Definition BAS | Was ist Breach and Attack Simulation Was ist Breach and Attack Simulation (BAS)?

Breach and Attack Simulation ist ein proaktiver Ansatz zur Beurteilung der Cybersicherheit. Reale Cyberangriffe werden automatisiert simuliert, um Schwachstellen in den getroffenen Sicherheitsvorkehrungen aufzudecken. BAS führt die Angriffssimulationen kontinuierlich aus und verwendet reale Bedrohungsvektoren, die die komplette Cyber Kill Chain mit einem immer tieferen Eindringen der Angreifer abbilden.

BAS ist das Akronym für Breach and Attack Simulation. Der Begriff lässt sich mit "Simulation von Sicherheitsverletzungen und Angriffen" ins Deutsche übersetzen. Es handelt sich um einen noch recht neuen, proaktiven Ansatz zur Prüfung und Beurteilung der Cybersicherheit eines Unternehmens. Im Rahmen von BAS werden reale Cyberangriffe mit vielen verschiedenen Angriffsvektoren simuliert. Die Simulationen finden automatisch und kontinuierlich statt und sollen die Alarm- und Sicherheitssysteme triggern. Ziel ist es, Schwachstellen und Lücken in den getroffenen Sicherheitsvorkehrungen aufzudecken und zu beseitigen, bevor sie Angreifer für ihre Zwecke missbrauchen können. Letztendlich sollen die Cybersicherheitsrisiken des Unternehmens minimiert werden. Breach and Attack Simulation kann als Ergänzung und Erweiterung klassischer Sicherheits-Assessment-Methoden wie Penetrationstests, Vulnerability Scanning oder Red Teaming verstanden werden. Für die Simulationen werden echte Bedrohungsvektoren interner und externer Angreifer verwendet, die die komplette Cyber Kill Chain mit einem immer tieferen Eindringen der Angreifer abbilden.

Prinzipielle Funktionsweise von Breach and Attack Simulation

Breach and Attack Simulation imitiert das Verhalten echter interner oder externer Angreifer, wie es beispielsweise in den Tactics, Techniques, and Procedures (TTP) des MITRE ATT&CK Frameworks beschrieben ist. Die BAS-Tools zur Durchführung der Simulationen decken eine große Vielfalt an Angriffsszenarien und Bedrohungsvektoren ab. So simulieren sie zum Beispiel Phishing-Angriffe, Malware- und Ransomware-Attacken, Insider-Bedrohungen, Data Exfiltration, Lateral Movement und vieles mehr. Alle Phasen einer Cyber Kill Chain lassen sich bei den Simulationen berücksichtigen. Welche Arten von Angriffen konkret simuliert werden sollen, kann im Vorfeld manuell zusammengestellt oder automatisiert auf Basis bekannter TTP ausgewählt werden. Im Unterschied zu Penetrationstest verfolgt Breach and Attack Simulation aber nicht das Ziel, tatsächlich in Systeme einzudringen, sondern ist darauf ausgelegt, die getroffenen Sicherheitsmaßnahmen und installierten Alarmsysteme zu triggern. BAS kann dadurch kontinuierlich im Hintergrund stattfinden, ohne den IT-Betrieb zu beeinträchtigen oder zu unterbrechen. Die Simulationen werden in einer kontrollierten Umgebung ausgeführt und die bestehende Sicherheitsarchitektur bleibt zu jeder Zeit intakt. Es handelt sich bei BAS daher um einen nichtintrusiven Ansatz einer proaktiven, automatisierten und kontinuierlichen Sicherheitsprüfung.

Als Ergebnis liefert BAS ausführliche Berichte. Sie werden in Echtzeit bereitgestellt und beinhalten zum Beispiel gefundene Sicherheitsschwachstellen, ausgelöste Aktivitäten oder Alarme der Sicherheitssysteme sowie Empfehlungen zur Verbesserung der Cybersicherheit und konkrete Maßnahmen zu Beseitigung von Schwachstellen oder Sicherheitslücken.

Die verschiedenen Arten von BAS-Lösungen

Mittlerweile existieren unterschiedliche BAS-Lösungen, die sich in diese drei Arten unterteilen lassen:

• mit Agenten arbeitende BAS-Lösungen

• BAS-Lösungen mit virtuellen Maschinen und generiertem Datenverkehr

• cloudbasierte BAS-Lösungen

Zu den am häufigsten eingesetzten Lösungen zählen die agentenbasierten Systeme. Bei diesen Lösungen werden im Netzwerk verteilt auf verschiedenen Systemen wie Clients oder Servern spezielle Agenten installiert. Über diese Agenten lassen sich verschiedene Angriffsszenarien und Bedrohungsvektoren simulieren, die die Sicherheits- und Alarmsysteme triggern.

BAS-Lösungen mit virtuellen Maschinen und generiertem Datenverkehr arbeiten mit speziell für die Simulationen vorgesehenen virtuellen Maschinen. Diese Maschinen dienen als Angreifer und Angriffsziele und tauschen speziell generierten, auffälligen Datenverkehr aus. Ziel ist es, die Sicherheitssysteme durch diesen Datenverkehr zu triggern und festzustellen, welche Sicherheitsmaßnahmen funktionieren oder welche fehlen und ein unbemerktes Bewegen eines Angreifers im Netz erlauben.

Cloudbasierte BAS-Lösungen simulieren externe Angriffe und Bedrohungsvektoren, die sich gegen die verschiedenen Netzwerkeintrittspunkte eines Unternehmens richten. Solche Lösungen sind als buchbarer Service externer Anbieter verfügbar und lassen sich schnell implementieren.

Vorteile durch BAS

Der Einsatz von Breach and Attack Simulation bietet unter anderem folgende Vorteile:

• proaktive Prüfung der Wirksamkeit der Sicherheitsvorkehrungen und Sicherheitssysteme

• ermöglicht die Beurteilung der Cybersicherheit und die Behebung von Sicherheitsproblemen, bevor Schaden entstehen kann

• hochgradig automatisierte, kontinuierliche Angriffssimulationen für eine ständige Überwachung der Sicherheitsmaßnahmen

• keine Beeinträchtigung des normalen IT-Betriebs dank nichtdisruptivem Ansatz

• stellt Berichte zu den Sicherheitsprüfungen und Vorschläge zur Verbesserung der Sicherheit in Echtzeit zur Verfügung

• sinnvolle Ergänzung zu Penetrationstests, Vulnerability Scanning oder Red Teaming

• simuliert zahlreiche Bedrohungsvektoren echter interner und externer Angriffe

• bildet alle Phasen der Cyber Kill Chain ab

• ermöglicht Einbindung des MITRE ATT&CK Frameworks und seiner TTP (Tactics, Techniques, and Procedures)

(ID:49777480)