Der Working-from-Home-Effekt

Eine Bedrohungsmodellierung und Angriffssimulationsanalyse zu den Auswirkungen der Geschäftsanpassung an die Pandemie-Situation auf die IT-Sicherheit.

Hintergrund

Traditionell waren Organisationen, die sich auf kritische Infrastrukturen, Finanzen, Gesundheitswesen und andere ähnliche Bereiche beziehen, aus guten Gründen sehr restriktiv in Bezug auf die Möglichkeiten von Mitarbeitern per Fernzugriff auf wichtige Geschäftssysteme zuzugreifen. Der VPN-Zugriff war im Allgemeinen auf diejenigen Mitarbeiter beschränkt, die sofort und rund um die Uhr Zugriff auf Produktionssysteme benötigen.

Als Reaktion auf die Pandemie-Situation von Corona / Covid-19 im Jahr 2020 hat sich der Spieß umgedreht und der Fernzugriff auf Geschäftssysteme über VPN-Lösungen war nicht nur weniger eingeschränkt, sondern auch die empfohlene Arbeitsweise hat sich verändert.

Die Zeit zur Bewertung der Sicherheitsaspekte dieser Änderung war, gelinde gesagt, sehr begrenzt. Darüber hinaus erfordert diese Situation, dass eine Organisation die Auswirkungen unbekannter Netzwerkzonen (d.h. der Heimnetzwerke der Mitarbeiter) berücksichtigt.

Die Analyse dieser neuen Situation erfordert daher neue Methoden, mit denen Bedrohungsmodellierung und Angriffssimulationen diesem Zweck dienen können.

So wie die Gesundheitsbehörden Modellierungswerkzeuge verwenden, um die Entwicklung der Pandemie vorherzusagen, ist es nicht möglich, eine vollständige und genaue Vorhersage der Zukunft zu erhalten, aber es ist möglich herauszufinden, was von ihr zu erwarten ist.

Das homeOfficeVPN-Bedrohungsmodell

Wie bereits erwähnt, umfasst die zu analysierende IT-Architektursituation sowohl relativ bekannte Bereiche wie die bestehende interne Struktur des Unternehmens mit Netzwerkzonen, Systemen, deren Status und Verbindungen als auch unbekannte oder nahezu unbekannte Bereiche wie die Heimnetzwerke der Mitarbeiter, den Status dieser Bereiche und ihrer Ausrüstung. Aus Sicht der Bedrohungsmodellierung ist dies keine neue Nachricht, sondern ein klassisches Beispiel dafür, wann Sie mit einem Bereich interagieren oder sich integrieren müssen, über den Sie aus verschiedenen Gründen nur sehr wenig wissen und in den meisten Fällen auch nicht viele Informationen erhalten können.

Das Modell für die homeOfficeVPN-Struktur wurde in securiCAD Professional erstellt und ist hier verfügbar.

Angriffsvektoren

Abgesehen von der Struktur des Modells selbst sind die darauf angewendeten Angriffsvektoren in gewissem Maße auch eine Neuheit. Das folgende Bild zeigt die erwarteten Ausgangspunkte des Angreifers unter Berücksichtigung der Workstation eines Mitarbeiters, die mit dem Heimnetzwerk verbunden ist.


Das homeOfficeVPN-Modell mit den angewendeten Angriffsvektoren wie in securiCAD Enterprise dargestellt.

Der Angreifer ist mit vier Objekten im Modell verbunden, die drei verschiedene Optionen darstellen, die wir berücksichtigen möchten.

  • Die Verbindung zu “Apache Web Service” und zu “Linux Web Server” stellt den Versuch des Angreifers dar, über die “Nicht-VPN-Verbindung” einen Phishing- oder Clientseitigen-Angriff gegen den Mitarbeiter durchzuführen. Das heißt, regulärer Internetzugang, für den keine VPN-Verbindung erforderlich ist.
  • Die Verbindung zum Objekt “WS AC” stellt den Fall eines nicht autorisierten Zugriffs auf die Workstation des Mitarbeiters als solchen dar. Zum Beispiel, wenn eine nicht autorisierte Person den Laptop benutzt oder wenn der Laptop verloren geht und ähnliche Situationen.
  • Die Verbindung zur Netzwerkzone “Home Office” stellt die Annahme dar, dass ein Angreifer möglicherweise Zugriff auf das Heimnetzwerk des Mitarbeiters erhalten hat, jedoch noch nicht direkt auf die Unternehmensausrüstung. Hierbei handelt es sich um private Geräte, die möglicherweise aufgrund fehlender Updates, der Installation unsicherer oder nicht sauberer Anwendungen oder der Tatsache, dass sie auf andere Weise gehackt werden, kompromittiert wurden.

Diese Analyse konzentriert sich auf das Was-wäre-wenn-Szenario, in dem jede der oben genannten Situationen als realistisch angesehen wird. Die Analyse, wie wahrscheinlich diese Situationen sind, kann auch mit zusätzlicher Modellierung durchgeführt werden, wird jedoch derzeit als außerhalb des Rahmens liegend angesehen.

Hochwertige Vermögenswerte

Das Konzept der hochwertigen Vermögenswerte in securiCAD ist eine Möglichkeit, hervorzuheben, welche Vermögenswerte im Modell als besonders wichtig für das Unternehmen angesehen werden. Die Auswahl dieser Objekte wirkt sich nicht auf die Angriffssimulationen aus, führt jedoch dazu, dass die Risikostufen und andere verwandte Ergebnisse dieser Objekte in der Analyse dargestellt werden.

Die ausgewählten hochwertigen Vermögenswerte in diesem Modell sind wie folgt.

  • Das Objekt “Lokaler Speicher” auf der Workstation des Mitarbeiters, das vertrauliche Geschäftsdaten darstellt, die lokal gespeichert sind.
  • Das Keystore-Objekt “Kennwörter des Mitarbeiters”, das das Vorhandensein lokal gespeicherter Anmeldeinformationen entweder in Textdateien oder Kennwortmanagern oder in dazwischen liegenden Elementen darstellt.
  • Ein Dienst namens „Business System“, mit dem sich der Mitarbeiter über VPN verbinden muss, um die tägliche Arbeit zu erledigen.
  • Ein Host namens “Other Business System”, der Geschäftssysteme darstellt, auf die der Mitarbeiter möglicherweise keinen Zugriff haben muss, die sich jedoch in der “HQ” -Zone des Unternehmens befinden.
Erste Simulation

Der erste Simulationsbericht wird mit securiCAD Enterprise erstellt und zeigt die Sicherheitslage des Modells unter Berücksichtigung der angewendeten Angriffsvektoren.

Engstellen

Das Chokepoints-Diagramm des Berichts zeigt die Assets, die der Angreifer voraussichtlich am meisten nutzen wird. Daher wird erwartet, dass ihr Sicherheitsstatus einen großen Einfluss auf die Sicherheitslage hat.


Chokepoints – die Objekte / Assets, die der Angreifer voraussichtlich am meisten nutzen wird

Wir können sehen, dass die drei Einstiegspunkte dargestellt sind (wobei das “Google Chrome” -Objekt eine von der Organisation genehmigte Netzwerk-Client-Software darstellt, die clientseitigen Angriffen ausgesetzt ist) und der “Unbekannte Dienst” jede andere, unbeabsichtigte Software des Mitarbeiters darstellt, die er möglicherweise mit oder ohne es zu wissen auf der Workstation startet.

Kritische Pfade

Wenn wir uns genauer ansehen möchten, wie der Angriff voraussichtlich stattfinden wird, können wir die Karte für den kritischen Pfad in securiCAD Enterprise öffnen. Diese Karte basiert auf den Ergebnissen der Angriffsssimulationen und zeigt die erwartete Kette von Operationen, mit denen der Angreifer voraussichtlich Erfolg haben wird. Der erste Weg zeigt den wahrscheinlichsten Angriffspfad, von dem auch erwartet wird, dass er vom Angreifer den geringsten Aufwand erfordert.

Die verschiedenen hochwertigen Assets haben in den meisten Fällen unterschiedliche Angriffspfade. Der erste Teil des Angriffspfads für das „Andere Geschäftssystem“ wird unten dargestellt.


Der „primäre Angriffspfad“ – den der Angreifer zuerst versuchen wird

Wie oben gezeigt, handelt es sich um einen traditionellen clientseitigen Angriff. Und wir sehen auch, dass erwartet wird, dass es über den Datenfluss „Nicht-VPN-Verbindung“ erfolgt, was bedeutet, dass es sich um einen traditionellen oder nicht geschäftlichen Internetzugang handelt.

Zusätzlich zu dieser Spur stehen dem Angreifer weitere Optionen zur Verfügung, die durch Erhöhen der Angriffspfaddetails in securiCAD Enterprise angezeigt werden.

Der angezeigte sekundäre Angriffspfad bezieht sich darauf, dass der Angreifer Zugriff auf die Home-Netzwerkzone hat, kombiniert mit einem möglichen zusätzlichen und (für die Organisation) unbekannten Dienst, der gestartet wird oder bereits auf der Workstation ausgeführt wird.


Das Angreifen des Unternehmensarbeitsplatzes ohne die Hilfe des Mitarbeiters ist die zweite Option des Angreifers.

Eine weitere (weniger wahrscheinliche) Option des Angreifers ist der dritte Angriffsvektor, der in irgendeiner Weise mit dem Zugriff auf die Workstation in Verbindung mit dem „Lesen“ (z. B. technisches Lesen oder Finden / Ausleihen) des Tokens des Mitarbeiters und dem Herausfinden des notwendigen Passworts steht. Dieser Fall deckt den Social-Engineering-Teil des Angriffs ab.


Die dritte Option des Angreifers besteht darin, mithilfe von Social Engineering Zugriff auf den Unternehmensarbeitsplatz zu erhalten und sich dort anzumelden.

Vorgeschlagene Minderungen

Da die Angriffssimulationen die erwarteten / wahrscheinlichsten Angriffspfade als eine Reihe von Angriffsschritten mit gegenseitigen Abhängigkeiten darstellen, sind diese Angriffsschritte gute Kandidaten für die Anwendung von Schadensbegrenzungen. Wie wahrscheinlich es ist, dass eine bestimmte Schadensminderung den Angriff blockiert oder verzögert, d.h. wie effizient sie voraussichtlich sein wird, wird ersichtlich, indem sie auf das Modell angewendet und dann eine neue Simulation ausgeführt wird, um die Ergebnisse zu vergleichen.

Als Teil jedes Simulationsberichts präsentiert securiCAD Enterprise daher eine priorisierte Liste vorgeschlagener Schadensbegrenzungen, basierend darauf, wie oft die zugehörigen Angriffsschritte in den Simulationsergebnissen angezeigt werden.

Die Liste der vorgeschlagenen Abhilfemaßnahmen für die erste Analyse dieses Modells ist nachstehend aufgeführt.


Die Liste der automatisch vorgeschlagenen und priorisierten Schadensbegrenzungen basierend auf den von securiCAD Enterprise bereitgestellten Ergebnissen der Angriffssimulation

Die Liste der vorgeschlagenen Abhilfemaßnahmen ist eine priorisierte Liste der Sicherheitsverbesserungen, die auf den Angriffssimulationen basieren.

Es werden erweiterbare Kategorien angezeigt, und in jeder Kategorie werden die Objekte im Modell angezeigt, die für eine Verbesserung unter Berücksichtigung der erwarteten Angriffspfade relevant sind.

Im obigen Beispiel wurde die „Patch-Client-Software“ entfaltet und es zeigt sich auch, dass nicht alle Client-Anwendungen gleichermaßen gepatcht sein müssen.

Diese Liste kann als Aufgabenliste der zu berücksichtigenden Dinge angesehen werden. Es wird jedoch empfohlen, diese auf das Modell anzuwenden und eine neue Simulation durchzuführen, um die Auswirkungen der Schadensminderungen zu sehen, bevor Sie sie implementieren.

Bemerkenswert ist, dass sich die Kategorie „Trainieren Sie Ihre Benutzer, um sicherheitsbewusst zu sein“ relativ weit unten in der Liste befindet, während grundlegendere Maßnahmen weiter oben stehen. Der Grund dafür ist, dass der Vektor “Social Engineering” nur als “dritte” Option des Angreifers angezeigt wurde.

Schadensminderungen bewerten

Wir können aus diesen Schadensminderungen auswählen, sie auf das Modell anwenden und Simulationen erneut ausführen, um ihre erwartete Effizienz zu ermitteln. Auf diese Weise erhalten wir eine Reihe verschiedener iterativer Simulationsergebnisse, mit denen ein Bericht aus securiCAD Enterprise generiert werden kann, sodass ihre relative Verbesserung als Entscheidungshilfe bei der Entscheidung verwendet werden kann, welche für die Implementierung effizient genug sein sollen.

Für dieses Work-from-Home-Modell wurden die folgenden Schadensminderungen oder Zusammenstellungen verwandter Abschwächungen angewendet.

  • “Passwort DB verschlüsseln”: Stellen Sie sicher, dass Mitarbeiter verschlüsselte Kennwortmanager verwenden und dass auf der Workstation keine Klartext-Anmeldeinformationen verfügbar sind.
  • “Verbessern Sie die Passwortqualität”: Überprüfen Sie die Kennwortqualität (der ausgewählten Systeme und Dienste), damit keine vom Computer erratenen Kennwörter verwendet werden.
  • “Patch-Netzwerknetzwerke für Mitarbeiter”: Stellen Sie sicher, dass auf alle netzwerkbezogenen Client-Softwareprogramme auf den Arbeitsstationen der Mitarbeiter alle Sicherheitspatches angewendet wurden.
  • “Verhindern, dass Mitarbeiter zusätzliche Software ausführen”: Die Installation zusätzlicher, nicht qualifizierter / nicht verifizierter Software ist nicht erforderlich. Das bloße Ausführen ist natürlich ein Sicherheitsproblem.
  • “Geben Sie den Mitarbeitern grundlegende Sicherheitsschulungen”: Reduziert das Risiko, dass Social Engineering- und Phishing-Versuche erfolgreich sind.

Die Auswirkungen der oben aufgeführten Arbeitspakete sind im Diagramm und in der folgenden Tabelle dargestellt.

 

Risiko-Matrix Vergleich

Beim Vergleich der verschiedenen Risikomatrizen für den iterativen Minderungsprozess sehen wir, dass das Risiko mit jeder vorgenommenen Minderung abnimmt. Die signifikante Verbesserung ergibt sich jedoch erst, wenn Mitarbeiter daran gehindert werden können, zusätzliche Software auf ihren Arbeitsstationen auszuführen.

Relative Verbesserungen

Die relative Verbesserung ist in den folgenden Tabellen dargestellt.

 

Von zu Hause aus arbeiten im Vergleich zu On-Premise

Bisher wurde bei dieser Analyse davon ausgegangen, dass die Mitarbeiter die Risiken nicht kennen, die eine Remoteverbindung, wie z.B. VPN, zu Geschäftsressourcen mit sich bringt.

Abschließend ist es jedoch auch interessant, die Risikostufen, die diese neue Situation mit sich bringt, mit den Risikostufen einer traditionellen Situation / Architektur vor der Pandemie zu vergleichen, bei der Mitarbeiter nur über die interne Infrastruktur des Unternehmens eine Verbindung zu Geschäftssystemen herstellen.

Das betrachtete Angriffsszenario ist ein erfolgreicher Phishing-Angriff und zeigt die Konsequenzen auf.

Dazu wird das VPN-Modell so angepasst, dass es stattdessen die traditionelle On-Premise-Struktur darstellt, anschließend werden die Simulationsergebnisse der beiden verglichen.

Ergebnisübersicht

 

Die Arbeit von zu Hause aus

Ein detaillierterer Vergleich der beiden Situationen zeigt nach wie vor, dass der Fall workingFromHome eine erwartete Wahrscheinlichkeit eines erfolgreichen Angriffs von 70% für das nicht gemilderte Modell mit sich bringt.

Die On-Premise-Situation

Die traditionellere Situation vor Ort ist dagegen mit einer erwarteten Wahrscheinlichkeit eines erfolgreichen Angriffs zwischen 38% und 46% verbunden.

Fazit

Beim Vergleich der Simulationsergebnisse des Work-from-Home-Modells und des On-Premise-Modells stellen wir fest, dass das Risikoniveau eines Phishing-Angriffs in einer traditionellen Umgebung um etwa 50% höher ist als in der neuen Situation beim Arbeiten von zu Hause.

Wir haben jedoch auch festgestellt, dass es möglich ist, diese Risikosituation auf ein viel niedrigeres Niveau zu senken, indem relativ grundlegende Sicherheitsminderungen im Zusammenhang mit der Tiefenverteidigung angewendet werden, z. B. Qualitätsprüfung der Anmeldeinformationen, Patch-Management in priorisierten Systemen und Diensten und Härtung der Arbeitsstationen der Mitarbeiter.

Die in diesem Beispiel durchgeführte Analyse ist eher allgemein gehalten und basiert auf Annahmen darüber, wie eine remote verbundene Belegschaft normalerweise eine Verbindung zu lokalen Diensten und Systemen innerhalb eines Unternehmens herstellt. Um eine Analyse durchzuführen, die näher an Ihrer tatsächlichen Architektur und Situation liegt, wird empfohlen, das Modell mit zusätzlichen Datenquellen wie beispielsweise Schwachstellenscanner-Daten und Firewall-Konfigurationen anzureichern.

Für die Durchführung dieser Art von Analyse in Ihrer Organisation werden die hier vorgestellten Modelle als Ausgangspunkt oder Vorlage empfohlen. Um Ihre Umgebung noch besser widerzuspiegeln, können Sie die Struktur mithilfe von securiCAD Professional anpassen und die Modelle mit Scanner-Daten, Firewall-Konfigurationsdaten und anderen ähnlichen Datenquellen anreichern.

Sie haben Fragen zu diesem Artikel?

Sprechen Sie uns an!

Kontakt

 

Menü