Denken wie ein Hacker kann die Cybersicherheitsstrategie verbessern

Als Gruppenleiterin für Cyber Adversary Engagement bei MITRE Corp. sieht Maretta Morovitz den Wert darin, den Feind zu kennen - sie kann das Wissen über Cybergegner nutzen, um sie abzulenken und auszutricksen. Zudem kann sie so Strategien entwickeln, die verhindern, dass Bedrohungsakteure ihre Ziele erreichen.

Das könnte bedeuten, Köder zu platzieren, die die Erwartungen der Angreifer ausnutzen, wenn sie sich zum ersten Mal in eine Umgebung hacken, erklärt die Expertin. Eine weitere Möglichkeit sei, sie absichtlich zu verwirren, indem man Szenarien schafft, die nicht mit ihren Erwartungen übereinstimmen.

"Es geht darum, die Verteidigung zu verbessern, indem man weiß, wie sich die Gegner tatsächlich verhalten", so Morovitz, die auch Gruppenleiterin von MITRE Engage ist, einem Rahmenwerk zur Bekämpfung von Cyberangriffen.

Das Konzept, den Gegner zu verstehen, ist kein Novum. Der Krieger Sun Tzu aus dem sechsten Jahrhundert v. Chr. propagierte die Idee "Kenne deinen Feind" in seinem immer noch berühmten Werk "Die Kunst des Krieges". Dieser Ansatz ist auch im Bereich der Cybersicherheit nichts Neues. Das seit Jahrzehnten praktizierte ethische Hacking basiert zum Teil darauf, dass man sich wie ein Bedrohungsakteur verhält, um Schwachstellen in den IT-Umgebungen von Unternehmen zu finden.

Lesetipp: Ethical Hacking- Tipps zum Einsatz von ethischen Hackern

In ähnlicher Weise arbeiten Sicherheitsverantwortliche in Unternehmen seit langem daran, ihre potenziellen Gegner zu identifizieren und herauszufinden, worauf sie möglicherweise aus sind. Ihre Fähigkeit, sich in die Denkweise von Hackern hineinzuversetzen, wurde jedoch sowohl durch die verfügbaren Ressourcen und das Wissen als auch durch herkömmliche Strategien eingeschränkt. Diese setzen zunächst auf die Perimeterverteidigung und dann auf abgestufte Verteidigungsmaßnahmen, die den wertvollsten Anlagen den höchsten Schutz bieten.

Hacker-Denken hilft bei der Gestaltung der Sicherheitsstrategie

Sicherheitsexperten plädieren nun dafür, dass CISOs und ihre Sicherheitsteams Bedrohungsdaten, Sicherheits-Frameworks und Red-Team-Fähigkeiten nutzen, um wie ein Hacker zu denken und diese Erkenntnisse zur Gestaltung von Sicherheitsstrategien einzusetzen. Dies bedeutet ihrer Meinung nach, dass die Motive und die Mentalität der Hacker berücksichtigt werden müssen, da diese ihre Ausdauer, die Wege, die sie einschlagen, und ihre Ziele beeinflussen - die alle anders oder umfassender sein können als angenommen. Diese Erkenntnisse sollten dann die Richtung einer Defense-in-Depth-Sicherheit bestimmen; sie sollten genutzt werden, um eine wirklich bedrohungsgesteuerte Sicherheitsstrategie zu entwickeln.

"Wenn Sie nicht wie ein Hacker denken, sind Sie nicht in der Lage, die richtigen Maßnahmen für Ihre Umgebung zu ergreifen. Aber je mehr man über die Bedrohungen weiß, desto effektiver kann man diese Technologie einsetzen", betont Jim Tiller, Global CISO bei Nash Squared und Harvey Nash USA.

Der Ethical Hacking Survey 2022, eine erste Umfrage zu diesem Thema vom Sicherheitsschulungsverband SANS, geht auf diese Punkte ein. Die Verfasser des Berichts erklärten, dass sie "die Feinheiten der Denkweise von Angreifern, die von ihnen verwendeten Tools, ihre Geschwindigkeit, ihre Spezialisierung, ihre bevorzugten Ziele verstehen wollten".

In dem Bericht heißt es weiter: "Diese Erkenntnisse sind entscheidend für Investitionsentscheidungen in einer zunehmend komplexen Angriffsfläche, die immer schwieriger zu schützen ist. Oftmals sehen wir, dass Unternehmen, die in Sicherheitstechnologien investieren und eine Vielzahl von Bedrohungen abwehren, häufig angegriffene Ports und Protokolle offen lassen. Angreifer wählen den Weg des geringsten Widerstands oder den Weg, mit dem sie am besten vertraut sind - und das sind viel zu oft die gleichen. Übersehene oder angenommene Sicherheit stellt ein zu großes Risiko dar."

Von der Perspektive eines Hackers profitieren

So wie Morovitz weist auch der SANS-Bericht darauf hin, wie wertvoll es ist, einen Gegner aus der Vogelperspektive zu sehen - unabhängig davon, ob er sanktioniert ist oder nicht. Die Autoren stellen fest, dass "dies eine Orientierungshilfe für Sicherheitsanalysten und Entscheidungsträger gleichermaßen sein kann". Untersuchungen haben jedoch ergeben, dass viele Sicherheitsteams diesen Einblick nicht haben und ihn auch nicht suchen.

"Sicherheitsteams haben eine falsche Vorstellung davon, wie Hacker unsere Netzwerke angreifen", bemängelt Alex Spivakovsky, der als Vizepräsident für Forschung beim Sicherheitssoftwarehersteller Pentera dieses Thema untersucht hat. "Heutzutage konzentrieren sich viele Sicherheitsteams zu stark auf die Verwaltung von Schwachstellen und beeilen sich, häufige Schwachstellen und Sicherheitslücken so schnell wie möglich zu schließen, weil sie letztlich glauben, dass die Hacker speziell auf die Ausnutzung von CVEs aus sind". Doch das Risiko würde nicht wesentlich geringer, da es nicht mit dem tatsächlichen Verhalten der Hacker übereinstimme.

Spivakovsky, ein erfahrener Penetrationstester, der bei den israelischen Verteidigungsstreitkräften für den Schutz kritischer staatlicher Infrastrukturen zuständig war, ist der Meinung, dass Hacker wie ein Unternehmen agieren und versuchen, mit so wenig Aufwand wie möglich einen maximalen Nutzen zu erzielen.

Dem Experten zufolge gehen Hacker in der Regel nach einem bestimmten Schema vor: Sobald sie in eine IT-Umgebung eindringen und eine aktive Verbindung haben, sammeln sie Daten wie Benutzernamen, IP-Adressen und E-Mail-Adressen. Anhand dieser Daten können sie den Reifegrad der Cybersicherheitsmaßnahmen des Unternehmens beurteilen. Dann gehen sie tiefer und suchen nach offenen Ports, schlecht geschützten Bereichen wie veralteten Systemen und nicht ordnungsgemäß verwalteten Ressourcen.

"Da die Hacker nun die laufenden Betriebssysteme kennen, können sie feststellen, ob es etwas gibt, das sie ausnutzen können, um eine Hacking-Kampagne zu starten", so Spivakovsky.

Kreativ bei der Suche nach Schwachstellen

"Hacker gehen im Allgemeinen nicht nur auf Unternehmen zu, um CVEs auszunutzen oder eine bestimmte Taktik anzuwenden. Stattdessen sind sie sehr anpassungsfähig an die verschiedenen Gelegenheiten, die sich bieten, während sie mit dem Unternehmen interagieren", ergänzt der Pentesting-Experte. "Hacker führen einen umfassenden Entdeckungs- und Aufzählungsprozess durch, bei dem sie das Unternehmen auf Indikatoren für mangelnde Sicherheitshygiene untersuchen." Dabei könne es sich um Faktoren wie das Fehlen einer Web Application Firewall, das Vorhandensein von zu vielen anonym zugänglichen Diensten oder um eine Reihe anderer Indikatoren handeln.

"Wenn es keine attraktiven Elemente gibt, sinkt die Wahrscheinlichkeit eines Einbruchs erheblich", erklärt Spivakovsky. "Weckt jedoch etwas ihr Interesse , versuchen sie, den Angriff von dort aus zu eskalieren." Aus diesem Grund sollten Unternehmen ihre Sicherheit nicht aus der eigenen Perspektive, sondern aus der Sicht eines Hackers bewerten, meint er. "Was Hacker heute anzieht, ist das äußere Erscheinungsbild. CISOs müssen sich also fragen: Mache ich mich selbst zu einem leichten Ziel, und wenn ja, wie?"

Die Denkweise und Motivation von Hackern verstehen

Andere Experten meinen, dass es auch wichtig sei, zu verstehen, warum Hacker es auf Unternehmen abgesehen haben. "Sind Sie nur ein Ziel für Ransomware? Oder haben Sie die Geheimformel für Cola? Und wenn ich ein Krimineller bin, wie kann ich das am besten ausnutzen, um so viel Geld wie möglich zu verdienen oder so viel Schaden wie möglich anzurichten?", so Tiller, CISO bei Nash Squared.

Hier geht es um Motivationen und Denkweisen, die die Sicherheitschefs auch zur Verfeinerung ihrer Security-Strategien nutzen können. Das Ziel ist, sich auf die Identifizierung von Gegnern oder gegnerischen Gruppen zu konzentrieren und deren Absichten zu bestimmen, fasst Adam Goldstein, Professor am Champlain College und akademischer Leiter des Leahy Center for Digital Forensics & Cybersecurity, zusammen: "Ist es Störung? Geht es um finanziellen Gewinn, um den Diebstahl geistigen Eigentums? Geht es darum, Zugang zu Ressourcen für andere Ziele zu erlangen? Und sind sie missionsorientiert, so dass sie es immer wieder versuchen, egal wie stark die Abwehrkräfte sind? Oder sind sie auf der Suche nach Möglichkeiten? Wenn man sich ein umfassendes Bild von all den verschiedenen Gegnern und ihren Absichten macht, kann man die verschiedenen Arten von Risiken identifizieren."

Eine solche Untersuchung sei wichtig, so Goldstein, da sie oft falsche Annahmen in Frage stellt und der Unternehmensführung manchmal aufzeigt, dass sie ein größeres Ziel sind, als sie dachten. Eine solche Analyse hätte Universitäten helfen können, in die vor fast einem Jahrzehnt ausländische Angreifer eingedrungen sind, die es aufgrund ihrer Verbindungen zu US-Politikern und -Institutionen auf Lehrkräfte abgesehen hatten, nennt er als Beispiel.

"Sie setzten Techniken ein, um gezielt Kommunikation - E-Mails und Dokumente - zu beschaffen, die keinen finanziellen Wert hatten und keine Forschungsdokumente waren. Sie konzentrierten sich darauf, Zugang zu Korrespondenz zu erhalten, die in einer internationalen politischen Landschaft möglicherweise von Wert sein könnte und auch ein gewisses Spionageelement enthielt". Das habe die Hochschulgemeinschaft wirklich überrascht. Auch die interne Sicherheitsstrategie habe sich dadurch verändert, fügt Goldstein hinzu.

Die Nichtbeachtung des Hacker-Standpunkts hat Folgen

Trotz dieser Erkenntnisse beklagen Security-Experten, dass viele Sicherheitsabteilungen in Unternehmen die Sichtweise von Hackern nicht in ihre Strategien und Abwehrmaßnahmen einbeziehen. "Wir sehen immer noch Angriffe und Verstöße in Bereichen, die Unternehmen nicht in Betracht gezogen haben", sagt Chris Thompson, Global Adversary Services Lead bei IBM X-Force Red.

Laut Thompson führen viele Unternehmen Penetrationstests durch, um Vorschriften einzuhalten. Dabei würden sie aber nicht die verschiedenen Gründe berücksichtigen, aus denen sie überhaupt angegriffen werden könnten. "Nehmen Sie zum Beispiel ein Telekommunikationsunternehmen. Es könnte von Hackern ins Visier genommen werden, die über einen Ransomware-Angriff ein Lösegeld erhalten wollen, was in der Regel bedeutet, dass sie nach leichten Zielen suchen. Wenn das TK-Unternehmen aber auch die Kommunikation der Polizei unterstützt, könnte es zudem ins Visier von hartnäckigeren Bedrohungsakteuren geraten, die eine Störung herbeiführen wollen", führt der IBM-Experte aus.

"Deshalb raten wir unseren Kunden, ihre Annahmen zu hinterfragen: 'Welche Annahmen haben Sie darüber getroffen, welche Wege ein Angreifer nehmen würde?'" Thompsonfügt hinzu, dass CISOs und ihre Teams dabei natürlich die Tatsache berücksichtigen müssen, dass Hacker "den gleichen Zugang zu allen Sicherheitsblogs, Schulungen und Tools haben wie sie selbst".

Operationalisierung und Nutzung des Hackerdenkens

Security-Teams stehen nun vor der Herausforderung, die Fähigkeit zu kultivieren, wie ein Hacker zu denken und die gewonnenen Erkenntnisse zu nutzen. Die Sicherheitsverantwortlichen müssen Ressourcen für diese Aufgabe bereitstellen. "Bei diesen Ressourcen handelt es sich in der Regel um Menschen und nicht um Tools und Technologien, die man einsetzen und laufen lassen kann - eine große Herausforderung für Sicherheitsteams mit knappen Ressourcen und Sicherheitsorganisationen, die Schwierigkeiten haben, Talente zu finden", räumt Security-Expertin Morovitz ein.

Darüber hinaus kann es für CISOs problematisch sein, Finanzmittel für solche Aktivitäten zu erhalten, da es schwierig ist, deren Rentabilität nachzuweisen. "Es ist schwer für Unternehmen, sich mit etwas zu beschäftigen, das nicht viele Alarme auslöst. Und selbst wenn die Warnungen, die sie erhalten, sehr zuverlässig sind, ist es immer noch schwierig, den Wert zu beweisen", erklärt Morovitz und fügt hinzu, dass einige der Tools, die diese Aktivitäten unterstützen, relativ teuer sind.

Für Sicherheitsteams kann es auch eine Herausforderung sein, ihre eigenen Fähigkeiten von der Verteidigung - zum Beispiel dem Erkennen und Schließen von Schwachstellen - auf die Offensive zu verlagern. "Das ist sehr schwierig, weil es eine kriminelle Denkweise ist. Und die Leute, die in der Verteidigungsindustrie tätig sind, denken vielleicht nicht immer an die Bereitschaft der Hacker, niederschwellig und langsam zu agieren", erklärt Tiller. Dennoch sind sich Experten einig, dass es sich lohnt, blaue Teams in einigen Fertigkeiten der roten Teams zu schulen.

Organisationen haben jetzt auch Zugang zu einer wachsenden Liste von Ressourcen, die ihnen bei dieser Umstellung helfen. Zu diesen Ressourcen gehören die NIST-Frameworks, MITRE Engage und MITRE ATT&CK. Darüber hinaus gibt es Bedrohungsdaten von Anbietern, ISACs (Information Sharing and Analysis Center) sowie akademischen, staatlichen und ähnlichen Einrichtungen.

Lesetipp: 8 Merkmale - So geht proaktive Sicherheitsstrategie

Zusätzlich gibt es laut Morovitz eine neue Klasse von Technologien, die die Tätigkeit von Red Teams unterstützen. Die Expertin merkt an, dass Organisationen, die solche Arbeiten durchführen, über ihre Aktivitäten Stillschweigen bewahren, da sie die Vorteile ihrer Arbeit nicht preisgeben wollen. Sie verweist jedoch auf Konferenzthemen, die sich mit der Denkweise von Hackern befassen. Das sei ein Beweis dafür, dass immer mehr Sicherheitsteams versuchen, wie Hacker zu denken, um ihre Strategien zu entwickeln.

"Die Herangehensweise der Hacker zu verstehen", so der Pen-Testing-Experte Spivakovsky, "würde uns helfen, unsere Sicherheitsprioritäten neu auszurichten, um effektiver zu sein". (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Tipp: Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten.