Nach der Investition in Sicherheitslösungen wiegen sich viele Unternehmen in trügerischer Sicherheit vor Angriffen. Die Herausforderung, das eingesetzte Sicherheitskonzept dauerhaft, jederzeit aktuell und auditierbar in der Realität zu überprüfen, ist nun mit dem zur Produktfamilie der Breach and Attack Simulationen (BAS) gehörigem C.A.T.S-Service von TÜV Hessen möglich. Dieser erlaubt Ihnen, jederzeit eine Aussage über die Erkennungsleistung Ihres Sicherheitskonzepts gegenüber der aktuellen Gefährdungslage zu treffen. Es wird überprüft, ob Angriffe über Ihre Netzwerk-, E-Mail- oder Endpunktschutzmechanismen erkannt und unterbunden werden oder nicht – gepaart mit Handlungsinformationen, wie eine Erkennung erreicht werden kann.

Die folgende Tabelle gibt einen Überblick über die funktionalen Eigenschaften zwischen C.A.T.S, Penetrationstests und Schwachstellenscans.

 

Überprüfung    C.A.T.S    PenetrationstestSchwachstellenscan
Sicherheits-/Erkennungsleistung von Komponentenx  
Softwareschwachstellen xx
automatisiertx x
manuellxx 
kontinuierlich (scheduling)x x
permanent (dauerhaft)x  

 

Mit Hilfe von C.A.T.S können Sie beispielsweise die folgenden Fragen beantworten:

  • Mit welchen Techniken kann ein theoretisch infizierter Windows Client per Lateral Movement andere Systemen infizieren?
  • Gibt es Ransomware/-Familien, welche nicht von E-Mail-Server vorgelagerten Schutzsystemen, wie etwa einem Datei-Antivirus oder einer Sandbox erkannt werden?
  • Wie unterscheidet sich die Netzwerksicherheit, wenn ein Endpunkt-Client am Hauptstandort oder im VPN Netz eingesetzt wird?
  • Wie anfällig ist das „Golden Image“ auf Verwundbarkeiten der Softwareprodukte Microsoft Office, Java, Adobe Reader & Co.?
  • Gibt es einen Unterschied bei der Erkennungsrate zwischen http- und https-Webdatenverkehr beim Download von Malware und Exploits?
  • Wie anfällig ist die Windowsumgebung gegenüber Credential-Dumping Techniken, welche zum Stehlen von Authentisierungsinformationen genutzt werden?

 

C.A.T.S versetzt Sie in die Lage, die Erkennungsleistung Ihrer Netzwerk-, E-Mail- und Windows Endpunkt Komponenten zu messen. Lücken werden erkannt, wodurch Rückschlüsse auf fehlende Technologie oder Konfigurationsanpassungen ermöglicht und mit den bereitgestellten Handlungsinformationen geschlossen werden können.

 

TÜV Hessen erfüllt höchste Sicherheitsansprüche

Wir betreiben C.A.T.S im Hochsicherheitsrechenzentrum der DARZ GmbH in Darmstadt, welches sich im ehemaligen Tresorgebäude der Hessischen Landeszentralbank befindet. Der Betrieb des C.A.T.S-Service erfüllt durch die Zertifizierungen des Rechenzentrums (Verfügbarkeitsklasse 3, BSI TR-03145 (KRITIS), ISO27001 sowie PCI-DSS) höchste Ansprüche an Daten- und Betriebssicherheit. Darüber hinaus sind unsere TÜV Hessen IT-Security-Experten die alleinigen Administratoren des Service.

 

Sie möchten unseren Service testen?

Kommen Sie gerne auf uns zu und wählen Sie aus, welche Angriffe Sie während der einwöchigen Simulationsphase überprüfen möchten.

Detaillierte Informationen zu den Simulationsmöglichkeiten haben wir in unseren FAQs unter Punkt 3 für Sie aufbereitet.

Sie haben Fragen oder möchten unseren C.A.T.S-Service testen? Vereinbaren Sie hier einen Demo-Termin. 

Rufen Sie uns an

06151 600-534

Kontakt

E-Mail

 

Häufig gestellte Fragen zum C.A.T.S-Service

1. Wie werden die Tests bzw. Simulationen durchgeführt?

Der C.A.T.S-Service simuliert beide Seiten eines potenziellen Angriffs: Angreifer und Opfer. Mit Hilfe von virtuellen Appliances (Peers), die in beliebig zu wählenden Netzwerk-Segmenten installiert werden, führt C.A.T.S reale Angriffe von und zu den Peers aus. Dabei wird festgestellt, ob die eingesetzten Sicherheitsvorkehrungen im Bereich Netzwerk/Webapplication/E-Mail ausreichen, um den Angriff abzuwehren. Wird die Windows-Endpunkt-Sicherheit überprüft, steht nicht der Übertragungsweg, sondern die Sicherheitsmaßnahmen auf dem Windows-Endpunkt im Fokus.

 

2. Ist es sicher, C.A.T.S in Produktivumgebungen zu verwenden?

Ja, der Einsatz in Produktivumgebungen ist sicher. C.A.T.S-Komponenten kommunizieren und tauschen Bedrohungsdaten ausschließlich untereinander aus. Somit sind keine Assets Ihrer Produktivumgebung, mit Ausnahme der auf die Sicherheitsleistung zu testenden Gateway-/E-Mail-Sicherheitslösung sowie eines dedizierten Windows-Endpunkts in den C.A.T.S-Prüfzyklus involviert.

 

3. Welche Art von Angriffen kann C.A.T.S simulieren und welche Komponenten sind an den Tests beteiligt?

In der Leistungsbeschreibung finden Sie eine Auflistung der grundlegenden Funktionsweisen der Komponenten, die zur Verfügung stehenden Angriffskategorien sowie eine Übersicht zur C.A.T.S-Infrastruktur und deren Komponenten bereit.

 

4. Was sind Angriffsszenarien?

Angriffsszenarien bilden das Herzstück des C.A.T.S-Service. Um ein Netzwerk erfolgreich zu kompromittieren, setzen Angreifer mehrere Techniken ein. Ihr Ziel ist es, einen dauerhaften Zugriff auf Systeme zu erlangen, Informationen zu entwenden und sich im Netzwerk auszubreiten. Mit der Simulation einer solchen Verkettung von Angriffen, kann festgestellt werden, ob Ihre Windows-Endpunkt-Sicherheitslösung auch komplexe Angriffe erkennt. Selbst wenn manche Sequenzen einzeln betrachtet nicht als schadhaft gelten, können diese bei Betrachtung eines ganzheitlichen Angriffsszenarios entscheidend für einen Angreifer sein.

 

5. Kann eine stark verhaltensbasierte Erkennungslösung unter Windows getestet werden?

Ja, mit der Simulation von komplexen Angriffsszenarien bekannter „APT“-Gruppen werden die Analyse- und Bewertungsengines der EPP bzw. EDR-Lösungen ausführlich getestet. Dabei werden in allen Angriffsszenarien die verwendeten Techniken als solche zur Simulation verwendet. Finden „bösartige“ Tools innerhalb eines Angriffsszenarios Verwendung, so werden diese durch den C.A.T.S.-Agenten auf dem dedizierten Windows-System für das jeweilige Angriffsszenario automatisch bereitgestellt. Informationen oder Daten, die bei der Ausführung von Befehlszeilenkommandos oder bei der Nutzung von Tools entstehen, verlassen Ihre Systeme in keinem Fall.

 

6. Über wie viele Angriffe/Angriffsszenarien verfügt die C.A.T.S-Datenbank?

Insgesamt enthält die C.A.T.S-Datenbank mehr als 9.000 Bedrohungen. Beinahe täglich werden neue hinzugefügt. Dies richtet sich nach dem Auftreten von neu bekannt gewordenen Angriffstechniken.

 

7. Welcher Aufwand besteht in der Pflege der Komponenten von C.A.T.S?

Die Management-Appliance wird im Rechenzentrum von TÜV Hessen betrieben und gewartet. Je nach Testszenario (Windows-Endpunkt, Netzwerkangriff aus dem Internet auf einen C.A.T.S-Peer in Ihrem Netzwerk, Data Exfiltration aus Ihrem Netzwerk zu einem C.A.T.S-Peer im TÜV Hessen Rechenzentrum, Netzwerkangriff auf einen Peer, der sich als Webserver in Ihrem Netzwerk darstellt, Netzwerkangriff zwischen zwei Ihrer Netze, Test der Sicherheitsleistung Ihrer E-Mail-Sicherheitslösung) werden C.A.T.S-Peers von TÜV Hessen im TÜV Hessen Rechenzentrum bereitgestellt und gewartet. C.A.T.S-Softwarepakete werden auf allen C.A.T.S-Peers automatisch aktualisiert. Die Pflege der zugrundeliegenden Linux-Systeme der C.A.T.S-Komponenten in Ihrer Infrastruktur, die in einer gemeinsamen Remotesession eingerichtet werden, obliegt Ihnen. Dafür ist aber nur ein sehr geringer wiederkehrender Zeitaufwand notwendig, weshalb die Pflege ohne Absprache mit TÜV Hessen stattfinden kann.

 

8. Werden für Data-Exfiltration-Simulationen Daten des Kundennetzwerkes verwendet?

Nein, Data-Exfiltration-Simulationen nutzen durch das C.A.T.S-Softwarepaket dynamisch und fiktiv erzeugte Informationen und Datensätze in verschiedenen Dateiformaten.