Analogien

Ich bin ein großer Fan mittelalterlicher Burgen. Eines Tages kam mir die Einsicht, dass altertümliche Angriffs- und Verteidigungs-Strategien und moderne cyber offensive und deren Abwehr sich in vielerlei Hinsicht ähneln - man muss nicht viel Fantasie aufwenden, um die Parallelen zu sehen.

Inform_Awareness_Fotolia_60478671_XXL_blau_minus_Artikel.jpg

Inform Awareness Bildmotiv Artikel

In früheren Zeiten musste man Strategien entwickeln, wenn man die Abwehr einer gegnerischen Burg „knacken“ wollte, denn diese war durch mehr oder weniger schwer überwindliche Wehranlagen geschützt. Da gab es zum Beispiel die äußere Wehrmauer, die erste und stärkste Verteidigungslinie. Die ist vergleichbar mit der Perimeter-Firewall einer Organisation. Zutritt zur Organisation wird hier nur über bestimmte, definierte Ports gewährt. Das sind in der Burg-Analogie die Tore, über die der erwünschte Verkehr, beispielsweise der Handel, stattfindet. Es gibt meist mehrere dieser Burgwälle, die verschieden tief gestaffelt sind - in Organisationen, werden die internen Netze gegen die DMZ durch weitere Firewalls geschützt. Die Burggräben verhindern, dass die Burgmauern durch einen massenhaften Ansturm fallen, was in der Cyber-Analogie einer DDOS-Mitigation entspricht. Für die zahlreichen weiteren Verteidigungsmechanismen findet sich mit etwas Fantasie ebenfalls eine Entsprechung in der Welt der cyber defense. Allen gemein ist, dass sie einem besonderen Zweck der Abwehr von Angriffen dienen.

Ein guter General hatte im Mittelalter also die knifflige Aufgabe, seinen Angriff so zu planen und vorzubereiten, dass all diese Verteidigungsmechanismen umgangen, unterminiert oder überwunden werden konnten.

Solche Strategien gibt es auch in der heutigen Zeit. Sie werden als „Kill Chains“ bezeichnet und beschreiben Wege, wie Angreifer in eine Organisation einbrechen, um an deren Assets zu kommen. Hierbei hat sich ein bestimmtes Vorgehen bewährt, das sich im übertragenen Sinne auch schon vor Jahrhunderten hätte abspielen können:

Zuerst erfolgt die Erkundung des ausgewählten Ziels. Es wird aussondiert, mit welchen Systemen und welchen Abwehrmaßnahmen man es zu tun hat. In dieser Phase werden auch schon die Schwächen der Systeme identifiziert – z.B. Versionsstände von verwundbaren Versionen, schwache Kryptographie, Fehler in der Authentifizierung, usw.

Danach erfolgt die Vorbereitung des Angriffs mit der Wahl der Waffen. Auch besagter General musste sich überlegen, welche Waffe im gegebenen Fall die größten Erfolgschancen bietet – z.B. einen Rammbock, um das Schwache Burgtor zu zerstören oder doch lieber ein Holzpferd bauen mit einem Stoßtrupp an Bord? So hat der moderne Angreifer z.B. die Wahl eines Brute-Force Angriffs auf die Anmeldeseite, oder soll er doch lieber erst versuchen die Organisation von innen durch einen Trojaner zu unterlaufen [1]?

Wenn der Einbruch gelungen ist, wird der Angreifer versuchen, sich im Netzwerk in Richtung seines angepeilten Ziels zu bewegen. An dieser Stelle beginnt der Vergleich zu hinken. Während in besagter Burg jetzt das Hauen und Stechen beginnt, wird der Hacker nach wie vor versuchen, sein Wirken geheim zu halten, denn die als „lateral movement“ bezeichnete Seitwärtsbewegung hat die höchste Aussicht auf Erfolg, wenn sie leise mit Zeit und Geduld durchgeführt werden kann.

Bei allen martialischen Vergleichen, gibt es auch eine gute Nachricht: Es gab mittelalterliche Burgen, die aufgrund ihrer Konzeption in der gesamten genutzten Zeit nie erobert wurden. Bleibt zu hoffen, dass die Analogie in dieser Hinsicht passt…

[1] Es gibt zahlreiche weitere Angriffsvektoren, aber hier wurden beispielhaft zwei relativ bekannte herausgegriffen.

Hessen-Suche