen. Keine Annahme, dass es niemand bis dahin schafft; das macht blind.