Was hat die IT-Sicherheit mit einem Modell der militärischen Abwehr gemeinsam?
Das Ziel, Angriffe direkt zu analysieren, zu strukturieren und in einzelne Schritte zu zerlegen, ist eine bewährte Methode des Militärs, um Angreifer rechtzeitig zu erkennen und ggf. unschädlich machen, bevor sie richtigen Schaden anrichten.
Diese in Friedenszeiten ggf. befremdlich wirkende militärische Wortwahl ist nicht zufällig gewählt, denn aktuelle APT-Attacken zeigen sehr häufig die gleichen militärischen Angriffsphasen. Werfen wir einen Blick auf eine aktuelle Kill-Chain* der wirkungsvollsten Angriffe.
Behandelt wird das Verständnis, Angriffe aus dem Kontext heraus zu verstehen. Einige Angriffe sind beispielsweise in der Frühphase zu erkennen, während der Angreifer die Infrastruktur vorbereitet. Auch die betroffenen Ziele sind oft einfach qualifizierbar, da diese über eine besondere „mediale“ Präsenz verfügen oder Informationen im erheblichen Umfang zur Verfügung stehen.
Anhand eines realen Beispiels wird geübt, "Wer, Was, Wie und Wo" getan hat, so dass Vorfälle durch die Teilnehmer anhand einer Zeitachse aufgearbeitet und die richtigen Sicherheitsmaßnahmen zugeordnet werden können.
Im Rahmen dieses Workshops wird u.a. ein ehem. Mitglied der Bundeswehr die Sicht des Angreifers einnehmen und in entsprechende Phasen einteilen. Von der Idee bis hin zur Monetarisierung:
- Aktuelle APT-Attacken – am Beispiel eines echten Angriffs aus dem August 2020 (inklusive Zeitstrahl und Einteilung in typische Angriffsphasen)
- People Centric Security – TTPs, IOCs & Controls auf Basis der einzelnen Angriffsphasen
- Very Attacked People (VAP) erkennen und schützen – mittels VAP-Scoring angegriffene Nutzer gruppieren und gewichten
*In der IT-Sicherheit werden „Kill-Chains“ gerne genutzt, um Abläufe in Phasen einzuteilen. Am bekanntesten sind die Lockheed Martin Kill-Chain und das MITRE ATT&CK® Framework.