Sicherheitskennzahlen: Metriken aus Angreifer-Sicht

Von Marko Klaus, Berlin, und Mechthild Stöwer, Sankt Augustin

Die Analyse von Kennzahlensystemen bei Unternehmen und Behörden zeigt, dass der Fokus hierbei meist auf präventiven Sicherheitsmaßnahmen und ihrer Wirksamkeit liegt und besonders schützenswerte Güter mit sehr hohem Schadenspotenzial im Mittelpunkt stehen. Dies beleuchtet jedoch nur einen Aspekt von IT-Risiken: Angesichts immer neuer Herausforderungen durch gezielte und hocheffiziente Angriffe muss auch die Gefährdungslage als „externe“ Sicht verstärkt einbezogen und durch Sicherheitsmetriken adressiert werden. Dieser Artikel stellt Methoden und Lösungen hierzu vor und ordnet sie in den gesamten IT-Risikokontext ein.

Qualität und Wirksamkeit

Organisationen sehen sich verstärkt mit Anforderungen konfrontiert, die Güte ihrer Strukturen und Prozesse für Informationssicherheit nachzuweisen. Dies fordern sowohl Externe (etwa Lieferanten oder Kunden), die mit einer Organisation in einer Wertschöpfungskette verbunden sind, als auch das Management, das Informationen über die Qualität des erreichten Sicherheitsniveaus benötigt, um Optimierungspotenzial zu identifizieren – hinzu kommen vielfältige regulatorische Anforderungen.

Hierfür werden nach wie vor primär „klassische“ Instrumente wie interne oder externe Audits genutzt, aber zunehmend bauen
Organisationen auch Kennzahlensysteme zur Bewertung mithilfe von „Key-Performance-Indicators“ (KPIs) auf. Damit setzen sie eine wesentliche Anforderung des führenden Standards ISO 27001 um, der die Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen fordert und für die Konzeption und zur Implementierung den Standard ISO 27004 „Information security management measurements“ bereitstellt.

Vorgehen zum Aufbau von Kennzahlensystemen

Das vom ISO-Standard beschriebene Vorgehensmodell stellt die Informationsanliegen einer Organisation an den Ausgangspunkt des aufzubauen Systems an Metriken. Unternehmen, die das Potenzial zur Optimierung ihrer Informationssicherheitssysteme nutzen wollen, lassen sich bei der Definition von Kennzahlen idealerweise von ihren Risikoeinschätzungen leiten: Sie platzieren Metriken dort, wo Maßnahmen Assets schützen, die einen hohen Schutzbedarf haben – solche „Kronjuwelen“ stehen häufig im Mittelpunkt der Betrachtung.

Dies ist ohne Zweifel ein wichtiger Ansatzpunkt. Wählt man jedoch ausschließlich einen internen Fokus, wird ein wesentlicher Aspekt der Analyse von IT-Risiken vernachlässigt, denn für eine umfassende Betrachtung ist die Einbeziehung der Gefährdungslage ebenfalls von großer Bedeutung.

Gerade im Zuge neuer Bedrohungen und der zunehmenden Automatisierung von Angriffstechniken ist eine Erweiterung des Spektrums der Metriken im Wettrüsten aufseiten der Unternehmen ein wichtiger Schritt zur Optimierung bestehender Kennzahlensysteme. Ansatzpunkte sind hier etwa neue Organisationsformen wie der Aufbau von Security-Operations-Centers (SOCs), die neue Metriken für die Zusammenfassung und Aggregation von Wissen ermöglichen, aber auch neue Methoden wie externe Security-Scanner, die Kennzahlen bereitstellen, welche über die unternehmensinterne Bewertung des eigenen Sicherheitssystems hinaus wertvolle Informationen liefern – etwa für Benchmarkingzwecke.

Daher erscheint es notwendig, bei der Definition von Kennzahlen die Perspektive der Angreifer und eine externe Bewertung des IT-Sicherheitssystems stärker einzubeziehen. Beiden Ansätzen ist gemein, dass sie einen Blickwinkel von außen einnehmen (vgl. Abb. 1).

Die Bewertung präventiver Sicherheitsmaßnahmen, die eine Basishygiene widerspiegelt, bleibt weiterhin ein Grundpfeiler für die Definition von Sicherheitskennzahlen, muss aber durch äußere Bestandsaufnahmen unterstützt werden. Im Zusammenspiel damit ergibt sich ein detaillierteres und aktualisiertes Lagebild der eigenen IT-Sicherheit, die nicht nur die eigenen Perimeter bezüglich Metriken berücksichtigt.

Im Folgenden werden zwei Ansätze vorgestellt, um die Innen-sicht zu verlassen und mittels externer Analyse diesen erweiterten Kontext zu schaffen. Dies ist zum einen die Methode ATT&CK, die einen spezifischen Blick auf das Angreiferverhalten richtet und die Definition entsprechender Metriken ermöglicht. Zum anderen werden externe Security-Scanner betrachtet, die wichtige Hinweise auf Defizite im Sicherheitssystem liefern und diese Erkenntnisse in Kennzahlen gießen.

ATT&CK

ATT&CK steht für „Adversarial Tactics, Techniques and Common Knowledge“ und wurde durch die US-amerikanische Organisation MITRE entwickelt (www.mitre.org). MITRE definiert ATT&CK als Grundlagenwissen zu Angriffsmethodiken, -taktiken und -techniken. In kuratierter Form wird ATT&CK durch MITRE als Angreifer-Verhaltensmodell definiert, das ständig durch eine lebhafte Community erweitert und aktualisiert wird (https://attack.mitre.org). Es wurde unter anderem dafür geschaffen, das Angreifer-Vorgehen zu verstehen und mit diesem Wissen Angriffe besser erkennen zu können.

Diese Methodik eignet sich somit für:

• Red-Teaming, um reale Angriffsszenarien durchspielen zu können
• Threat-Intelligence-Abteilungen, um Angriffsverhalten zu überprüfen und zu kontrollieren, ob Angriffe korrekt bewertet werden
• die Überprüfung von Maßnahmen unter Nutzung von Kennzahlen im Security-Operations-Center (SOC) / Cyber-Defense-Center (CDC)

Die Methodik basiert auf einer sogenannten Killchain, bei der exemplarisch das Angreifer-Verhalten in unterschiedliche Phasen (im ATT&CK-Kontext auch Taktik genannt) unterteilt wird – das Verfahren ordnet diesen Phasen jeweils konkrete Angreifer-Techniken zu. Diese Techniken sind aus der Analyse realer Angriffe bekannt und erstrecken sich auf unterschiedliche Domänen, wie „Pre-Attack“, „Mobile“ oder „Enterprise“, und umfassen darüber hinaus gängige Plattformen (wie z. B. Windows, Linux oder auch Azure). ATT&CK ist damit sehr vielfältig einsetzbar und mächtig, was es bei der Verwendung in einer Organisation zu berücksichtigen gilt.

Nutzung für Kennzahlen zur Reflektion externer Bedrohungen

Um die Perspektive eines Angreifers einnehmen und dafür Metriken für Maßnahmen zur Prävention und Detektion entwickeln zu können, bedarf es eines strukturierten Ansatzes. Das Ziel ist es, ATT&CK zu nutzen, um das Angreiferverhalten zu verstehen und nachvollziehen zu können und mit diesen Erkenntnissen das unternehmensintern entwickelte Kennzahlensystem zu überprüfen und unter Umständen zu ergänzen.

Als Beispiel dafür wurde die Emotet-Trojaner-Familie ausgewählt, die durch eine Vielzahl erfolgreicher Angriffe auf öffentliche, aber auch private Institutionen bekannt geworden ist. In Abbildung 2 sind die Techniken, die Emotet verwendet, blau eingefärbt – diese Übersicht wurde mithilfe des ATT&CK-Navigators erstellt (https://mitre-attack.github.io/attack-navigator/enterprise/#layerURL=https%3A%2F%2Fattack.mitre.org%2Fsoftware%2FS0367%2FS0367-enterprise-layer.json – aus Gründen der Darstellbarkeit wurde der Plattform-Filter auf Linux gesetzt).

Zunächst ordnet man schon vorhandene Metriken den einzelnen Taktiken und Techniken zu. So wird sichtbar, welche Felder innerhalb des bereits genutzten Kennzahlensystems noch weiterer, neuer Kennzahlen bedürfen.

Entsprechend der Zielsetzung, neue KPIs zu identifizieren, soll überprüft werden, ob die eigene Organisation einer relevanten Zielgruppe angehört beziehungsweise welche Spezifika ein gewähltes Angriffswerkzeug nutzt. ATT&CK listet mögliche Angreifergruppen und Angriffswerkzeuge auf. Eine sinnvolle Verknüpfung mit eigenen Quellen (z. B. aus Beobachtungen von Angriffen auf die eigene Infrastruktur oder der Ergebnisse eigener Threat-Intelligence-Analysen) ermöglicht einen Realitäts- und Relevanzabgleich.

Im nächsten Schritt vergleicht man das Feld der vorhandenen und implementierten Standard-Metriken mit dem Angriffsverhalten der eingesetzten Angreiferwerkzeuge oder der gewählten Angreifergruppe. Ein gängiges Verhalten im Rahmen einer Emotet-Infektion ist im Folgenden kurz beschrieben und bildet die Basis für Tabelle 1:

• Am Anfang steht eine Spearphishing-Attacke, bei der E-Mails mit kontaminiertem Anhang in Form von Word-Dateien versendet werden.
• Nutzer führen den Schadcode (Makros) durch das Laden/Betrachten des Anhangs aus.
• „Windows Management Instrumentation“ (WMI) wird lokal auf dem Client des Nutzers ausgeführt, um powershell.exe zu starten.
• PowerShell dient dann dazu, den eigentlichen Emotet-Trojaner herunterzuladen und auszuführen – dabei werden SMB und Remote-Procedure-Call-Services genutzt, um einen Kommunikationskanal aufzubauen.
• PowerShell wird dafür verwendet, eingebettete Befehle auszuführen.
• Der Emotet-Trojaner nutzt häufig verwendete Netzwerkports für die Kommunikation zu C&C-Servern, um weitere Module und Funktionen nachzuladen (z. B. über TCP-Ports 80, 8080, 443, 8443, 7080, 20, 22 und 53).

Mit dem Verständnis der Schritte, die ein Angreifer verwendet, ist es nun möglich, den verwendeten Techniken vorhandene Metriken zuzuordnen und neue Metriken zu definieren – Tabelle 2 zeigt Beispiele hierfür.

Natürlich lässt sich mit der dargestellten Vorgehensweise eine Vielzahl neuer Metriken identifizieren und implementieren – um eine Verbesserung im Sinne des Sichtbarkeits- und Transparenzgebotes zu erzielen, ist es wichtig, vorhandene Standard-Metriken um solche zu ergänzen, die sich an aktuellen Angriffen orientieren.

Externe Security-Scanner

Aus dem Blickwinkel von Angreifern Metriken zur Überwachung der entsprechenden Sicherheitsmaßnahmen zu generieren, liefert wertvolle Informationen für die Optimierung des Sicherheitssystems – es erspart Sicherheitsverantwortlichen jedoch nicht den aufwendigen Aufbau eines individuellen Kennzahlensystems.

Viele Organisationen gehen daher einen anderen Weg, um eine externe Analyse der Qualität der Informationssicherheit zu erhalten und wählen einen pragmatischen Ansatz über Cybersecurity-Risk-Rating-Lösungen, die von außen durch Angriffe nutzbare Schwachstellen eines Unternehmensnetzwerks scannen, Ergebnisse analysieren, bewerten und daraus einen einzelnen Score oder mehrere Kennzahlen bilden. Solche Systeme dringen dabei nicht in das Netzwerk ein, sondern greifen ausschließlich nach außen exponierte Schwachstellen auf und nutzen Hinweise aus Drittquellen, die auf Angriffswellen schließen lassen, für ihre Analysen. Lösungen von BitSight, RiskRecon, SecurityScorecard oder UpGuard sind einige Beispiele für diesen Ansatz – eine Übersicht und Einordnung der Systeme liefert etwa [2].

Ausgangspunkt der Bewertung sind Sicherheitsbefunde, die auf der Analyse der IP-Adressen basieren, die sich einer Organisation zuordnen lassen. In diese Bewertungen fließen beispielsweise ein:

• entdeckte kompromittierte Systeme (z. B. Botnetze, Systeme, die zur Verteilung von Spam genutzt werden, Malwareserver).
• File-Sharing von Nutzern, Disclosed Credentials oder Datenlecks, die der Organisation zugeordnet werden können.
• Befunde, die auf mangelnde Sorgfalt bei der Installation und dem Betrieb von Systemen zur Sicherstellung der Informationssicherheit im Unternehmen schließen lassen (etwa ungültige Zertifikate, offene Ports, unzureichende Verschlüsselungssysteme oder offensichtliche Netzwerk-Fehlkonfigurationen).

Die Ergebnisse der Sicherheitsanalysen werden mithilfe eines Algorithmus bewertet, gewichtet und zu einer oder mehreren Kennzahlen verdichtet – der genutzte Algorithmus ist dabei allerdings in der Regel nicht öffentlich bekannt. Neben dem ermittelten Security-Score werden Firmen, die solche Analysen nutzen, häufig weitere aufbereitete Befunde und Berichte zur Verfügung gestellt. Ein zusätzlicher Vorteil ist, dass sich die Analysen bewusst an die Rating-Systeme aus dem Finanzsektor anlehnen und damit die Kommunikation mit dem Management eines Unternehmens zu Sicherheitsfragestellungen gut unterstützen.

Die systematische Zusammenstellung der nach außen hin exponierten Schwachstellen, die für aktuelle Angriffe genutzt werden können, und ihre Verdichtung zu Kennzahlen geben IT-Sicherheitsverantwortlichen wichtige Hinweise auf die Güte des Sicherheitssystems. Voraussetzung ist allerdings, dass detaillierte Berichte verfügbar sind, die das Rating nachvollziehbar machen.

Vergleich mit anderen Organisationen

Darüber hinaus können Nutzer externer Security-Scanning-Systeme auch Ratings anderer Unternehmen beziehen. Durch den Vergleich der Scores etwa der Unternehmen derselben Branche ist ein echtes Benchmarking möglich. Da auch andere Firmen den Vergleich nutzen, ist dies ein wichtiger Anreiz zur Optimierung des Sicherheitssystems. Erzielt man ein gutes Rating, könnte dies sogar als Instrument zur Öffentlichkeitsarbeit genutzt werden und das Firmenimage unterstützen.

Ratings und gegebenenfalls ergänzende Analysen sind zudem wertvoll, um das Sicherheitssystem von Partnern zu bewerten, die in einer Wertschöpfungskette verbunden sind. So lässt sich das Informationssicherheitsrisiko einer Kooperation besser einschätzen – besonders auch für den Fall einer geplanten Übernahme.

Für IT-Sicherheitsbeauftragte, die Verantwortung in einem Konzernverbund tragen, können solche Systeme zudem eine Hilfestellung zur Steuerung von Tochterunternehmen darstellen: Denn Konzernverantwortliche haben häufig keine Möglichkeit, interne KPI-Systeme durchzusetzen. Sie können dann über extern generierte Scores Hinweise auf Schwachstellen erhalten, die im Fokus aktueller Angriffswellen stehen, und Verbesserungen anmahnen.

Grenzen externer Scanner

Externe Analysen können jedoch kein internes KPI-System vollständig ersetzen: Ihr Fokus liegt auf der Erhebung von nach außen hin exponierten Schwachstellen – das ist sehr wichtig, berücksichtigt jedoch keine unternehmensspezifischen Schutzbedarfsanforderungen. Der ausschließliche Einsatz von Security-Scannern und daraus generierten Kennzahlen genügt damit nicht den Anforderungen, die Standards an die Überwachung und Optimierung eines Informationssicherheitsmanagements stellen.

Fazit

Der Relevanz- und Realitätsabgleich von Kennzahlensystemen im Rahmen sich stetig weiterentwickelnder Bedrohungen bleibt eine Herausforderung, der sich alle Akteure der Wirtschaft und öffentlichen Hand stellen müssen. Sichtbarkeit und Transparenz sind Voraussetzungen, um valide Entscheidungen im Sinne einer gesteigerten Informationssicherheit treffen zu können.

Die hier vorgestellten Ansätze sollen dabei zeigen, dass ein Kontextwechsel wertvolle Ansätze für ansonsten unberücksichtigte Parameter im Rahmen von Metriken beisteuern kann. Unternehmen sollten daher prüfen, wie sie ihre aus Schutzbedarfsanforderungen abgeleiteten Metriken um Kennzahlen ergänzen können, die sich aus der Sicht externer Angreifer und nach außen exponierten Schwachstellen speisen.

Marko Klaus ist Principal Consultant Informationssicherheit bei T-Systems MMS. Mechthild Stöwer ist Abteilungsleiterin Security Management des Fraunhofer-Instituts für Sichere Informationstechnologie – SIT.

Literatur

[1] Swee Lai Lee, Emotet Utilizing WMI to Launch Power Shell Encoded Code, Carbon Black Threat Intelligence Notification, April 2019, www.carbonblack.com/2019/04/24/cb-tau-threat-intelligence-notification-emotetutilizing-wmi-to-launch-powershell-encoded-code/
[2] Nick Hayes, Trevor Lyness, The Forrester New Wave: Cybersecurity Risk Rating Solutions Q4 2018, The Nine Providers That Matter Most And How They Stack Up, November 2018, www.forrester.com/go?objectid=RES142874 – kostenfrei u. a. verfügbar via www.riskrecon.com/forresterreport (Registrierung erforderlich)
[3] W. Krag Brotby, Gary Hinson, Pragmatic Security Metrics, Applying Metametrics to Information Security, Taylor & Francis, Januar 2013, ISBN 978-1-4398-8152-1, www.taylorfrancis.com/books/9780429111563 – siehe auch www.securitymetametrics.com
[4] Benjamin Edwards, Jay Jacobs, Stephanie Forrest, Risky Business: Assessing Security with External Measurements, Dezember 2016, online verfügbar via https://arxiv.org/abs/1904.11052
[5] Anna Riske, Erfolgsmessung in der Informationssicherheit: KPIs aussagekräftig gestalten, <kes> 2018#3, S. 16
[6] Reiner Kraft, Mechthild Stöwer, Kickstart für KPIs, Erfolgversprechende Schritte zum Aufbau eines angepassten Kennzahlensystems zur Messung der Informationssicherheit, <kes> 2018#4, S. 6