Vad är scenariobaserad säkerhetstestning?

Scenariobaserad säkerhetstestning har blivit en allt vanligare metod för att utvärdera företagets säkerhet. Här tittar vi närmare på hur det fungerar.

Scenariobaserad säkerhetstestning är ett växande område inom säkerhetsvärlden, inte minst i samband med Red Team-övningar. Som namnet antyder går metoden ut på att testa ett eller flera scenarion kopplade till hotbilder eller risker mot en specifik organisation. Till skillnad från traditionell penetrationstestning, som djupdyker i ett specifikt system eller nätverk, utgår den här typen av testning från ett angriparperspektiv där hela eller delar av organisationen är i scope.

Målet med ett scenariobaserat säkerhetstest kan vara allt från att ta kontroll över företagets AD eller en specifik användare i nätverket, till att ta över ett fristående industrisystem, stjäla pengar eller information eller andra saker som är kritiska för verksamheten.

Ett annat mål kan också vara att testa och utvärdera organisationens försvarskapacitet. Fungerar tekniken som förväntat? Upptäcker vår blåa SOC intrångsförsöket? Är våra incidenthanteringsrutiner tillräckliga?

Vid ett scenariobaserat säkerhetstest kan ett par olika utgångspunkter och tillvägagångssätt tillämpas. Vilket som passar bäst baseras bland annat på faktorer som företagets risk, önskad tidsåtgång samt vad målet med testet är.

Nedan följer fyra vanliga utgångspunkter.

Extern angripare

Ett vanligt scenario är att simulera ett angrepp från en extern angripare, där målet till exempel kan vara att installera ransomware i företagets miljö, ta över system eller användare eller ägna sig åt industrispionage. I dessa fall får personen som utför testet i många fall inte någon förinformation om organisationen, även kallat black box-test.

I ett sådant scenario handlar första steget om att skaffa sig ett initialt fotfäste i företagets nätverk. Detta kan uppnås på flera olika sätt. Ett är att kartlägga den externa disponerade ytan genom att titta på öppna källor, såsom läckta lösenord och konton i databaser eller om användare har använt samma uppgifter i sina privata konton som i sin tur har läckt. Även öppen information från företagets hemsida, Linkedin och andra publika kanaler granskas. Därifrån kan testaren, baserat på vilken information den har tillskansat sig, börja skapa riktade attacker mot system eller användare, såsom phishing.

Parallellt med detta sker tekniska angrepp mot externt exponerade ytor, såsom företagets hemsida och tjänster. Genom aktiviteter som portskanning av kända IP-adresser och enumerering av subdomäner kan företagets system kartläggas. Finns det tjänster som är exponerade mot internet som inte borde vara det? Är någon av dessa sårbara eller dåligt skyddade?

Många företag har dålig koll på sin exponeringsyta – som ofta är stor – vilket skapar bra förutsättningar för att ta sig in om någon av dessa på något sätt är sårbara för attacker. Ifall något av dessa steg ändå inte fungerar kan en assumed breach tillämpas, vilket förklaras lite längre ner i texten.

Väl på insidan börjar arbetet med att ta sig vidare mot testets slutmål. Med ett initialt fotfäste kan olika tekniker tillämpas för att röra sig lateralt i miljön, ta över nya användarkonton och eskalera sina rättigheter för att få tillgång till fler resurser och känslig information.

Assumed breach

Vid en assumed breach utgår man från antagandet att angriparen redan har ett fotfäste i miljön, och börjar därmed angreppet från insidan. Utgångsläget brukar vara en användare eller dator med låga behörigheter, som sedan testaren försöker eskalera genom att röra sig lateralt i nätverket.

Det finns flera anledningar till att göra en assumed breach. Den främsta är av effektivitetsskäl, då man i många fall kan anta att en angripare för eller senare kommer lyckas ta sig in genom de externa och sociala attackytorna, till exempel via phishing. Genom att hoppa över det steget, som ofta tar mycket tid i anspråk, kan testaren istället fokusera på vad angriparen kan göra när den väl har tagit sig in i miljön.

Efterlikna känt hot

En utgångspunkt för ett scenariobaserat säkerhetstest är att försöka likna ett redan känt hot, till exempel en APT-grupp som agerar på ett visst sätt. I dessa fall använder testaren samma eller liknande verktyg och tillvägagångssätt som hotaktören för att försöka störa ut produktion, logistikkedjor, eller andra saker som kan ha stor effekt på verksamheten.

Målet med den här typen av simulerade attacker är framför allt att testa organisationens detektionsförmåga för det specifika hotet. Övningen kan gå under kategorin ”purple teaming”, där den attackerande och den försvarande sidan jobbar tillsammans för att upptäcka hål i detektionen.

Supply-chain

Scenariobaserade säkerhetstester kan även utföras på leverantörer med syfte att undersöka hur dessa kan användas i supply chain-attacker mot kunder. Vid tester utförda av Sentors pentestare har leverantörer kunnat användas för att sprida och deploya kod hos flertalet kunder genom att till exempel lägga in skadlig kod i produktuppdateringarna, inte helt olikt Solar Winds-attacken.

I takt med att supply-chain-attacker ökar har den här typen av tester blivit ett allt vanligare sätt att arbeta för att hitta brister i leverantörens patch- och behörighetshantering, API-kopplingar och mycket annat som en angripare kan utnyttja som en del av en attack.

När är scenariobaserad säkerhetstestning en effektiv metod?

Scenariobaserad säkerhetstestning ger störst effekt för lite större företag, i synnerhet de organisationer som har en komplex infrastruktur som är svår att överblicka. När IT-miljön växer i snabb takt finns det alltid en risk att system blir bortglömda och lågt hängande frukt för angripare.

Genom att utföra simulerade angrepp som utgår från företagets specifika risker och hot kan bortglömda resurser och säkerhetsbrister identifieras, samtidigt som detektionen kan förbättras och kapacitet att stoppa ett liknande angrepp tidigt öka.

För att stärka organisationens säkerhet långsiktigt är det viktigt att jobba kontinuerligt med scenariobaserad säkerhetstestning. När det sker kan de simulerade angreppen anpassas utifrån hur organisationens riskprofil och hot förändras. Dessutom kan tidigare rapporterade brister och detektionskapacitet återtestas och verifieras för att undersöka om tidigare luckor har täppts till.

Är du nyfiken på scenariobaserad testning?

Vi på Sentor genomför regelbundet scenariobaserad säkerhetstester som en del av vårt koncept Red Team Testing. Testerna kan både utföras som enskilda uppdrag eller ske kontinuerligt via vår RedSOC-tjänst. Hör av dig, så berättar vi mer!