NSIDE Attack Logic war mit einem Vortrag vertreten bei der 25. DuD-Konferenz in Berlin. Dort trafen sich vom 12. bis zum 14. Juni 2023 Datenschutzbeauftragte, Anwälte und IT-Sicherheitsverantwortliche zum Gedanken- und Erfahrungsaustausch. Beherrschendes Thema war künstliche Intelligenz (KI) und die damit verbundenen Risiken. Aber auch Cybersecurity kam nicht zu kurz. Zitiert man die Veranstalter, so wurde klargestellt, dass IT-Sicherheit ebenfalls Datenschutz sei. Deshalb gab es dazu mehrere spannende Vorträge und wir hatten den Eindruck, dass es das am häufigsten diskutierte Thema auf den gelungenen Abendveranstaltungen war.
Rechtliche Themen und technische Herausforderungen greifen häufig ineinander. Ich heiße Sebastian Hofmann und bin seit März 2023 als Security Analyst bei NSIDE Attack Logic tätig. Mein Background für diesen Job ist recht ungewöhnlich, da ich über keine technische Ausbildung oder ein Studium in diese Richtung verfüge. Stattdessen bin ich nebenher als Rechtsanwalt und Datenschutzbeauftragter tätig.
In diesem zweiteiligen Blogartikel möchte ich den Inhalt des Vortrages auf der DuD zusammenfassen und eine ergebnisorientierte Lösung anbieten, mit der man für mehr Awareness in Unternehmen sorgen kann. Im ersten Teil wird dargestellt, wie ein Angriff aus Sicht des Angreifers aussieht und welche menschlichen Faktoren eine Rolle spielen. Im zweiten Teil der Serie wird erklärt, wie man als Verteidiger seine Mitarbeiter motivieren kann bei Sicherheitsvorfällen im richtigen Moment, das Richtige zu tun.
Teil 1: Der Angreifer – Pyramid of Pain
Da es sich um den letzten Vortrag an diesem Tag handelte, habe ich das Fachpublikum eingeladen, kurz zu vergessen, dass es die DSGVO gibt, um die Situation aufzulockern. Stattdessen sollte sich jeder einmal auf eine Sache konzentrieren, die man wirklich schützen will, etwas, dass auf keinen Fall verlorengehen darf, und genau diese Sache im Hinterkopf behalten.
Hollywood vermittelt uns ein Bild von Cyberangriffen, die blitzartig verlaufen und unsichtbar sind. Tatsächlich laufen echte Angriffe niemals still und ohne Spuren ab. In der Praxis stellt sich eher die Frage, ob diese entdeckt werden. Aus der Kriminalistik stammt die sogenannte Locard‘sche Regel. Diese besagt, dass wenn ein Kontakt stattgefunden hat, werden wechselseitig Spuren hinterlassen. Oder anders ausgedrückt: Beim Angreifer beziehungsweise Angegriffenen ist entweder mehr oder weniger vorhanden als vorher. Diese Veränderungen nennt man in der IT-Security IoC (Indicators of Compromise) oder schlicht: Woran merke ich, dass ich gehackt wurde?
Ein Modell dass dieses Prinzip verdeutlicht und für den Verteidiger einordnet, stammt von David Bianco vom SANS Institute und nennt sich: Pyramid of Pain.[1]

Quelle: https://detect-respond .blogspot.com/2013/03/the-pyramid-of-pain.html
Mit dieser Pyramide werden die einzelnen IoCs vom Sockel bis zur Spitze danach sortiert, wie aufwändig und frustrierend es für einen Angreifer wäre, seine Angriffstaktik zu ändern, für den Fall, dass sein Angriff auf der jeweiligen Stufe entdeckt wird. Im Detail stellt es sich von unten nach oben wie folgt dar:
Hashes
Dabei handelt es sich um einen eindeutigen Wert, der mit Hilfe einer Einwegfunktion von einer Datei mit bekanntem Schadcode berechnet wird. Dieser Hash kann eine Datei eindeutig identifizieren.
Für den Angreifer hat dies lediglich zur Folge, dass er nur ein einziges Zeichen innerhalb der Datei verändern müsste, um einen vollkommen anderen Hashwert zu erhalten. Dies stellt für den Angreifer kaum eine Hürde dar, sodass die Pyramid of Pain den Aufwand mit „Trivial“ bewertet.
IP-Adressen
Ähnlich verhält es sich mit IP-Adressen. Wird von einem Verteidiger eine IP-Adresse entdeckt, von der aus schädliche Aktionen durchgeführt werden und diese anschließend gesperrt, wird es dem Angreifer nicht sonderlich schwer fallen, diese zu ändern. Es ist davon auszugehen, dass der Angreifer für seine Aktionen nicht seinen privaten Anschluss verwendet, sondern Tor, einen VPN oder einen eigens kompromittierten Server zwischen sich und dem Ziel platziert. Zwar wäre der Aufwand eine neue Maschine zu kompromittieren schon größer, bei Tor oder einem VPN-Anbieter reicht es aber aus, die Verbindung erneut herzustellen.
Domains
Etwas aufwändiger wird es bei Domains, jedoch werden dafür keine besonderen technischen Kenntnisse benötigt, sodass Domains innerhalb der Pyramid of Pain mit „Simple“ bewertet werden. Wird beispielsweise eine Domain entdeckt und gesperrt, die ähnlich aussieht wie die offizielle Domain eines Unternehmens und für Phishing verwendet, muss der Angreifer eine Neue registrieren. Dies kostet Aufwand und Ressourcen und mit etwas Glück gibt der Angreifer zu viel über sich preis.
Network- / Host Artifacts
Dies meint beispielsweise Dateien oder Ordner, die auf dem System hinterlassen wurden. Es könnte aber auch ein User-Agent sein, wenn zum Beispiel festgestellt wird, dass schädliche Dinge von einer bestimmten Linux Version mit einer bestimmten Firefox-Version durchgeführt werden. Eine Entdeckung stellt etwas größere Herausforderungen an den Angreifer, da er sich zunächst überlegen muss, warum er identifiziert worden ist und im Anschluss eine neue Lösung für die Fortsetzung des Angriffs braucht.
Tools
Darunter versteht man Werkzeuge, wie Schwachstellenscanner oder Software die Passwörter extrahieren kann. Schafft man es, die Ausführung der identifizierten Tools des Angreifers im Netzwerk zu unterbinden, so muss sich dieser um neue Möglichkeiten bemühen. Dies ist vergleichbar mit einem Umstieg von Windows auf Mac oder der Wechsel einer Buchhaltungssoftware. Dies führt zu Aufwand, Frustration und Fehlerpotential, was dazu führen kann, dass sich der Angreifer enttarnt oder aufgibt. Deshalb wird diese Stufe mit „Challenging“ bewertet.
Tactics, Techniques, Prodcedures
Dies meint kurz und knapp das gesamte Verhalten des Angreifers. Hier kämpft man direkt gegen den Angreifer, vorausgesetzt, man hat Strategie und Vorgehen verstanden und die nächsten Schritte und Ziele im Blick. Da dies die höchste Stufe des Schmerzes für den Angreifer ist, wird diese mit „Tough“ bewertet und meist dazu führen, dass der Angreifer entweder erheblich in den Angriff investieren muss oder aufgibt.
Der menschliche Faktor eines Angriffs
Wenn Sie NSIDE beauftragen, um einen realistischen Angriff auf Ihre Systemlandschaft zu simulieren, dann geht ein Kollege mit Neugier und kindlicher Begeisterung an Ihr Projekt heran. Merkt dieser aber, dass Sie bereits recht gut aufgestellt sind, dann durchlebt er in den nächsten Testtagen schrittweise die einzelnen Stufen der Pyramid of Pain. Man recherchiert, redet mit Kollegen und versucht noch einmal mehr um die Ecke zu denken, um auf neue Ansatzpunkte zu kommen. Wenn am Ende im Bericht nur wenige Findings stehen und der Pentester seinen Job ernstgenommen hat, dann können Sie sicher sein, dass er für dieses Ergebnis gelitten hat. Und so ergeht es jedem Angreifer, egal ob State Actor, Script Kiddie, ehemaliger Mitarbeiter oder Ex-Partner.
Der Haken für Sie als Verteidiger ist, dass die Stufen des Schmerzes auch für Sie gelten. Die unteren drei Stufen der Pyramide werden üblicherweise von automatisierten Tools wie Virenscanner oder Firewall abgedeckt. Möchten Sie die Pyramide weiter erklimmen, um dem Angreifer größere Schmerzen zufügen zu können, erfordert es einiges mehr an Schmerz in Form von Aufwand, Wissen und manueller Arbeit.
Im Zweiten Teil der Serie wird beleuchtet, wie es sich mit dem menschlichen Faktor aus Sicht des Verteidigers verhält und was sie tun können, um echte Awareness zu schaffen und wie Sie Mitarbeiter schulen, dass diese im richtigen Moment das Richtige tun, um wirklich zu schützen, was Ihnen wichtig ist.
[1] https://detect-respond .blogspot.com/2013/03/the-pyramid-of-pain.html