Mit <kes>+ lesen

AMD&IS : Angreifermodell für den Datenschutz und die IT-Sicherheit

Um gemeinsame Betrachtungen zu Informations-/IT-Sicherheit sowie Datenschutz zu ermöglichen und Gegenmaßnahmen zu aktuellen Bedrohungen abzuleiten, haben unsere Autoren das „Angreifermodell für den Datenschutz und die IT-Sicherheit“ (AMD&IS) entwickelt. Grundlage ist die Verwendung von Schutzzielen, was sowohl die einfache Nutzung bestehender ISMS/DSMS als auch Querverbindungen zur Anwendung des BSI IT-Grundschutz ermöglichen soll.

Zur Entwicklung und Betrachtung von Maßnahmen gibt es für die IT-Sicherheit und den Datenschutz unterschiedliche Modelle, die sich überwiegend auf eine Verteidiger-Perspektive beziehen. In diesem Artikel wollen die Autoren mithilfe der Angriffs-Perspektive eine alternative gemeinsame Grundlage schaffen, durch die Unternehmen auf einfache Weise überprüfen können, ob sie bereits passende Maßnahmen umsetzen. Das vorgestellte Modell ermöglicht dabei gleichermaßen die Integration in bestehende Informationssicherheits- und Datenschutz-Managementsysteme (ISMS/DSMS) wie eine Anwendung in Fällen, wo noch keinerlei systematisches Management oder umfassende Maßnahmen zu IT-Sicherheit und/oder Datenschutz bestehen.

Das Angreifermodell für den Datenschutz und die IT-Sicherheit (AMD&IS) stützt sich dabei im Wesentlichen auf die Schutzziele als Verbindungsstück in der IT-Sicherheitskette und verwendet hierbei das ATT&CK-Verhaltensmodell (Adversarial Tactics, Techniques & Common Knowledge) der Mitre Corporation (https://attack.mitre.org, siehe auch [1]). ATT&CK basiert auf der sogenannten Kill-Chain, bei der man Taktiken, Techniken und konkrete Vorgehensweisen (Procedures) von Angreifern unterschiedlichen Phasen innerhalb eines Angriffs zuordnet. Prinzipiell lassen sich für die angriffsbasierte Sicht aber auch andere Bedrohungsmodellierungen verwenden (z. B. STRIDE [2] oder PASTA [3]).

AMD&IS fußt auf der Prämisse der Visibilität: Nur ein hinreichend genauer Überblick über den Bestand der eigenen Assets (seien es nun Organisationseinheiten, Prozesse oder Systeme) ermöglicht eine wirksame Abwehr von Angriffen (vgl. [4]). Der Schutz wird anschließend durch die Ableitung von Maßnahmen aus dem Angriffsverhalten in Bezug auf die Schutzziele errichtet. Die eingerichteten Schutzmaßnahmen schaffen die Grundlage für das angestrebte Schutz-Niveau, das Angreifer wiederum zu senken versuchen (vgl. Abb. 1). Das Ziel der Anwendung von Threat-Modeling (etwa per AMD&IS) ist letztlich das Verkleinern des Wissens-Deltas zwischen Angreifer und Verteidiger.

Abbildung 1

Abbildung 1: Zusammenhang von Schutzniveau, Schutzmaßnahmen und Angriffsaktionen – AMD&IS-Modell mit einem Asset

Anwendung

Für eine Implementierung gemäß AMD&IS sind mindestens folgende Schritte notwendig:

  1. Übersicht über die zu schützenden Systeme, Prozesse oder Organisationseinheiten schaffen oder aber beispielsweise aus einer Configuration-Management-Database (CMDB) übernehmen
  2. Definieren der Schutzziele für Assets oder Übernahme der Schutzziele aus einem bestehenden ISMS
  3. Auswahl relevanter Angriffe (das nachfolgende Beispiel nutzt exemplarisch Sunburst)
  4. Zuordnung der Angriffsphasen und Zuordnung der Schutzziele zu den jeweiligen Angriffstaktiken der Angreifer (mittels ATT&CK-Systematik)

     

    Weitere Schritte werden empfohlen, um möglichst präzise Ergebnisse zu produzieren, sind aber nicht zwingend erforderlich:

  5. Analyse kritischer Assets („Kronjuwelen“) und Strukturanalyse im Grundschutzkontext
  6. Ableitung von Gegenmaßnahmen
  7. Abgleich mit einem Standard-Verteidiger-Ansatz (z. B. nach BSI IT-Grundschutz)

Die Implementierung erfolgt für den Datenschutz in ähnlicher Weise – der Start unterscheidet sich zwar aufgrund der rechtlichen Vorgaben der EU Datenschutzgrundverordnung (DSGVO), die anschließende Zuordnung technischer und organisatorischer Maßnahmen folgt jedoch demselben Muster wie oben:

  1. Übersicht/Definition der Verarbeitungstätigkeit mit Personenbezug im Sinne von Artikel 4 Abs. 2, 30 DSGVO (Zulässigkeit, Rechtmäßigkeit und Zweckbestimmung der Verarbeitungstätigkeit)
  2. Modellierung der Verarbeitungstätigkeit anhand der beteiligten Komponenten (Daten, Systeme, Prozesse) – gegebenenfalls unter Zuhilfenahme einer Strukturanalyse
  3. Qualifizierung der Eigenschaften an die Verarbeitungstätigkeit (Gewährleistungsziele)
  4. Weiter ab Nummer (3) wie für die Sicherheits-Implementierung beschrieben: Auswahl relevanter Angriffe, …

Der Datenschutz betrachtet Schutzziele mit der Brille eines Betroffenen – ein zentrales Schutzziel ist die Datenminimierung. Ohne die Verarbeitung personenbezogener Daten ergeht zwar kein Schutzauftrag im Sinne des Datenschutzes, gleichwohl können aber Informationen aus der Perspektive der Organisation (IT-Sicherheit) schützenswert bleiben.

Beispiel-Analyse

Im Folgenden soll die praktische Anwendung des AMD&IS-Modells zur Analyse von Angriffen auf Schutzziele und ableitbaren Maßnahmen am Beispiel des unlängst aufgedeckten SolarWinds-Angriffs erläutert werden – dabei gehen die Autoren davon aus, dass sich die Organisation auf ein bereits vorhandenes ISMS/DSMS stützen kann.

Hierbei gibt es zunächst mehrere Fragestellungen, welche die Anwendbarkeit und Relevanz für betrachtete Assets prüfen – dies ist als Grundlage für die Abgrenzung des Umfangs notwendig (im IT-Grundschutz-Kontext entspricht das der Strukturanalyse):

  • Wird eine Netzüberwachungsplattform (z. B. SolarWinds Orion) in der eigenen Infrastruktur eingesetzt?
  • Werden Drittanbieter-Lösungen in die eigene Infrastruktur integriert?
  • Gibt es eine eigene Continuous-Integration/Continuous-Delivery-(CI/CD)-Chain, die Drittanbieter-Lösungen integriert?
  • Welche Prozesse sind mit der Zuteilung von Rechten in der eigenen Infrastruktur von Bedeutung?
  • Verarbeiten die beteiligten Komponenten personenbezogene Daten?

Über die zugeordneten Schutzziele kann man die unterschiedlichen Angriffsphasen (nach ATT&CK) den betrachteten Assets entgegenstellen – der Angriff dient damit sozusagen als Blaupause für das Identifizieren von Gegenmaßnahmen.

Angreifer sind mittlerweile dazu übergegangen, komplexe Angriffe zu „stagen“: Es sind mehrere Schritte – gegebenenfalls in verschiedenen Organisationen oder auch der Cloud – zu durchlaufen, ehe sie ihr Ziel erreichen (Attack-Chaining). Für die Erhaltung eines einheitlichen Schutzniveaus müssen daher beispielsweise auch Zulieferer mit in die Betrachtung aufgenommen werden.

Abbildung 2 stellt den Zusammenhang des Schutzniveaus sowohl organisationsinterner als auch externer Ziele exemplarisch dar.

Abbildung 2

Abbildung 2: Schutzniveau im Kontext von Angriffen – AMD&IS-Modell mit mehreren Assets

Sunburst

Das hier gewählte Beispiel ist der sogenannte Sunburst-Angriff, der einer russischen Hackergruppe mit staatlichem Auftrag – auch bekannt unter dem Namen „Cozy Bear“ oder „APT-29“ – zugeschrieben wird. Ziel war die SolarWinds-Plattform Orion, die Kunden ein einheitliches Interface zum Management von Netzwerk-Hard- und -Software zur Verfügung stellt. Die folgende Liste zeigt – stark vereinfacht – die verschiedenen Angriffsschritte:

  • Kompromittierung des Softwarecodes beim Hersteller durch Einschleusen eines Trojaners
  • Download des SolarWinds-Updates durch den legitimen Update-Prozess
  • Ausführen des kompromittierten Updates bewirkt das Laden in den Speicher (über legitime SolarWinds-Systemprozesse)
  • Nach einer Wartezeit von bis zu zwei Wochen wird über eine DNS-Anfrage eine Subdomain von avsvmcloud.com aufgelöst.
  • Die DNS-Antwort zeigt dann auf eine Command-and-Control-(C2)-Domäne.
  • Hierüber wird anschließend die weitere Kommunikation zum Nachladen von neuer Schadsoftware und/oder Befehlen gesteuert.

Einschätzung und Transfer

Schutzziele werden nicht nur durch einen spezifischen Angriff unterminiert – vielmehr kann man mittels Gruppierung der Zuordnung zur Angriffsphase auf Bedrohungen schließen und überprüfen, ob die eigenen Schutzmaßnahmen adäquat implementiert sind. Die konkreten Schutzziele sind organisationsabhängig aus dem ISMS abzuleiten und zu übernehmen – vor allem für den Bereich Datenschutz ist zudem eine Erweiterung und Prüfung auf sämtliche Gewährleistungsziele erforderlich, da sich diese unmittelbar aus der DSGVO ableiten lassen und sie bei jeder Verarbeitung personenbezogener Daten zu berücksichtigen sind.

Tabelle 1 ordnet den einzelnen Angriffsphasen Schutzziele und verwendete Angriffstechniken zu. ATT&CK gliedert Angriffe in 13 Phasen, die sogenannten Angreifer-Taktiken, wobei aber nicht jede Taktik bei jedem Angriff zur Anwendung kommen muss (die vorliegende Betrachtung nutzt 10): Am Anfang stehen das Auskundschaften und die Wissenserhebung (Reconnaissance), mit deren Ergebnissen dann Ressourcen für einen Angriff beschafft oder Angriffswerkzeuge erstellt werden (ResourceDevelopment). Mithilfe dieser Werkzeuge versucht der Angreifer in die Netzwerke einzudringen (Initial Access). Dabei wird entweder durch ihn selbst oder durch das Opfer Schadcode ausgeführt (Execution). Das Ziel ist in aller Regel, sich dauerhaft einzunisten: Angreifer versuchen, ihren Zugang zu untermauern / zu festigen (Persistence), um im nächsten Schritt die bereits erlangten Rechte auszuweiten (Privilege-Escalation), um so möglichst eine Entdeckung zu vermeiden (Defence-Evasion).

Derart im Netzwerk des Opfers verankert, wird ein Angreifer wiederum die Netzumgebung auskundschaften (Discovery), um sie besser zu verstehen und sich mit diesem Wissen seitwärts zu anderen Systemen bewegen zu können (Lateral Movement). Im nächsten Schritt können Angreifer versuchen, für den Angriff relevante Daten zu speichern (Collection) und dann über Command-and-Control-Server (C2 oder C&C) die infizierten Systeme zu steuern und gegebenenfalls auch weiteren Schadcode nachzuladen. Abschließend kann über gesicherte Kanäle mit dem Ausleiten von Daten begonnen werden (Exfiltration).

Nach der Einordnung von Schutzzielen und verwendeten Angriffstechniken werden im letzten Schritt des AMD&IS-Modells generische Maßnahmen auf die Schutzziele gemappt (Tabelle 2) und ihr Vorhandensein im Unternehmen sowie ihre Wirksamkeit geprüft.

Im Folgenden soll dieser letzte Schritt exemplarisch anhand der drei Taktiken „Initial Access“, „Lateral Movement“ und „Exfiltration“ mit jeweils einer Gegenmaßnahme verdeutlicht werden. Die Ergebnisse zu möglichen Maßnahmen können Anwender abschließend einer Betrachtung beispielsweise nach BSI IT-Grundschutz gegenüberstellen, um mögliche Lücken zu identifizieren.

Der exemplarische Charakter der Betrachtung wird auch noch an anderer Stelle deutlich: Bezogen auf die Schutzziele können diese pro Phase umfangreicher sein oder aber eben nur Teilaspekte des Angriffs abdecken. Bei der Persistence führt Tabelle 1 beispielsweise nur die Verletzung der Integrität an. Mit den abgeleiteten Gegenmaßnahmen könnte man aber auch weitere Schutzziele erfassen – das hängt letztlich von den getroffenen Maßnahmen und der Fokussierung auf die jeweiligen Schutzziele der betrachteten Assets ab (daher die teilweise differierenden Schutzziele bei einzelnen Angriffsphasen in Tabelle 1 und 2).

Tabelle 1

Tabelle 1: Zuordnung betroffener Schutzziele und verwendeter Angriffstechniken des Sunburst-Angriffs zu ATT&CK-Angriffsphasen („Taktiken“)

Tabelle 2

Tabelle 2: Zuordnung möglicher Maßnahmen zu erkannten Schutzzielen einzelner Angreifer-Taktiken am Beispiel des Sunburst-Angriffs

Initial Access (ID 2): Gegenmaßnahmen mittels Staging:

Unter Staging ist im betrachteten Umfeld das Trennen der operativen Bereiche von Entwicklungs- (DEV) und Pre-Prod(uction)-Umgebungen zu verstehen. Hierfür sollte man jeweils eigene Netzbereiche nutzen: Produktiv-Daten sollten nicht in einer DEV- oder Pre-Prod-Umgebung verwendet werden, und Entwicklungswerkzeuge sollten möglichst auf die nichtproduktiven Umgebungen beschränkt bleiben. Nutzer sind gleichermaßen in operativen und Entwicklungsumgebungen zu überwachen.

Lateral Movement (ID 8): Gegenmaßnahmen mittels verhaltensbasierter Analyse des Netzwerkverkehrs:

Für die Detektion von Anomalien bei Accounts legitimer Nutzer sollte man die folgenden Daten erheben und auswerten:

  • Erfassen von Daten mittels Netflow
  • Überwachen von ausgehendem Datenverkehr und der Einbindung neuer Dienste
  • Besondere Überwachung beim Einbinden neuer Komponenten in die Infrastruktur
  • Überwachen privilegierter Accounts: Zum Beispiel sollte das Erstellen von Accounts mit privilegierten Rechten sowie das Benutzen von privilegierten Accounts (wann und auf welcher Maschine wird im Regelfall ein Administrator-Account benutzt) überwacht werden.

Exfiltration (ID 10): Gegenmaßnahme – Verschlüsselung:

Sinnvoll ist hierzu die Verschlüsselung sowohl von gespeicherten als auch transferierten Daten. Darüber hinaus benötigt man Prozesse zur Verwaltung und zum Schutz der kryptografischen Informationen an sich (Kryptokonzept).

Fazit

Das „Angreifermodell für den Datenschutz und die IT-Sicherheit“ (AMD&IS) ermöglicht über die Verwendung von Schutzzielen eine einfache Kombination von Betrachtungen zu Sicherheit und Datenschutz und hilft dabei, Gegenmaßnahmen zu aktuellen Bedrohungen zu entwickeln. Dabei zeigen sich folgende Vorteile:

  • gemeinsame Anwendung des Modells mit den verschiedenen Zielrichtungen Informations- sowie IT-Sicherheit und Datenschutz.
  • einfacher Ansatz über die festgelegten Schutzziele.
  • ähnliche Herangehensweise wie beim BSI IT-Grundschutz – so ist eine schnelle Überleitung möglich, wobei anstelle der Modellierung mittels Grundschutz-Bausteinen hier mögliche Angriffe im Zentrum der Analyse stehen.
  • einfache Übernahme von Cyber-Threat-Intelligence-(CTI)-Informationen durch die Verwendung von ATT&CK.
  • effiziente Anpassung und Reaktion auf neue Angriffstechniken.
  • Aufnahme weiterer Schutzziele möglich.
  • vielfältige Ansatz- und Einsatzmöglichkeiten – etwa die Übermittlung des Modells an Pen-Test-Teams und Security-Operations-Center (SOC) zur gemeinsamen Verwendung.
  • schnelles Prüfen von Maßnahmen durch die Zuordnung von Schutzzielen zu Angriffsphasen.

Kern des Modells ist es, in Verbindung mit der ATT&CK-Systematik die Angriffs-Perspektive einzunehmen. Um eine möglichst einfache Integration in bestehende ISMS zu ermöglichen, setzt es auf diese über den Schutzzielebezug auf. Das lässt sich auf Basis bestehender Sicherheitskonzepte nach BSI IT-Grundschutz auch dazu nutzen, um bestehende Maßnahmen einer Prüfung zu unterziehen, falls sich die Bedrohungslage, etwa durch eine Angriffskampagne, ändern sollte.

Das Modell lässt sich dadurch auch nahtlos bei der Durchführung von ergänzenden Risikoanalysen nach BSI-Standard 200-3 anwenden, um Schwachstellen zu identifizieren und passende Maßnahmen abzuleiten. Außerdem unterstützt es sowohl bei der Konkretisierung elementarer Gefährdungen als auch bei der Identifikation weiterer relevanter Gefährdungen.

Marko Klaus ist Projekt Manager & Principal Security Consultant, Dr. Andreas Lang Programm Manager, Expert IT-Security and Privacy Consultant, Enrico Weide ist Projektleiter sowie Data Protection Expert und Dominik Weißhaar ist Information Security Consultant bei der T-Systems Multimedia Solutions (MMS) GmbH.

Literatur

[1] Felix Blank, Perspektivwechsel mit System, Wie das Mitre ATT&CK Framework bei der Vorsorge und Abwehr von Angriffen helfen kann, <kes> 2020#5, S. 15
[2] Microsoft, The STRIDE Threat Model, Dezember 2009, https://docs.microsoft.com/en-us/previous-versions/commerce-server/ee823878(v=cs.20)
[3] Tony UcedaVelez, Marco M. Morana, Risk Centric Threat Modeling: Process for Attack Simulation and Threat Analysis (PASTA), Wiley, Mai 2015, ISBN 978-0-470-50096-5 bzw. ISBN 978-1-118-98835-0 (E-Book)
[4] Bettina Weßelmann, Johannes Wiele, Dauerbaustellen der Security (2): Haie fischt man nicht im Trüben, <kes>2016#4, S. 26

Diesen Beitrag teilen: