CTC Global

Herausforderung

1. Bei der Einführung von Betriebstechnologien werden häufig keine IT-Sicherheitsexperten hinzugezogen, was zu einer raschen Einführung einer Vielzahl von Technologien mit unterschiedlichen Sicherheitsprotokollen führt.
2. Produktionspipelines sind auf nie zuvor vernetzte Betriebstechnologie wie ICs, PLCs und SCADA angewiesen. Frühere Sicherheitsstrategien, die auf der Isolierung von Netzwerken beruhten, sind nicht mehr praktikabel.
3. Die Abhängigkeit von einem komplizierten Netz von Drittanbietern macht Hersteller besonders anfällig für Angriffe auf die Lieferkette

Lösung

• Hadrian wurde von CTC Global eingesetzt, um einen ganzheitlichen Überblick über die Angriffsoberfläche zu erhalten, der auch unbekannte Ressourcen einschließt.
• Das autonome Red-Teaming von Hadrian ahmte den Testansatz eines Hackers nach und lieferte Echtzeiteinblicke in den Kontext von Assets und Risiken.
• Die Erkenntnisse aus der Vergangenheit wurden genutzt, um gezielte Tests durchzuführen und kritische Risiken zu ermitteln.
• Hadrian bewertete die Angriffsfläche in regelmäßigen Abständen neu und passte sich mit einer kontinuierlichen Sicherheitsvalidierung an Veränderungen in der Umgebung an.

Ergebnis

Umfassendes Attack Surface Management und Asset Mapping

Hadrian begann damit, die Angriffsfläche von CTC Global zu kartieren, ohne zuvor interne Kenntnisse über das Netzwerk von CTC Global zu haben. Der Outside-In-Ansatz ermöglichte es Hadrian, Assets zu identifizieren, von denen CTC Global nicht wusste, dass sie vorhanden waren, die aber für Cyberkriminelle sichtbar waren. Hadrian nutzte Open-Source-Informationen, aktives Scannen und eigenes passives Wissen, um bisher unbekannte Ressourcen in 23 Domänen zu entdecken. 10.000 Scans ermöglichten Hadrian die einfache Identifizierung und Verknüpfung von Ressourcen, die CTC Global dabei halfen, seine sich verändernde Angriffsfläche zu navigieren.

Potenzielle Angriffsvektoren mithilfe von Brancheneinblicken identifizieren

Hadrian konzentrierte sich auf risikoreiche Bereiche der Angriffsoberfläche, um die Anlagen zu identifizieren, die am ehesten für Angriffe genutzt werden können. So führte Hadrians Wissen über häufige Angriffe auf Produktionsunternehmen dazu, dass die Cloud als Hochrisikobereich identifiziert wurde.

Hadrian markierte und testete die Assets, die am wahrscheinlichsten eine Rolle bei gängigen Cloud-Sicherheitsangriffen spielen. Zu den risikoreichen Assets gehörten statische, ganzheitliche Quellen wie S3-Buckets, Azure Blob Storage und Google Cloud Storage. S3-Buckets waren von besonderem Interesse, da sie für XSS-Angriffe und Subdomain-Takeovers verwendet werden können.

Simulation von Angriffen mit Modularer Technologie

Hadrian ist auf modularer Technologie aufgebaut. Die modulare Technologie unterteilt komplexe Sprengungen in kleinere Abschnitte, die sogenannten Module. Diese kleineren Abschnitte wurden kombiniert und in einer Vielzahl von Sequenzen ausgeführt, um Flexibilität zu gewährleisten. Hadrian entschied auf der Grundlage früherer Erkenntnisse und des Kontexts, welche Sequenzen ausgeführt werden sollten und welche Module sich untereinander abwechselten.

Modularität bedeutete, dass Hadrian bei der Analyse von CTC Global mit der gleichen Anpassungsfähigkeit wie ein menschlicher Cyberkrimineller Entscheidungen über die nächsten Schritte treffen konnte.

Nachdem er beispielsweise die S3-Buckets markiert hatte, setzte Hadrian ein Hacking-Modul ein, das die Offenlegung der im Bucket gespeicherten vertraulichen Dateien testete. Je nachdem, ob ein Zugriff möglich war oder nicht, setzte Hadrian neue Module ein, die die Dateien nach vertraulichen Informationen durchsuchten.

Hadrian verschaffte sich schnell Zugang zu Anmeldedaten und persönlichen Informationen, die in einem der S3-Buckets gespeichert waren. Hadrian stufte die Datenverletzung als äußerst kritisch ein und ermöglichte eine nahezu sofortige Behebung.

Hadrian wird auch in Zukunft immer wieder Tests durchführen, um auf Veränderungen in der IT-Infrastruktur von CTC Global zu reagieren. Kontinuierliche Einblicke beinhalten die Identifizierung neuer Assets, den Asset-Kontext, die Risikopriorisierung und Vorschläge zur Abhilfe.