-
TECHNISCHES GEBIET
-
Die hierin beschriebene Thematik bezieht sich auf Testnetzwerke. Insbesondere bezieht sich der hierin beschriebene Gegenstand auf Verfahren, Systeme und computerlesbare Medien für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung.
-
ALLGEMEINER STAND DER TECHNIK
-
Einige Hilfsprogramme zum Scannen von Netzwerkschwachstellen und für die Ressourcenverwaltung können Vorrichtungen in einem Zielnetzwerk identifizieren und Vorrichtungsattribute und Konfigurationseinstellungen analysieren. Basierend auf der Analyse dieser Attribute und Konfigurationseinstellungen kann ein Netzbetreiber Erkenntnisse darüber gewinnen, wie Netzwerksicherheitsressourcen wirksamer eingesetzt und betrieben werden können.
-
Einige Hilfsprogramme für die Validierung der Netzwerksicherheit können Test-Agenten innerhalb eines Zielnetzwerks platzieren und diese Test-Agenten dazu verwenden, böswilligen simulierten Netzwerkverkehr zu erzeugen und/oder zu überwachen, um die Wirksamkeit der Sicherheitshilfsprogramme und -ressourcen des Zielnetzwerks zu prüfen und die Ergebnisse zu melden.
-
Während beide Arten von Hilfsprogrammen für Netzbetreiber nützlich sein können, erfordern solche Systeme ein relativ hohes Maß an technischem Fachwissen in Bezug auf diejenigen, die mit der Konfiguration der Aufgabe und der Interpretation und Umsetzung der Testergebnisse betraut sind. Mit anderen Worten: Hacker sind in der Regel sehr erfahren in der technischen Domäne ihres jeweiligen Angriffs/ihrer jeweiligen Angriffe, die sie durchführen, und es gibt zu jedem Zeitpunkt potenziell viele verschiedene Hacker mit vielen verschiedenen Angriffsfachgebieten, die in der Lage sind, ein Zielnetzwerk herauszufordern. Daher sehen sich viele Netzbetreiber ständig mit Angriffen konfrontiert, die von Entitäten mit Angriffskompetenzen durchgeführt werden, die weiter fortgeschritten sind als ihre eigenen Fähigkeiten für die Schadensbegrenzung.
-
Der hierin beschriebene Gegenstand enthält Verfahren, Systeme und computerlesbare Medien für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung. Verfahren für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung beinhalten das Durchführen einer ersten Bedrohungssimulation unter Verwendung mindestens eines Angriffsvektors, wobei das Durchführen der ersten Bedrohungssimulation das Erzeugen von simuliertem Netzwerkverkehr, der dem mindestens einen Angriffsvektor zugeordnet ist, und das Senden des simulierten Netzwerkverkehrs über mindestens einen Zwischenknoten an einen Test-Agenten in einem Zielnetzwerk enthält, wobei der Test-Agent konfiguriert ist, um mindestens eine geschützte Ressource in dem Zielnetzwerk zu simulieren; das Bestimmen mindestens einer Empfehlung für die Bedrohungsminderung unter Verwendung von Ankunftsmetriken für den simulierten Netzwerkverkehr; und das Bereitstellen der mindestens einen Empfehlung für die Bedrohungsminderung für einen Benutzer über eine Benutzerschnittstelle (UI).
-
Ein System für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung enthält mindestens einen Prozessor, einen Speicher und einen Bedrohungssimulator, der unter Verwendung des mindestens einen Prozessors und des Speichers implementiert wird. Der Bedrohungssimulator ist für Folgendes konfiguriert: das Durchführen einer ersten Bedrohungssimulation unter Verwendung mindestens eines Angriffsvektors, wobei das Durchführen der ersten Bedrohungssimulation das Erzeugen von simuliertem Netzwerkverkehr, der dem mindestens einen Angriffsvektor zugeordnet ist, und das Senden des simulierten Netzwerkverkehrs über mindestens einen Zwischenknoten an einen Test-Agenten in einem Zielnetzwerk enthält, wobei der Test-Agent konfiguriert ist, um mindestens eine geschützte Ressource in dem Zielnetzwerk zu simulieren; das Bestimmen mindestens einer Empfehlung für die Bedrohungsminderung unter Verwendung von Ankunftsmetriken für den simulierten Netzwerkverkehr; und das Bereitstellen der mindestens einen Empfehlung für die Bedrohungsminderung für einen Benutzer über eine Ul.
-
Der hierin beschriebene Gegenstand kann in Software in Kombination mit Hardware und/oder Firmware implementiert sein. Zum Beispiel kann der hierin beschriebene Gegenstand in Software implementiert sein, die von einem Prozessor ausgeführt wird. In einer Beispielimplementierung kann der hierin beschriebene Gegenstand unter Verwendung eines computerlesbaren Mediums implementiert werden, auf dem computerausführbare Anweisungen gespeichert sind, die, wenn sie von dem Prozessor eines Computers ausgeführt werden, den Computer steuern, die Schritte durchzuführen. Beispiele für computerlesbare Medien, die für das Implementieren des hierin beschriebenen Gegenstands geeignet sind, sind nichtflüchtige Vorrichtungen, wie Plattenspeichervorrichtungen, Chip-Speichervorrichtungen, programmierbare Logikvorrichtungen und anwendungsspezifische integrierte Schaltungen. Darüber hinaus kann sich ein computerlesbares Medium, das den hierin beschriebenen Gegenstand implementiert, auf einer einzigen Vorrichtung oder einer einzigen Rechenplattform befinden oder auf mehrere Vorrichtungen oder Rechenplattformen verteilt sein.
-
Wie hierin verwendet, bezieht sich der Begriff „Knoten“ auf mindestens eine physikalische Rechenplattform, die einen oder mehrere Prozessoren und Speicher enthält.
-
Wie hierin verwendet, bezieht sich jeder der Begriffe „Funktion“, „Engine“ und „Modul“ auf Hardware, Firmware oder Software in Kombination mit Hardware und/oder Firmware zum Implementieren der hierin beschriebenen Merkmale.
-
Figurenliste
-
Ausführungsformen des hierin beschriebenen Gegenstands werden nun anhand der begleitenden Zeichnungen erläutert, wobei ähnliche Bezugszahlen ähnliche Teile darstellen, hierbei zeigen:
- 1 ein Blockdiagramm, das eine beispielhafte Umgebung für eine Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung darstellt;
- 2 ein Blockdiagramm, das einen beispielhaften Bedrohungssimulator darstellt;
- 3 ein Nachrichtenflussdiagramm, das einen Bedrohungssimulator darstellt, der eine Bedrohungssimulation durchführt;
- 4 eine grafische Darstellung, die beispielhafte Daten für Minderungsempfehlungen darstellt;
- 5 eine grafische Darstellung, die eine beispielhafte grafische Benutzeroberfläche (GUI) zum Bereitstellen von Informationen für die Bedrohungsbeurteilung darstellt;
- 6 eine grafische Darstellung, die beispielhafte Daten für Minderungsempfehlungen für eine Ransomware-Bedrohung für das Mindern eines Ransomware-Angriffs darstellt;
- 7 eine grafische Darstellung, die beispielhafte Daten für Minderungsempfehlungen für eine Bedrohung durch Einschleusung von SQL-Befehlen für das Mindern eines Angriffs durch Einschleusung von SQL-Befehlen darstellt;
- 8 eine grafische Darstellung, die beispielhafte Daten für Minderungsempfehlungen für eine Bedrohung eines ausführbaren Downloads für das Mindern eines Angriffs durch einen ausführbaren Download darstellt; und
- 9 ein Flussdiagramm, das einen Beispielvorgang für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung darstellt.
-
DETAILLIERTE BESCHREIBUNG
-
Der hierin beschriebene Gegenstand enthält Verfahren, Systeme und computerlesbare Medien für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung. Netzbetreiber verwenden im Allgemeinen Netzwerktests, um auf verschiedene Netzwerkprobleme, einschließlich Sicherheitsfragen, zu testen. So kann ein Netzbetreiber zum Beispiel testen wollen, wie wirksam seine Sicherheitskontrollen beim Schutz von Ressourcen in Bezug auf bekannte Bedrohungen oder Angriffsvektoren sind. Außerdem möchte der Netzbetreiber solche Tests möglicherweise so schnell und effizient wie möglich durchführen (z. B. ohne, dass mehrere Sicherheitsberater und - experten benötigt werden), und er möchte wissen, wie diese Bedrohungen für die geschützte Ressource gemindert werden können. Die derzeitigen Testsysteme erfüllen möglicherweise einen oder mehrere dieser Wünsche nicht.
-
In Übereinstimmung mit einigen Aspekten des hierin beschriebenen Gegenstands werden Techniken, Verfahren oder Mechanismen für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung offenbart. Zum Beispiel kann ein Testsimulator in Übereinstimmung mit hierin beschriebenen Aspekten eine erste Bedrohungssimulation durchführen, wobei das Durchführen der ersten Bedrohungssimulation das Erzeugen von simuliertem Netzwerkverkehr, der dem mindestens einen Angriffsvektor zugeordnet ist, und das Senden des simulierten Netzwerkverkehrs über mindestens einen Zwischenknoten an einen Test-Agenten in einem Zielnetzwerk enthält, wobei der Test-Agent konfiguriert ist, um mindestens eine geschützte Ressource in dem Zielnetzwerk zu simulieren; kann mindestens einer Empfehlung für die Bedrohungsminderung unter Verwendung von Ankunftsmetriken für den simulierten Netzwerkverkehr bestimmen; und kann über eine Benutzerschnittstelle mindestens eine Bedrohungsminderung für einen Benutzer bereitstellen.
-
In Übereinstimmung mit einigen Aspekten des hierin beschriebenen Gegenstands können Bedrohungssimulations- und Bedrohungsminderungssysteme vorteilhaft verbessert werden, indem ein Test-Agent in einem Zielnetzwerk verwendet wird, das konfiguriert ist, um eine geschützte Ressource zu simulieren, indem Verkehrsmetriken verwendet werden, die von dem Test-Agenten und/oder verschiedenen Knoten in dem Zielnetzwerk erfasst werden, und/oder indem eine implementierte Empfehlung für die Bedrohungsminderung validiert wird und basierend auf der Validierung ein Feedback an eine Gemeinschaft von Benutzern bereitgestellt wird. Daher kann eine Bedrohungssimulation in einer kontrollierten und sicheren Umgebung durchgeführt werden, und relevante Empfehlungen für die Bedrohungsminderung können basierend auf dem Verhalten von Knoten in dem Zielnetzwerk, wie es aus den erhaltenen Verkehrsmetriken abgeleitet oder angezeigt wird, bestimmt werden. Darüber hinaus können Benutzer durch das Validieren implementierter Empfehlungen für die Bedrohungsminderung und die Verwendung von gemeinschaftsbasierten Feedback-Mechanismen von genaueren und wirksameren Empfehlungen für die Bedrohungsminderung profitieren, wie sie von anderen Benutzern der Bedrohungssimulation angegeben werden.
-
Es wird nun ausführlich auf beispielhafte Ausführungsformen des hierin beschriebenen Gegenstands eingegangen, von denen Beispiele in den beigefügten Zeichnungen dargestellt sind. Wo immer möglich, werden in allen Zeichnungen die gleichen Bezugszeichen verwendet, um auf gleiche oder ähnliche Teile zu verweisen.
-
1 ist ein Blockdiagramm, das eine beispielhafte Kommunikationsumgebung 100 für eine Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung darstellt. Unter Bezugnahme auf 1 kann die Kommunikationsumgebung 100 einen Bedrohungssimulator 102, einen Datenspeicher 103 und eine zu testende Infrastruktur (IUT) 104 enthalten. Der Bedrohungssimulator 102 kann jede geeignete Entität (z. B. eine oder mehrere Rechenplattformen oder ein Testwerkzeug, das unter Verwendung mindestens einen Prozessors implementiert wird) zum Durchführen verschiedener Aspekte, die dem Durchführen der Bedrohungssimulation und/oder dem Bestimmen von Empfehlungen für die Bedrohungsminderung zugeordnet sind, darstellen. Der Bedrohungssimulator 102 kann einen oder mehrere Prozessoren, einen oder mehrere Speicher enthalten und eine oder mehrere Kommunikationsschnittstelle(n) enthalten. Zum Beispiel kann der Bedrohungssimulator 102 eine Konfigurations- und Überwachungsschnittstelle für die Kommunikation mit einem Test-Agent(en) 116 und eine zweite Schnittstelle für die Kommunikation mit einem Netzwerk-Tap(s) 118 enthalten. In einem anderen Beispiel eine Benutzerschnittstelle (UI) und/oder eine Anwendungsprogrammierschnittstelle (API), die es einem Benutzer oder einer anderen Einheit ermöglicht, mit dem Bedrohungssimulator 102 zu interagieren.
-
Der Datenspeicher 103 kann eine beliebige geeignete Entität (z. B. ein computerlesbares Medium, eine Datenbank, eine Speichervorrichtung oder einen Speicher) zum Speichern von Daten, die sich auf die Bedrohungssimulation beziehen, Bedrohungsminderungsdaten, empfangene Verkehrsmetriken, Prüflogik, Topologieinformationen für die IUT 104 und/oder anderen Daten darstellen. Zum Beispiel kann der Datenspeicher 103 Konfigurationsinformationen speichern, die von einem Test-Controller gesendet werden, um eine oder mehrere Bedrohungssimulationen, die durchgeführt werden sollen, und einen Zeitplan für die Auslösung der einen oder mehreren Bedrohungssimulationen anzuzeigen.
-
Die IUT 104 kann verschiedene Netzwerkknoten, Ausrüstungen und/oder Vorrichtungen darstellen, die einem Unternehmen, einem Dienstanbieter oder einer anderen Entität zugeordnet sind.
-
Zum Beispiel kann die IUT 104 ein Live- oder Produktionsnetzwerk darstellen, das von einem Internetdienstanbieter oder einem Anbieter webbasierter Anwendungen (z. B. Cloud-Dienste) kontrolliert oder verwaltet wird. Die IUT 104 kann einen oder mehrere Zwischenknoten (z. B. Zwischenknoten 106-108), Datenspeicher 110-114, einen Test-Agenten) 116 und/oder einen Netzwerk-Tap(s) 118 enthalten.
-
Jeder der Zwischenknoten 106-108 kann jede geeignete Entität (z. B. eine oder mehrere Rechenplattformen oder Software, die unter Verwendung mindestens eines Prozessors implementiert ist) zum Empfangen, Senden und/oder Handhaben von simuliertem Netzwerkverkehr, zum Überwachen des Verkehrs und/oder zum Beobachten des Netzwerkverhaltens darstellen. Zum Beispiel kann jeder der Zwischenknoten 106-108 während einer Bedrohungssimulation als ein Zwischen-Hop auf einem Pfad zwischen der Bedrohungssimulator 102 und dem/den Test-Agent(en) 116 wirken. In diesem Beispiel kann sich jeder der Zwischenknoten 106-108 in der IUT 104 befinden und kann konfiguriert sein, um selektiv den simulierten Netzwerkverkehr (z. B. Pakete) teilweise oder vollständig zu filtern, zu blockieren, zu verwerfen, zu melden oder umzuleiten.
-
In einigen Ausführungsformen können die Zwischenknoten 106-108 ein Inline-Netzwerkelement, einen Sicherheitsknoten, eine Firewall, eine Netzwerk-Firewall, eine Anwendungs-Firewall, einen Intrusion-Protection- oder Intrusion-Prevention-System (IPS-) Knoten oder ein Netzwerk-Gateway enthalten. Zum Beispiel kann der Zwischenknoten 106 einen IPS-Knoten mit Deep-Packet-Inspection- (DPI-) Funktionalität darstellen und der Zwischenknoten 108 kann eine Anwendungs-Firewall darstellen.
-
In einigen Ausführungsformen können die Zwischenknoten 106-108 und/oder eine verwandte Überwachungsfunktionalität (z. B. Netzwerk-Tap(s) 118) verschiedene Verkehrsmetriken verfolgen, z. B. Jitter, Latenz, Bitrate und/oder andere Metriken, die sich auf den empfangenen simulierten Netzwerkverkehr beziehen, der einer Bedrohungssimulation zugeordnet ist. Zum Beispiel können Verkehrsmetriken für den Zwischenknoten 106 auch anzeigen, wann und ob ein oder mehrere einer Bedrohungssimulation zugeordnete Pakete an dem Zwischenknoten 106 empfangen werden, ob die Pakete von dem Zwischenknoten 106 blockiert, verworfen oder modifiziert werden und/oder wann das Paket den Zwischenknoten 106 in Richtung seines Ziels oder eines nächsten Hops verlässt. In einem anderen Beispiel können Verkehrsmetriken für den Zwischenknoten 108 auch anzeigen, wann und ob ein oder mehrere einer Bedrohungssimulation zugeordnete Pakete an dem Zwischenknoten 108 empfangen werden, ob die Pakete von dem Zwischenknoten 108 blockiert, verworfen oder modifiziert werden und/oder wann das Paket den Zwischenknoten 108 in Richtung seines Ziels oder eines nächsten Hops verlässt.
-
Der/die Test-Agent(en) 116 kann/können jede geeignete Entität oder Entitäten (z. B. eine oder mehrere Rechenplattformen oder Software, die unter Verwendung mindestens eines Prozessors implementiert wird/werden) zum Kommunizieren mit dem Bedrohungssimulator 102, zum Überwachen des Datenverkehrs und/oder zum Beobachten des Netzwerkverhaltens darstellen. Der/die Test-Agent(en) 116 kann/können zum Beispiel während einer Bedrohungssimulation als ein Endpunkt in der IUT 104 wirken und kann/können simulierten Netzwerkverkehr (z. B. bösartige Pakete) empfangen, der von dem Bedrohungssimulator 102 stammt. In diesem Beispiel kann/können der/die Test-Agent(en) 116 und/oder eine verwandte Überwachungsfunktionalität (z. B. Netzwerk-Tap(s) 118) verschiedene Verkehrsmetriken verfolgen, z. B. Jitter, Latenz, Bitrate und/oder andere Metriken, die sich auf einen empfangenen simulierten Netzwerkverkehr beziehen, der einer Bedrohungssimulation zugeordnet ist. In diesem Beispiel können Verkehrsmetriken auch anzeigen, wann und ob ein oder mehrere Pakete, die einer Bedrohungssimulation zugeordnet sind, bei dem/den Test-Agent(en) 116 empfangen werden und/oder ob ein empfangenes Paket gegenüber einem erwarteten Paket (z. B. einer Originalversion, die von dem Bedrohungssimulator 102 gesendet wurde) modifiziert wurde. In einigen Ausführungsformen kann/können der/die Test-Agent(en) 116 und/oder eine verwandte Überwachungsfunktionalität konfiguriert sein, um verschiedene verkehrsbezogene Metriken dem Bedrohungssimulator 102 oder einer verwandten Entität periodisch (z. B. alle fünf Minuten) oder aperiodisch (z. B. dynamisch, auf Anforderung oder nach Abschluss einer Bedrohungssimulation) gemeldet werden.
-
In einigen Ausführungsformen kann/können (z. B. durch den Bedrohungssimulator 102 oder einen verwandten Test Controller) der/die Test-Agent(en) 116 konfiguriert werden, um verschiedene Funktionen für das Interagieren mit Knoten in der IUT 104, dem Bedrohungssimulator 102 und/oder anderen Entitäten durchzuführen. Der/die Test-Agenten) 116 kann/können zum Beispiel konfiguriert sein, um ein geschütztes Asset (z. B. einen Webanwendungsserver) in der IUT 104 zu simulieren. In diesem Beispiel kann/können der/die Test-Agent(en) 116 während einer Bedrohungssimulation die geschützte Ressource aus einer topologischen oder verbindungsprospektiven Perspektive ersetzen oder der/die Test-Agent(en) 116 kann/können aus der geschützten Ressource heraus lokalisiert werden, z. B. indem die geschützte Ressource daran gehindert wird, simulierten Netzwerkverkehr zu empfangen und/oder als die geschützte Ressource zu reagieren.
-
Der/die Netzwerk-Tap(s) 118 kann/können jede geeignete Entität oder Entitäten (z. B. eine oder mehrere Rechenplattformen oder Netzwerk-Tap-Software, die unter Verwendung mindestens eines Prozessors implementiert wird/werden) zum Überwachen des Datenverkehrs und/oder Beobachten des Netzwerkverhaltens darstellen. Zum Beispiel kann ein erster Netzwerk-Tap 118 den Netzwerkverkehr überwachen, der über eine physikalische oder virtuelle Datenverbindung an dem Zwischenknoten 106 ankommt und/oder von diesem ausgeht, und kann verschiedene Metriken berechnen, die dem Netzwerkverkehr zugeordnet sind. In diesem Beispiel kann ein zweiter Netzwerk-Tap 118 den Netzwerkverkehr überwachen, der über eine physikalische oder virtuelle Datenverbindung an dem Zwischenknoten 108 ankommt und/oder von diesem ausgeht, und kann verschiedene Metriken berechnen, die dem Netzwerkverkehr zugeordnet sind.
-
In einigen Ausführungsformen kann/können der/die Netzwerk-Tap(s) 118 durch den Bedrohungssimulator 102 oder einen verwandten Test-Controller konfiguriert werden, um verschiedene Aspekte der Verkehrsüberwachung und -berichterstattung durchzuführen. Zum Beispiel kann der Bedrohungssimulator 102 oder ein verwandter Test-Controller den/die Netzwerk-Tap(s) 118 konfigurieren, um den Netzwerkverkehr zu überwachen und verschiedene verkehrsbezogene Metriken periodisch (z. B. alle fünf Minuten) oder aperiodisch (z. B. dynamisch, auf Anforderung oder nach Abschluss einer Bedrohungssimulation) an den Bedrohungssimulator 102 oder eine verwandte Entität zu melden.
-
Jeder der Datenspeicher 110-114 kann eine beliebige geeignete Entität (z. B. ein computerlesbares Medium, eine Datenbank, eine Speichervorrichtung oder einen Speicher) zum Speichern von Daten, die sich auf die Bedrohungssimulation beziehen, Bedrohungsminderungsdaten, empfangene Verkehrsmetriken, Vorrichtungskonfigurationsinformationen, Topologieinformationen für die IUT 104 und/oder anderen Daten darstellen. Zum Beispiel kann jeder der Datenspeicher 110-114 Konfigurationsinformationen für die Verkehrsüberwachung speichern, die von einem Test-Controller oder dem Bedrohungssimulator 102 gesendet werden, um anzuzeigen, wie der simulierte Netzwerkverkehr identifiziert werden kann und welche Verkehrsmetriken für das Identifizieren gesammelt oder erzeugt werden müssen.
-
In einigen Ausführungsformen können Paketfilter und/oder Analyselogik für das Überwachen von Netzwerkverkehr in den Datenspeichern 110-114 gespeichert und z. B. durch den Bedrohungssimulator 102 oder einen Test-Controller bereitgestellt werden. Zum Beispiel kann der Bedrohungssimulator 102 bei der Initialisierung oder zu anderen geeigneten Zeitpunkten Paketfilter und/oder Analyselogik an den/die Netzwerk-Taps(s) 118 und/oder den/die Test-Agent(en) 116, die innerhalb der IUT 104 eingesetzt werden, mit Hilfe von Push zur Verfügung stellen oder bereitstellen.
-
In einigen Ausführungsformen kann der Bedrohungssimulator 102 verschiedene Bedrohungssimulationen ausführen. Zum Beispiel kann jede Bedrohungssimulation auf einem vorgegebenen Angriffsvektor basieren. In diesem Beispiel kann der Bedrohungssimulator 102 auf bestimmte Angriffsvektorinformationen aus einer Datenstruktur zugreifen, die Informationen für eine Vielzahl verschiedener Angriffsvektoren enthält, die in dem Datenspeicher 103 gespeichert sind. Um mit diesem Beispiel fortzufahren, können die Angriffsvektorinformationen Nachrichtenvorlagen, bösartige Nutzlasten und/oder andere Informationen enthalten, die zum Nutzen des entsprechenden Angriffsvektors verwendet werden können.
-
In einigen Ausführungsformen kann der Bedrohungssimulator 102 bei der Durchführung einer Bedrohungssimulation simulierten Netzwerkverkehr (z. B. Pakete) erzeugen, der mindestens einem Angriffsvektor zugeordnet ist, und über den Zwischenknoten 106 und/oder den Zwischenknoten 108 den simulierten Netzwerkverkehr an einen/die Test-Agenten 116 in der IUT 104 senden, wobei der/die Test-Agent(en) 116 konfiguriert ist/sind, um mindestens eine geschützte Ressource in der IUT 104 zu simulieren.
-
In einigen Ausführungsformen können Ankunftsmetriken für den simulierten Netzwerkverkehr erzeugt werden, indem die Ankunft des simulierten Netzverkehrs an einer oder mehreren Entitäten in der IUT 104 (z. B. Zwischenknoten 106-108 und/oder Test-Agent(en) 116) überwacht wird. Zum Beispiel können sich die Netzwerk-Taps 118 an oder in der Nähe (z. B. in dem Pfad) jedes der Zwischenknoten 106 und 108 befinden. In diesem Beispiel kann/können Test-Agent(en) 116 und/oder Netzwerk-Taps 118 konfiguriert sein, um zu identifizieren, wann Pakete oder Nachrichten eine bestimmte Entität erreichen oder verlassen, und kann/können Metriken oder andere Daten für die Analyse durch den Bedrohungssimulator 102 oder eine verwandte Entität erzeugen.
-
In einigen Ausführungsformen kann der Bedrohungssimulator 102 unter Verwendung von Ankunftsmetriken für den simulierten Netzwerkverkehr und/oder anderer Daten aus verschiedenen Quellen mindestens eine Empfehlung für die Bedrohungsminderung bestimmen. Zum Beispiel kann der Bedrohungssimulator 102 oder eine verwandte Entität die Ankunftsmetriken für den Netzwerkverkehr und/oder andere Daten verwenden, um zu bestimmen, ob bösartige Pakete an dem Zwischenknoten 106, an dem Zwischenknoten 108 und/oder an dem/an den Test-Agenten 116 angekommen sind. In diesem Beispiel kann der Bedrohungssimulator 102 oder eine verwandte Entität abhängig davon, welche Knoten die bösartigen Pakete, wie durch die Ankunftsmetriken und/oder andere Daten angezeigt, empfangen oder nicht empfangen haben, bestimmen oder daraus ableiten, welche, falls vorhanden, Empfehlungen relevant sind, z. B. muss der Zwischenknoten 108 möglicherweise seine Konfiguration angepasst bekommen oder muss der Zwischenknoten 106 möglicherweise einen bestimmten Software- oder Firmware-Patch installieren.
-
In einigen Ausführungsformen kann der Bedrohungssimulator 102 einem Benutzer über eine Ul mindestens eine Empfehlung für die Bedrohungsminderung bereitstellen. Zum Beispiel kann ein Bedrohungsbewertungsbericht unter Verwendung eines webbasierten Portals über einen Webbrowser angezeigt werden. In diesem Beispiel können die Empfehlungen für die Bedrohungsminderung basierend auf einer Benutzerauswahl eines bestimmten Teils der Bedrohungsbeurteilung, die auch als eine Überprüfung bezeichnet wird, sortiert oder gefiltert werden. In einigen Ausführungsformen können Empfehlungen für die Bedrohungsminderung auf Benutzer- und/oder Expertenfeedback basieren (z. B. Wirksamkeitsbewertungen, die von einer Benutzerbasis oder einer Teilmenge stammen).
-
In einigen Ausführungsformen kann der Bedrohungssimulator 102 oder eine verwandte Entität Anweisungen oder eine Anleitung zum Implementieren einer oder mehrerer Empfehlungen für die Bedrohungsminderung bereitstellen. In einigen Ausführungsformen, z. B. nach Genehmigung oder Auswahl durch einen Netzwerkadministrator, kann der Bedrohungssimulator 102 oder eine verwandte Entität automatisch eine oder mehrere Empfehlungen für die Bedrohungsminderung unter Verwendung von Skripten, APIs oder anderen Mechanismen implementieren.
-
In einigen Ausführungsformen kann der Bedrohungssimulator 102 oder eine verwandte Entität, nachdem eine oder mehrere Empfehlungen für die Bedrohungsminderung implementiert wurden, die eine oder die mehreren Empfehlungen für die Bedrohungsminderung validieren, indem eine zweite Bedrohungssimulation unter Verwendung desselben Angriffsvektors durchführt und die Wirkungen des mindestens einen Angriffsvektors, nachdem die eine oder die mehreren Empfehlungen für die Bedrohungsminderung implementiert wurden, analysiert und die der zweiten Bedrohungssimulation zugeordneten Validierungsergebnisse berichtet werden. Zum Beispiel können die Validierungsergebnisse anzeigen, dass die IUT 104 und verwandte Knoten jetzt gegen einen bestimmten Angriffsvektor abgehärtet sind oder können anzeigen, dass die IUT 104 und verwandte Knoten immer noch für einen bestimmten Angriffsvektor anfällig sind.
-
Es wird darauf hingewiesen, dass 1 der Veranschaulichung dient und dass verschiedene dargestellte Entitäten, ihre Standorte und/oder ihre Funktionen, die vorstehend in Bezug auf 1 beschrieben sind, geändert, verändert, hinzugefügt oder entfernt werden können. Es wird auch darauf hingewiesen, dass, obwohl die Zwischenknoten 106-108 in 1 dargestellt sind, es mehr oder weniger Zwischenknoten geben könnte.
-
2 ist ein Blockdiagramm, das einen beispielhaften Bedrohungssimulator 102 darstellt. Wie in 2 dargestellt, kann der Bedrohungssimulator 102 einen Verkehrsgenerator 200, eine Analyse- und Empfehlungsengine (ARE) 202, eine Berichts- und Validierungsengine (RVE) 204 und einen Datenspeicher 103 enthalten, der die Bedrohungen 206 (z. B. Angriffsvektoren und verwandte Testinformationen), IUT-Topologieinformationen 208 (z. B. Informationen für die Netzwerkverbindung, Vorrichtungsinformationen usw.), Informationen für die Bedrohungsminderung 210 (z. B. Empfehlungen für die Bedrohungsminderung und/oder gemeinschaftsbasierte Feedback-Bewertungen) und Informationen für die Wirksamkeit der Bedrohungsminderung 212 (z. B. Computeranweisungen oder -code für die automatische Konfiguration von Knoten in der IUT 104, eine geführte Anleitung für menschliche Benutzer für die Konfiguration von Knoten in der IUT 104, ein Whitepaper, das eine Beschreibung einer Bedrohungsminderung beschreibt, usw.) enthält.
-
Der Verkehrsgenerator 200 kann jede geeignete Entität oder Entitäten (z. B. Software, die auf mindestens einem Prozessor, einer im Feld programmierbaren? Gatteranordnung (FPGA), einer anwendungsspezifischen integrierten Schaltung (ASIC) oder einer Kombination aus Software, einer ASIC oder einer FPGA ausgeführt wird) zum Durchführen eines oder mehrerer Aspekte, die der Verkehrserzeugung oder verwandten Funktionen zugeordnet sind (z. B. Empfangen, Erzeugen, Sortieren, Analysieren und/oder Senden von Nachrichten, Frames oder anderen Dateneinheiten) darstellen. Zum Beispiel kann der Verkehrsgenerator 200 konfiguriert sein, um simulierten Netzwerkverkehr (z. B. Pakete) zum Durchführen einer Bedrohungssimulation, die einem oder mehreren Angriffsvektoren zugeordnet ist, zu erzeugen. In diesem Beispiel kann jedes erzeugte Paket verschiedene Daten (z. B. bösartige Nutzlastdaten), die unter Verwendung der Bedrohungen 206 und der IUT-Topologieinformationen 208 bestimmt werden, und/oder andere Daten, die von einem Benutzer, dem Datenspeicher 103 und/oder anderen Entitäten bereitgestellt werden, enthalten.
-
In einigen Ausführungsformen kann der Verkehrsgenerator 200 eine Funktionalität zum Emulieren eines oder mehrerer Netzwerkknoten oder Vorrichtungen während der Prüfung der IUT 104 enthalten. Zum Beispiel kann der Verkehrsgenerator 200 einen Webserver, ein Smartphone, einen Computer oder eine andere Vorrichtung emulieren, der/das/die mit der IUT 104 oder einer Entität darin kommuniziert. In diesem Beispiel kann der Verkehrsgenerator 200 eine oder mehrere Vorrichtungen abhängig von dem Angriffsvektor emulieren, der durchgeführt wird.
-
In einigen Ausführungsformen kann der Verkehrsgenerator 200 einen oder mehrere Mehrfachanschlüsse (z. B. Kommunikationsschnittstellen) zum Empfangen oder Senden verschiedener Arten von Dateneinheiten verwenden, wie Ethernet-Frames, Protokolldateneinheiten (PDUs), Datagramme, Benutzerdatagrammprotokoll- (UDP-) Nachrichten, Transportkontrollprotokoll- (TCP) Nachrichten, Internetprotokoll- (IP-) Pakete der Version 4 (v4), IP-Nachrichten der Version 6 (v6), Stream-Kontrollübertragungsprotokoll- (SCTP) Nachrichten, Echtzeit-Transportprotokoll- (RTP-) Nachrichten oder zuverlässige Datenprotokoll- (RDP) Nachrichten, Nachrichten, die ein Tunneling-Protokoll verwenden, und/oder andere Dateneinheiten.
-
In einigen Ausführungsformen, z. B. anstelle von oder zusätzlich zu dem Verkehrsgenerator 200, kann die Kommunikationsumgebung 100 mehrere, verteilte Verkehrsgeneratoren enthalten, die sich innerhalb der IUT 104 befinden. In solchen Ausführungsformen kann jeder Agent für die Verkehrserzeugung einen physikalischen oder virtuellen Verkehrsgenerator darstellen und kann simulierten Netzverkehr basierend auf vorgegebenen Konfigurationsinformationen an ein oder mehrere Ziele senden, z. B. an den Dienstleister über den Bedrohungssimulator 102 oder einen Test-Controller.
-
Die ARE 202 kann jede geeignete Entität oder Entitäten (z. B. Software, die auf mindestens einem Prozessor, einer FPGA, einer ASIC oder einer Kombination von Software, einer ASIC oder einer FPGA ausgeführt wird) darstellen, um einen oder mehrere Aspekte, die der Analyse von Verkehrsmetriken zugeordnet sind, die aus verschiedenen Quellen (z. B. Zwischenknoten 106-108, Test-Agent(en) 116 und/oder Netzwerk-Tap(s) 118) empfangen werden, durchzuführen und eine oder mehrere Empfehlungen für die Bedrohungsminderung basierend auf der Analyse zu bestimmen. In einigen Ausführungsformen kann die ARE 202 empfangene Verkehrsmetriken von der IUT 104 oder verwandten Knotenpunkten verwenden und kann auf Informationen für die Bedrohungsminderung 210 und Informationen für die Wirksamkeit der Bedrohungsminderung 212 zugreifen, um einen Bewertungsbericht und/oder Empfehlungen für die Bedrohungsminderung zu erzeugen. In solchen Ausführungsformen können der Bewertungsbericht und/oder die Empfehlungen für die Bedrohungsminderung an den RVE 204 geschickt werden, um sie einem Benutzer oder einer anderen Entität anzuzeigen.
-
Die RVE 204 kann jede geeignete Entität oder Entitäten (z. B. Software, die auf mindestens einem Prozessor, einer FPGA, einer ASIC oder einer Kombination aus Software, einer ASIC oder einer FPGA ausgeführt wird) darstellen, um einen oder mehrere Aspekte, die der Berichterstattung und der Validierung zugeordnet sind, durchzuführen. Die RVE 204 kann zum Beispiel konfiguriert sein, um eine UI (z. B. GUI 500) zu nutzen, um Empfehlungen für die Bedrohungsminderung und/oder einen Bewertungsbericht anzuzeigen oder bereitzustellen. In diesem Beispiel kann der RVE 204, nachdem ein Benutzer eine oder mehrere Empfehlungen ausgewählt hat, unter Verwendung von Skripten, APIs oder anderen Mechanismen automatisch eine oder mehrere Empfehlungen für die Bedrohungsminderung implementieren und/oder eine geführte Anleitung oder Ratschläge für die Unterstützung eines Benutzers bei der Implementierung der Empfehlung bereitstellen. In einigen Ausführungsformen kann die RVE 204 Empfehlungen für die Bedrohungsminderung validieren, indem sie eine zweite Bedrohungssimulation unter Verwendung desselben Angriffsvektors durchführt und die Wirkungen des Angriffsvektors analysiert und die Validierungsergebnisse, die der zweiten Bedrohungssimulation zugeordnet sind, berichtet. Durch das Auslösen einer gleichen Bedrohungssimulation (z. B. durch erneutes Ausführen einer früheren Simulation) kann die RVE 204 zum Beispiel berichtete oder erhaltene Verkehrsmetriken empfangen und verwenden, um zu bestimmen, ob die IUT 104 immer noch für denselben Angriff anfällig ist. Wenn in diesem Beispiel die RVE 204 bestimmt, dass eine implementierte Empfehlung bei der Minderung des Angriffs nicht erfolgreich war, kann die RVE 204 bestimmen, ob diese Empfehlung korrekt implementiert wurde und/oder andere Empfehlungen zum Mindern des Angriffs vorschlagen. Um mit diesem Beispiel fortzufahren, kann die RVE 204 die Validierungsergebnisse auch verwenden, um automatisch Feedback an einen gemeinschaftsbasierten Feedback-Mechanismus für die Empfehlung bereitzustellen, z. B. durch Herabsetzen oder Erhöhen einer Wirksamkeitsbewertung abhängig von den bestimmten Validierungsergebnissen.
-
In einigen Ausführungsformen können Bedrohungen und verwandte Testinformationen 208 eine oder mehrere Datenstrukturen darstellen, die Angriffsvektoren, Bedrohungssimulationslogik und/oder andere Informationen zum Simulieren eines Angriffs auf der IUT 104 enthalten. Zum Beispiel können Bedrohungen und verwandte Testinformationen 208 Informationen über den Angriffsvektor enthalten, z. B. Nachrichtenvorlagen, bösartige Nutzlasten und/oder andere Informationen, die für die Nutzung des entsprechenden Angriffsvektors verwendet werden können. In einigen Ausführungsformen können Bedrohungen und verwandte Testinformationen 208 oder verwandte Daten manuell bereitgestellt werden, z. B. können eine oder mehrere Bedrohungssimulationen auf berichteten Angriffen von anderen Benutzern basieren, wobei Verhalten, Pakete und/oder andere Daten dem Bedrohungssimulator 102 oder einem verwandten System bereitgestellt werden.
-
In einigen Ausführungsformen können die lUT-Topologieinformationen 208 eine oder mehrere Datenstrukturen darstellen, die Kompositionsinformationen, Netzwerktopologieinformationen, Netzwerkkonnektivitätsinformationen, Vorrichtungskonfigurationsinformationen und/oder Netzwerkverbindungskonfigurationsinformationen enthalten, die der IUT 104 zugeordnet sind. Zum Beispiel können die lUT-Topologieinformationen 208 Informationen über Netzwerkelemente, Netzwerkelementkonfigurationsinformationen, Verbindungsinformationen zwischen Vorrichtungen, Verbindungsprotokollinformationen und Informationen für die Identifizierung von Anwendungen, Informationen über Zugriffskontrolllisten und Informationen für die Identifizierung des Netzwerkadministrators usw., enthalten. In einigen Ausführungsformen können die lUT-Topologieinformationen 208 oder verwandte Daten manuell vorgesehen werden oder können automatisch erfasst und über das Abtasten der IUT 104 unter Verwendung von Skripten, Netzwerkerkennungsprotokollen oder anderen Mechanismen vorgesehen werden.
-
In einigen Ausführungsformen können die Informationen 210 für die Bedrohungsminderung eine oder mehrere Datenstrukturen darstellen, die verschiedene Arten von Empfehlungen für die Bedrohungsminderung und verwandte Informationen enthalten, die zum Mindern verschiedener Bedrohungen verwendet werden können. Die Informationen 210 für die Bedrohungsminderung können zum Beispiel Informationen über Empfehlungen für die Bedrohungsminderung, die Konfiguration des Netzwerkelements und/oder verwandte Einstellungen, die IPS-Konfiguration und/oder verwandte Einstellungen, die Firewall-Konfiguration und/oder verwandte Einstellungen, Empfehlungen für interne Datenverarbeitungsverfahren, Netzwerk- oder administrative Sicherheitsverfahren, Anwendungseinstellungen, die Konfiguration des Betriebssystems des Netzwerkelements und/oder verwandte Einstellungen usw. enthalten. In einigen Ausführungsformen können Informationen 210 für die Bedrohungsminderung oder verwandte Daten manuell vorgesehen werden (z. B. von bezahlten Experten und/oder einer Nutzergemeinschaft) oder können automatisch basierend auf Empfehlungen für die wirksame Bedrohungsminderung für eine oder mehrere ähnliche Bedrohungen bestimmt werden.
-
In einigen Ausführungsformen können die Informationen für die Empfehlungen für die Bedrohungsminderung Anweisungen zum Anpassen einer Netzwerktopologie, Anweisungen zum Ändern von Verbindungen zwischen Vorrichtungen und/oder Verbindungsprotokollen, Anweisungen zum Einsetzen zusätzlicher Netzwerkelemente (z. B. Netzwerksicherheitsvorrichtungen), Anweisungen zum Einsetzen von Netzwerkdiensten für die Minderung einer Sicherheitsbedrohung und/oder Anweisungen zum Entfernen von Netzwerkvorrichtungen oder Netzwerkdiensten enthalten, die die Sicherheit des Netzwerks in Bezug auf eine Sicherheitsbedrohung beeinträchtigen oder beeinträchtigen können.
-
In einigen Ausführungsformen können die Informationen 212 über die Wirksamkeit der Bedrohungsminderung eine oder mehrere Datenstrukturen darstellen, die Bewertungen, Rangfolgen und/oder andere Metriken zum Angeben der Wirksamkeit der implementierten Empfehlungen für die Bedrohungsminderung enthalten. Zum Beispiel können die Informationen 212 für die Wirksamkeit der Bedrohungsminderung Bewertungen enthalten, die auf dem Feedback von bezahlten Experten und/oder einer Nutzergemeinschaft basieren.
-
Es wird darauf hingewiesen, dass 2 der Veranschaulichung dient und dass verschiedene dargestellte Entitäten, ihre Standorte und/oder ihre Funktionen, die vorstehend in Bezug auf 2 beschrieben sind, geändert, verändert, hinzugefügt oder entfernt werden können. Zum Beispiel können in einigen Ausführungsformen der RVE 204 und der ARE 202 in einem einzigen Modul kombiniert werden. Es wird auch darauf hingewiesen, dass verschiedene in 2 dargestellte Entitäten alle relevanten Daten, einschließlich der verschiedenen vorstehend beschriebenen Arten von Daten, erhalten oder darauf zugreifen können.
-
3 ist ein Nachrichtenflussdiagramm, das Nachrichten zum Durchführen einer Bedrohungssimulation veranschaulicht. In einigen Ausführungsformen kann der simulierte Netzwerkverkehr von IUT-Element(en) 300 empfangen und/oder überwacht werden (z. B. physikalische oder virtuelle Entitäten in der IUT 104). IUT-Element(e) 300 kann/können jede geeignete Entität oder Entitäten darstellen, das/die während einer Bedrohungssimulation simulierten Netzwerkverkehr empfängt/empfangen, verarbeitet/verarbeiten, weiterleitet/weiterleiten und/oder mit diesem interagiert/interagieren. Zum Beispiel kann/können IUT-Element(e) 300 Zwischenknoten 106 und 108 und/oder Netzwerk-Tap(s) 118 enthalten und können modifiziert werden (z. B., um bösartige Daten zu entfernen und/oder simulierten Netzwerkverkehr zu blockieren). In diesem Beispiel kann/können IUT-Element(e) 300 auch Funktionen enthalten oder nutzen, die den Verkehr und verwandte Attribute überwachen können (z. B. die Ankunftszeit für Pakete, die dem simulierten Netzwerkverkehr zugeordnet sind, die Übertragungszeit (z. B. Weiterleitung) für Pakete, die dem simulierten Netzwerkverkehr zugeordnet sind, und/oder Änderungen, die von einem bestimmten Element vorgenommen werden) und können verschiedene Metriken (z. B. Ankunftsmetriken für den simulierten Netzwerkverkehr, Abfahrtsmetriken für den simulierten Netzwerkverkehr, Fehlermetriken, Angriffserfassungsmetriken usw.), die dem überwachten Verkehr zugeordnet sind, erzeugen.
-
In einigen Ausführungsformen, z. B. vor einer bestimmten Bedrohungssimulation, kann der Bedrohungssimulator 102 oder eine verwandte Entität (z. B. ein Test-Controller) Konfigurationsinformationen an den/die Test-Agent(en) 116 senden, um das Verhalten des Test-Agenten zu konfigurieren. Zum Beispiel kann/können für eine bestimmte Bedrohungssimulation der/die Test-Agent(en) 116 konfiguriert werden, um als ein Webserver mit einem bestimmten Satz von aktiven Diensten und/oder Protokollen zu wirken, und für eine andere Bedrohungssimulation kann/können der/die Test-Agent(en) 116 konfiguriert werden, um als ein Speichernetzwerk- (SAN-) Knoten mit einem anderen Satz von aktiven Diensten und/oder Protokollen zu wirken.
-
In einigen Ausführungsformen kann auch der Bedrohungssimulator 102 oder eine verwandte Entität (z. B. ein Test-Controller) den/die Test-Agenten 116 anweisen, welche Nachrichten zu senden sind und/oder wann diese Nachrichten zu senden sind. Bei einer Bedrohungssimulation, die einschließt, dass ein Benutzer auf einen bösartigen Link in einem Webbrowser klickt, kann/können zum Beispiel der/die Test-Agent(en) 116 konfiguriert werden, um die Bedrohungssimulation einzuleiten, indem eine diesem Link zugeordnete Nutzlast von einem Bedrohungssimulator angefordert wird, der als ein Webserver wirkt. In einem anderen Beispiel kann/können in einer Bedrohungssimulation, die einschließt, dass ein entfernter Akteur einen Angriff durch Einschleusung von SQL-Befehlen durchführt, der/die Test-Agent(en) 116 konfiguriert werden, um auf eine anfängliche Webserver-Anforderung zu reagieren, die von dem Bedrohungssimulator 102 gesendet wird, wie der/die Webserver-Test-Agent(en) 116, der/die konfiguriert ist/sind, um dies simuliert, tun würde.
-
Unter Bezugnahme auf 3 in Schritt 301 kann der Bedrohungssimulator 102 eine Bedrohungssimulation einleiten, z. B. auf Anforderung oder Anweisung eines Benutzers oder eines verwandten Test-Controllers. Zum Beispiel kann der Bedrohungssimulator 102 oder eine verwandte Entität darin angewiesen werden, eine Bedrohungssimulation als Reaktion darauf, dass ein Benutzer eine bestimmte Bedrohungsbewertung auswählt, die über eine webbasierte Verwaltungs-GUI durchgeführt werden soll, durchzuführen. In diesem Beispiel kann der erzeugte simulierte Netzwerkverkehr auf die Bedrohungen 206 zugreifen, um einen Angriffsvektor oder verwandte Daten zu erhalten.
-
In Schritt 302 können eine oder mehrere bösartige Nachrichten (z. B. eine Webserver-Anforderung zum Ausnutzen einer Schwachstelle für die Einschleusung von SQL-Befehlen, eine Nachricht, die eine bösartige ausführbare Datei enthält, oder zum Auslösen des Herunterladens und Installierens von Ransomware) von dem Bedrohungssimulator 102 an den/die Test-Agenten 116 gesendet werden.
-
In Schritt 303 kann/können das/die IUT-Element(e) 300 den simulierten Netzwerkverkehr überwachen, der aus dem Bedrohungssimulator 102 stammt, und können Verkehrsmetriken erzeugen oder sammeln, die dem simulierten Netzwerkverkehr zugeordnet sind. Zum Beispiel kann/können das/die IUT-Element(e) 300 Zeiten protokollieren, die anzeigen, wann simulierte Netzwerkverkehrspakete bei einem bestimmten Element ankommen, und/oder können entsprechende Ankunftszeitstempel oder andere Metriken erzeugen. In einem anderen Beispiel kann/können das/die IUT-Element(e) 300 empfangene simulierte Netzwerkverkehrspakete untersuchen, um zu bestimmen, ob böswillige Datenteile entfernt, verändert oder gemindert wurden.
-
In Schritt 304 kann/können der/die Test-Agent(en) 116 den simulierten Netzwerkverkehr überwachen, der aus dem Bedrohungssimulator 102 stammt, und können Verkehrsmetriken erzeugen oder sammeln, die dem simulierten Netzwerkverkehr zugeordnet sind. Der/die Test-Agent(en) 116 kann/können zum Beispiel protokollieren, wenn simulierte Netzwerkverkehrspakete bei einem/bei Test-Agenten 116 ankommen, und kann/können entsprechende Ankunftszeitstempel oder andere Metriken erzeugen. In einem anderen Beispiel kann/können der/die Test-Agent(en) 116 empfangene simulierte Netzwerkverkehrspakete untersuchen, um zu bestimmen, ob böswillige Datenteile entfernt, verändert oder gemindert wurden.
-
In Schritt 305 kann/können das/die IUT-Element(e) 300 Verkehrsmetriken und/oder andere Daten an den Bedrohungssimulator 102 oder eine verwandte Entität senden. Zum Beispiel können Verkehrsmetriken und/oder andere Daten Jitter, Latenz, Bitrate und/oder andere Metriken in Bezug auf den empfangenen simulierten Netzwerkverkehr, der einer Bedrohungssimulation zugeordnet ist, anzeigen. In diesem Beispiel kann der Verkehrsbericht auch anzeigen, wann und ob ein oder mehrere einer Bedrohungssimulation zugeordneten Pakete an einem Element empfangen werden, ob die Pakete durch das Element blockiert, verworfen oder modifiziert werden und/oder wenn das Paket das Element in Richtung seines Ziels verlässt.
-
In Schritt 306 kann/können der/die Test-Agent(en) 116 Verkehrsmetriken und/oder andere Daten an den Bedrohungssimulator 102 oder eine verwandte Entität senden. Zum Beispiel können Verkehrsmetriken und/oder andere Daten Jitter, Latenz, Bitrate und/oder andere Metriken in Bezug auf den empfangenen simulierten Netzwerkverkehr, der einer Bedrohungssimulation zugeordnet ist, anzeigen. In diesem Beispiel können Verkehrsmetriken und/oder andere Daten auch anzeigen, wann und ob ein oder mehrere Pakete, die einer Bedrohungssimulation zugeordnet sind, bei dem/den Test-Agent(en) 116 empfangen werden und/oder ob ein empfangenes Paket gegenüber einem erwarteten Paket (z. B. einer Originalversion, die von dem Bedrohungssimulator 102 gesendet wurde) modifiziert wurde.
-
In Schritt 307 kann der Bedrohungssimulator 102 oder eine verwandte Entität Verkehrsmetriken und/oder andere Daten empfangen und analysieren und kann/können eine oder mehrere Empfehlungen für die Minderung einer Bedrohungssimulation zugeordneten Bedrohung erzeugen und bereitstellen. Zum Beispiel kann der Bedrohungssimulator 102 oder eine verwandte Entität einen Bedrohungsbewertungsbericht erzeugen, der anzeigt, ob bestimmte Prüfungen (z. B. Prüfteile) von der IUT 104 oder den Einheiten darin nicht bestanden wurden, und kann eine oder mehrere Empfehlungen für die Bedrohungsminderung zum Mindern (z. B. Beheben, Verhindern oder Reduzieren) der Wirkungen der verwandten Bedrohung oder Prüfung enthalten.
-
Es wird darauf hingewiesen, dass 3 der Veranschaulichung dient und dass verschiedene dargestellte Nachrichten und Einzelheiten zum Berichten von Netzwerkprüfungsergebnissen, die vorstehend in Bezug auf 3 beschrieben sind, geändert, verändert, hinzugefügt oder entfernt werden können.
-
4 ist eine grafische Darstellung, die beispielhafte Daten 400 für Minderungsempfehlungen darstellt. In einigen Ausführungsformen können die Daten 400 der Empfehlungen für die Bedrohungsminderung durch den Bedrohungssimulator 102, den/die Test-Agent(en) 116 und/oder andere Entitäten, die verschiedene Datenstrukturen verwenden, abgerufen und/oder gespeichert werden. In einigen Ausführungsformen können die Daten 400 zu den Empfehlungen für die Bedrohungsminderung alle geeigneten Informationen enthalten, wie Kategorien, Arten oder Ebenen, die den Empfehlungen und verwandten Empfehlungen zugeordnet sind, und Informationen zum Implementieren. Zum Beispiel kann jede Empfehlung für die Bedrohungsminderung auf einer Vorrichtungs- (z. B. Knoten- oder Element-) Klasse (z. B. Firewall), einem bestimmten Vorrichtungs- oder Ausrüstungsmodell, einem Open-Systems-Interconnection- (OSI-) Netzwerkschichtmodell oder einem anderen Referenzmodell zum Klassifizieren von Bedrohungsarten basieren. In diesem Beispiel kann jede Empfehlung für die Bedrohungsminderung auch einer oder mehreren Empfehlungen und/oder einer oder mehreren Empfehlungsarten zugeordnet sein. Um mit diesem Beispiel fortzufahren, kann jede Empfehlung für die Bedrohungsminderung auch Informationen zum Implementieren einer entsprechenden Minderung zugeordnet sein.
-
Unter Bezugnahme auf 4 werden die Daten 400 für die Empfehlungen für die Bedrohungsminderung unter Verwendung einer Tabelle dargestellt, die Zuordnungen zwischen den Empfehlungsarten, Empfehlungen und Implementierungsinformationen darstellt. In einigen Ausführungsformen können die Daten 400 für die Empfehlungen für die Bedrohungsminderung in einem oder mehreren Speichern (z. B. Datenspeicher 103) in der Kommunikationsumgebung 100 gespeichert oder gepflegt werden. Wie in 4 dargestellt, stellt jede Zeile eine Art von Empfehlungen für die Bedrohungsminderung, beispielhafte Empfehlungen, die der Art der Minderungsempfehlung zugeordnet sind, und eine beispielhafte Implementierung oder verwandte Informationen dar.
-
In einigen Ausführungsformen können die Empfehlungen für die Bedrohungsminderung verschiedenen Empfehlungsarten zugeordnet sein. In einigen Ausführungsformen können Arten von Empfehlungen für die Bedrohungsminderung für das Klassifizieren und/oder Filtern von Empfehlungen für die Bedrohungsminderung basierend auf dem Umfang (z. B. generisch, dienstspezifisch, anwendungsspezifisch, anfälligkeitsspezifisch), der Wirkung oder dem Zweck (z. B. Beheben, Reduzieren, Verhindern) oder anderen Faktoren verwendet werden.
-
Eine generische Empfehlungsart kann sich zum Beispiel auf den Umfang des Angriffsdienstes konzentrieren und kann Empfehlungen enthalten: Erzwingen der Überprüfung des Dateninhalts, Ermöglichen der strukturierten Abfrage-Spracheinschleusungssignaturprüfung in einem IPS oder Einstellen einer restriktiveren Quellenfilterung, um die Reichweite einer möglichen Angriffsquelle zu reduzieren. In einem anderen Beispiel kann sich eine dienstspezifische Empfehlungsart auf einen Dienst (z. B. einen Netzwerkdienst) oder eine Netzwerkschicht konzentrieren und kann Empfehlungen enthalten wie: Deaktivieren des Server-Nachrichtenblock- (SMB-) Dienstes, Einschränken des SMB-Dateifreigabezugriffs oder Blockieren des Zugriffs auf eine anfällige Webseite. In einem anderen Beispiel kann sich eine anwendungsspezifische Empfehlungsart auf eine Anwendung (z. B. ein Betriebssystem oder eine webbasierte Anwendung) konzentrieren und kann Empfehlungen enthalten wie: Anwenden eines Patchs für ein Microsoft Windows-Betriebssystem oder Anwenden eines Anwendungspatchs, falls auf der Website des Herstellers verfügbar, z. B. http://www.wordpress.org. In einem anderen Beispiel kann sich eine schwachstellenspezifische Empfehlungsart auf eine Schwachstelle konzentrieren, die an eine Anwendungsversion oder eine bestimmte Umgebungsbedingung gebunden ist, und kann Empfehlungen enthalten wie: Anwenden eines Patchs für ,MS17-019', der von Microsoft bereitgestellt wird, oder Anwenden eines Patchs, um eine Ausnutzung durch Einschleusung von SQL-Befehlen in der WordPress-Version ,2.5.3' zu beheben.
-
Beispielhafte Implementierungsinformationen können Administrationsanweisungen und/oder Konfigurationsanweisungen, die einem oder mehreren der Zwischenknoten 106-108 zugeordnet sind, enthalten. In einigen Ausführungsformen können die Implementierungsinformationen von einem menschlichen Bediener verwendet werden (z. B. menschenlesbare Schritt-für-Schritt-Anweisungen für Konfigurationsanpassungen) und/oder können von einem Verwaltungssystem oder verwandter Software zum automatischen Durchführen einer entsprechenden Empfehlung verwendet werden, z. B. durch das Konfigurieren der Zwischenknoten 106 und 108 über ein Konfigurationsskript und/oder eine API.
-
In einigen Ausführungsformen können die Daten 400 für die Empfehlungen für die Bedrohungsminderung auch Feedback basierend auf Nutzern und/oder anderen Experten enthalten. Wenn die Empfehlungen von den Benutzern implementiert und validiert werden, können die Benutzer zum Beispiel Feedback bereitstellen (z. B. eine Wirksamkeitsbewertung von 1-5 Sternen), das die Wirksamkeit der Empfehlung basierend auf der Erfahrung des Benutzers anzeigt. In diesem Beispiel können nachfolgende Benutzer dieses Feedback möglicherweise einsehen oder darauf zugreifen, um fundiertere Entscheidungen darüber zu treffen, welche Minderungsempfehlungen verwendet werden sollen. In einem anderen Beispiel können die Daten 400 für die Empfehlungen für die Bedrohungsminderung auch Ranglisten enthalten, die anzeigen, wie oft eine Empfehlung für die Bedrohungsminderung verwendet wird. In diesem Beispiel kann eine simulierte Bedrohung oder eine verwandte Entität (z. B. eine webbasierte UI) eine Funktionalität enthalten, die verfolgt, wie oft Benutzer und/oder Experten (z. B. bezahlte Berater) verschiedene Empfehlungen für die Bedrohungsminderung auswählen und/oder implementieren.
-
Es wird darauf hingewiesen, dass die Daten 400 für die Empfehlungen für die Bedrohungsminderung in 4 der Veranschaulichung dienen und dass auch andere und/oder zusätzliche Informationen gespeichert oder gepflegt werden können. Zum Beispiel kann jede Empfehlung für die Bedrohungsminderung ein eindeutiges Bezugszeichen zum Zweck der Identifizierung enthalten. Darüber hinaus wird darauf hingewiesen, dass die Daten 400 für die Empfehlungen für die Bedrohungsminderung in verschiedenen Datenstrukturen, Speichern, Medien, Datenspeichern und/oder an einem oder mehreren Orten gespeichert werden können.
-
5 ist eine grafische Darstellung, die eine beispielhafte GUI 500 zum Bereitstellen von Informationen für die Bedrohungsbeurteilung darstellt. In einigen Ausführungsformen kann die GUI 500 eine Seite darstellen, die von einem webbasierten Verwaltungsportal oder einer Benutzeranwendung bereitgestellt wird, die zum Konfigurieren des Bedrohungssimulators 102 oder verwandter Entitäten und/oder zum Überprüfen von Bedrohungssimulationsergebnissen, z. B. Bewertungsinformationen, verwendet werden kann. Zum Beispiel kann die GUI 500 einen Bewertungsbericht mit verschiedenen Einzelheiten und Metriken (z. B. Noten) bereitstellen, der anzeigt, wie sich die IUT 104 oder verwandte Entitäten (z. B. Zwischenknoten 108 und 110) während des simulierten Angriffs verhielten oder funktionierten. In diesem Beispiel kann die GUI 500 anzeigen, welche Aspekte des Angriffs, wenn überhaupt, verhindert oder gestoppt wurden oder wie wirksam die vorhandenen Bedingungen (z. B. Vorrichtungskonfigurationen) bei dem Verhindern oder Stoppen des Angriffs waren.
-
In einigen Ausführungsformen kann die GUI 500 Empfehlungen und verwandte Informationen für eine bestimmte Bedrohungsbeurteilung enthalten, die einer Bedrohungssimulation zugeordnet sind. In solchen Ausführungsformen kann die GUI 500 Ul-Elemente bereitstellen, die es dem Benutzer ermöglichen, Einzelheiten zu den Empfehlungen zu überprüfen und/oder eine oder mehrere Empfehlungen für die Implementierung auszuwählen, z. B. automatisch oder über eine geführte Anleitung oder ein Setup.
-
Unter Bezugnahme auf 5 kann die GUI 500 Gruppen von Ul-Elementen zum Anzeigen, Eingeben oder Interagieren mit verschiedenen Arten von Daten enthalten, die der Bedrohungsbeurteilung und/oder verwandten Informationen zugeordnet sind.
-
Die GUI 500 kann eine Liste der wichtigsten Empfehlungen für einen Benutzer enthalten. In einigen Ausführungsformen können die wichtigsten Empfehlungen von einer Benutzerbasis stammen (z. B. basierend auf dem Feedback mehrerer Benutzer) und/oder auf bekannten Merkmalen des Benutzers, der IUT 104 oder der aktuellen Bewertung(en) basieren. Zum Beispiel kann sich die Liste der wichtigsten Empfehlung dynamisch ändern, z. B. als Reaktion auf simulierte Angriffe und/oder verwandte Bedrohungsbeurteilungen (z. B. fehlgeschlagene Beurteilungen).
-
Die GUI 500 kann eine Liste der „letzten durchgeführten“ (z. B. zuvor durchgeführten) Beurteilungen (z. B. simulierte Angriffe) bereitstellen und eine Liste der „nächsten geplanten“ (z. B. als nächstes durchzuführenden) Beurteilungen bereitstellen. In einigen Ausführungsformen kann die GUI 500 neben jeder aufgelisteten Beurteilung handlungsauslösende Symbole bereitstellen, z. B. ein Startsymbol zum Starten oder Neustarten einer entsprechenden Beurteilung und ein Stoppsymbol zum Beenden einer entsprechenden Beurteilung.
-
In einigen Ausführungsformen kann die GUI 500 eine detailliertere Beschreibung einer ausgewählten Beurteilung bereitstellen. Zum Beispiel kann, wie in 5 dargestellt, eine Bewertung „#999 - WannaCry“ einen bestimmten Angriffsvektor darstellen, der mit Ransomware verwandt ist, und kann eine Liste der während der Bewertung durchgeführten Prüfungen anzeigen, wobei jede Prüfung einen anderen Aspekt der Bewertung darstellen kann. In diesem Beispiel kann die GUI 500 für jede Prüfung ein Ergebnis anzeigen, z. B. Nicht bestanden' oder „Bestanden“.
-
In einigen Ausführungsformen kann die GUI 500 eine Liste von Empfehlungen für eine nicht bestandene Prüfung bereitstellen. Jede Empfehlung kann einer Empfehlungsart zugeordnet werden, z. B. Verhindern, Beheben oder Reduzieren. Die GUI 500 kann auch eine Reihe von „Aktions“-Symbolen für jede Empfehlung bereitstellen, wobei jedes Symbol eine andere Aktion auslösen kann. Zum Beispiel kann ein Lupensymbol die GUI 500 veranlassen, ein Nachrichtenfeld oder ein Fenster anzuzeigen, das Einzelheiten zu einer Empfehlung und/oder ein Beispiel der Empfehlung bereitstellt. Ein Dokumentsymbol kann die GUI 500 veranlassen, ein Nachrichtenfeld oder ein Fenster anzuzeigen, das Empfehlungsmaterialien bereitstellt, z. B. ein Bild, einen Leitfaden, ein Whitepaper usw. Ein Daumen-hoch-Symbol kann die GUI 500 veranlassen, eine Metrik zu erhöhen, die der Wirksamkeit einer Empfehlung zugeordnet ist (z. B. durch Aktualisieren einer Empfehlungsrangliste oder einer Bewertung), die einer entsprechenden Empfehlung zugeordnet ist. In einigen Ausführungsformen kann die GUI 500 eine Anzahl von Sternen zum Anzeigen des Feedbacks der Gemeinschaft bereitstellen und kann dynamisch oder periodisch aktualisiert werden, wenn entfernte Benutzer Feedback bereitstellen, z. B. kann eine Bewertung mit 1 Stern anzeigen, dass eine Empfehlung unbeliebt oder unwirksam ist, während eine Bewertung mit 5 Sternen anzeigen kann, dass eine Empfehlung sehr beliebt oder wirksam ist.
-
Es wird darauf hingewiesen, dass 5 und ihre verwandte Beschreibung der Veranschaulichung dienen und dass zusätzliche und/oder andere Ul-Elemente zum Anzeigen, Eingeben oder Interagieren mit Informationen für die Bedrohungsbeurteilung verwendet werden können.
-
6 ist eine grafische Darstellung, die beispielhafte Daten 600 für Minderungsempfehlungen für eine Ransomware-Bedrohung für das Mindern eines Ransomware-Angriffs (z. B. „WannaCry“) darstellt. In einigen Ausführungsformen können die Daten 600 für die Empfehlungen für die Bedrohungsminderung durch den Bedrohungssimulator 102, den/die Test-Agent(en) 116 und/oder andere Entitäten, die verschiedene Datenstrukturen verwenden, abgerufen und/oder gespeichert werden. Unter Bezugnahme auf 6 werden die Daten 600 für die Empfehlungen für die Bedrohungsminderung unter Verwendung einer Tabelle dargestellt, die Zuordnungen zwischen den Empfehlungsarten, Empfehlungen und Bezugszeichen darstellt. In einigen Ausführungsformen können die Daten 600 für die Empfehlungen für die Bedrohungsminderung in einem oder mehreren Speichern (z. B. Datenspeicher 103) in der Kommunikationsumgebung 100 gespeichert oder gepflegt werden. In einigen Ausführungsformen können die Daten 600 für die Empfehlungen für die Bedrohungsminderung (z. B. über eine Client-Anwendung oder eine webbasierte GUI) einem Benutzer bereitgestellt werden, wenn die IUT 104 oder Knoten darin als anfällig für einen Ransomware-Angriff erachtet werden.
-
Es wird darauf hingewiesen, dass die Daten 600 für die Empfehlungen für die Bedrohungsminderung in 6 der Veranschaulichung dienen und dass auch andere und/oder zusätzliche Informationen gespeichert oder gepflegt werden können.
-
7 ist eine grafische Darstellung, die beispielhafte Daten 700 für Minderungsempfehlungen für eine Bedrohung durch Einschleusung von SQL-Befehlen für das Mindern eines Angriffs durch Einschleusung von SQL-Befehlen auf einem Webserver darstellt. In einigen Ausführungsformen können die Daten 700 für die Empfehlungen für die Bedrohungsminderung durch den Bedrohungssimulator 102, den/die Test-Agent(en) 116 und/oder andere Entitäten, die verschiedene Datenstrukturen verwenden, abgerufen und/oder gespeichert werden. Unter Bezugnahme auf 7 werden die Daten 700 für die Empfehlungen für die Bedrohungsminderung unter Verwendung einer Tabelle dargestellt, die Zuordnungen zwischen den Empfehlungsarten, Empfehlungen und Bezugszeichen darstellt. In einigen Ausführungsformen können die Daten 700 für die Empfehlungen für die Bedrohungsminderung in einem oder mehreren Speichern (z. B. Datenspeicher 103) in der Kommunikationsumgebung 100 gespeichert oder gepflegt werden. In einigen Ausführungsformen können die Daten 700 für die Empfehlungen für die Bedrohungsminderung (z. B. über eine Client-Anwendung oder eine webbasierte GUI) einem Benutzer bereitgestellt werden, wenn die IUT 104 oder Knoten darin als anfällig für einen Angriff durch Einschleusung von SQL-Befehlen erachtet werden. Es wird darauf hingewiesen, dass die Daten 700 für die Empfehlungen für die Bedrohungsminderung in 7 der Veranschaulichung dienen und dass auch andere und/oder zusätzliche Informationen gespeichert oder gepflegt werden können.
-
8 ist eine grafische Darstellung, die beispielhafte Daten 800 für Minderungsempfehlungen für eine Bedrohung eines ausführbaren Downloads für das Mindern eines Angriffs durch einen ausführbaren Download (z. B. über eine E-Mail und/oder ein Hypertextübertragungsprotokoll (HTTP)) darstellt. In einigen Ausführungsformen können die Daten 800 für die Empfehlungen für die Bedrohungsminderung durch den Bedrohungssimulator 102, den/die Test-Agent(en) 116 und/oder andere Entitäten, die verschiedene Datenstrukturen verwenden, abgerufen und/oder gespeichert werden. Unter Bezugnahme auf 8 werden die Daten 800 für die Empfehlungen für die Bedrohungsminderung unter Verwendung einer Tabelle dargestellt, die Zuordnungen zwischen den Empfehlungsarten, Empfehlungen und Bezugszeichen darstellt. In einigen Ausführungsformen können die Daten 800 für die Empfehlungen für die Bedrohungsminderung in einem oder mehreren Speichern (z. B. Datenspeicher 103) in der Kommunikationsumgebung 100 gespeichert oder gepflegt werden. In einigen Ausführungsformen können die Daten 800 für die Empfehlungen für die Bedrohungsminderung (z. B. über eine Client-Anwendung oder eine webbasierte GUI) einem Benutzer bereitgestellt werden, wenn die IUT 104 oder Knoten darin als anfällig für einen Angriff durch einen ausführbaren Download erachtet werden.
-
Es wird darauf hingewiesen, dass die Daten 800 für die Empfehlungen für die Bedrohungsminderung in 8 der Veranschaulichung dienen und dass auch andere und/oder zusätzliche Informationen gespeichert oder gepflegt werden können.
-
9 ist ein Diagramm, das einen Beispielvorgang 900 für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung darstellt. In einigen Ausführungsformen kann der Vorgang 900 oder Teile davon von oder an dem Bedrohungssimulator 102, dem/den Test-Agent(en) 116 und/oder einem anderen Knoten oder Modul durchgeführt werden. In einigen Ausführungsformen kann der Vorgang 900 die Schritte 902, 904, 906 und/oder 908 enthalten.
-
Unter Bezugnahme auf den Vorgang 900 kann in Schritt 902 eine erste Bedrohungssimulation mit mindestens einem Angriffsvektor durchgeführt werden. In einigen Ausführungsformen kann das Durchführen einer ersten Bedrohungssimulation das Erzeugen von simuliertem Netzwerkverkehr mit mindestens einem Angriffsvektor und das Senden des simulierten Netzwerkverkehrs über mindestens einen Zwischenknoten an einen Test-Agenten in einem Zielnetzwerk enthalten, wobei der Test-Agent konfiguriert sein kann, um mindestens eine geschützte Ressource in dem Zielnetzwerk zu simulieren.
-
In Schritt 904 kann mindestens eine Empfehlung für die Bedrohungsminderung unter Verwendung von Ankunftsmetriken für den simulierten Netzwerkverkehr bestimmt werden. Zum Beispiel kann der Bedrohungssimulator 102 oder eine verwandte Entität (z. B. die ARE 202) die Ankunftsmetriken für den Netzwerkverkehr, die von verschiedenen Quellen empfangen werden, verwenden, um zu bestimmen, ob bösartige Pakete an dem Zwischenknoten 106, an dem Zwischenknoten 108 und/oder an dem/an den Test-Agenten 116 angekommen sind. In diesem Beispiel kann der Bedrohungssimulator 102 oder eine verwandte Entität (z. B. die ARE 202) abhängig davon, welche Knoten die bösartigen Pakete, wie durch die Metriken angezeigt, empfangen oder nicht empfangen haben, bestimmen oder daraus ableiten, welche, falls vorhanden, Empfehlungen relevant sind, z. B. muss der Zwischenknoten 108 möglicherweise in seiner Konfiguration angepasst werden.
-
In Schritt 906 kann die mindestens eine Empfehlung für die Bedrohungsminderung einem Benutzer über eine Ul bereitgestellt werden. Zum Beispiel kann ein Bedrohungsbewertungsbericht über eine webbasierte Ul, z. B. die GUI 500, bereitgestellt werden.
-
In einigen Ausführungsformen kann das Bestimmen mindestens einer Empfehlung für die Bedrohungsminderung das Verwenden von Informationen über die Topologie des Zielnetzwerkes enthalten. Zum Beispiel kann der Bedrohungssimulator 102 oder eine verwandte Entität (z. B. die ARE 202) die lUT-Topologieinformationen 208 verwenden, wenn relevante Empfehlungen für die Minderung (z. B. Taktiken, Techniken, Richtlinien usw.) bestimmt werden, die einem Benutzer präsentiert werden sollen. In diesem Beispiel können die Empfehlungen für die Bedrohungsminderung zumindest teilweise auf dem Pfad von Vorrichtungen basieren, der in der IUT 104 für Pakete durchlaufen wird, z. B. Ändern von Einstellungen oder Aktivieren von Merkmalen eines oder mehrerer Zwischenknoten 106 und 108.
-
In einigen Ausführungsformen kann die mindestens eine Empfehlung für die Bedrohungsminderung in einer Datenstruktur gespeichert sein, die Empfehlungen für die Bedrohungsminderung enthält, die verschiedenen Zwischenknoten zugeordnet sind, und/oder Empfehlungen für die Bedrohungsminderung enthält, die verschiedenen Zwischenknotenklassen zugeordnet sind.
-
In einigen Ausführungsformen kann mindestens ein Zwischenknoten ein Inline-Netzwerkelement, einen Sicherheitsknoten, eine Firewall, eine Netzwerk-Firewall, eine Anwendungs-Firewall, einen IPS-Knoten oder ein Netzwerk-Gateway enthalten.
-
In einigen Ausführungsformen kann mindestens eine in Vorgang 900 bestimmte Empfehlung für die Bedrohungsminderung mindestens einem Zwischenknoten zugeordnet sein, kann Verwaltungsanweisungen und/oder Konfigurationsanweisungen für den mindestens einen Zwischenknoten enthalten und/oder kann eine zugeordnete gemeinschaftsbasierte Metrik, z. B. eine Rangliste einen oder Rang, enthalten.
-
In einigen Ausführungsformen können Ankunftsmetriken für den simulierten Netzwerkverkehr erzeugt werden, indem die Ankunft des simulierten Netzverkehrs an einer oder mehreren Entitäten in der IUT 104 (z. B. Zwischenknoten 106 und 108 und/oder Test-Agent(en) 116) überwacht wird. Zum Beispiel können sich die Netzwerk-Taps 118 an oder in der Nähe (z. B. (in dem Pfad) jedes der Zwischenknoten 106 und 108 befinden. In diesem Beispiel kann/können Test-Agent(en) 116 und/oder Netzwerk-Taps 118 konfiguriert sein, um zu identifizieren, wann Pakete oder Nachrichten eine bestimmte Entität erreichen oder verlassen, und kann/können Metriken oder andere Daten für die Analyse durch den Bedrohungssimulator 102 oder eine verwandte Entität (z. B. die ARE 202) erzeugen.
-
In einigen Ausführungsformen kann sich ein Test-Agent in dem Zielnetzwerk auf eine Weise befinden, die einer geschützten Ressource topologisch ähnlich ist. Eine geschützte Ressource kann zum Beispiel ein Produktionswebserver hinter einer Anwendungs-Firewall und einem IPS-Knoten in der IUT 104 sein. In diesem Beispiel kann der Test-Agent 116 die Funktionalität des Webservers während der Bedrohungssimulationen simulieren und kann sich auch wie der Webserver in der IUT 104 befinden oder zu befinden scheinen, z. B. befindet er sich hinter der Anwendungs-Firewall und dem IPS-Knoten.
-
In einigen Ausführungsformen kann mindestens eine Empfehlung für die Bedrohungsminderung in einer Datenstruktur gespeichert sein, auf die über eine API oder eine UI zugegriffen werden kann. Zum Beispiel kann auf die Informationen 210 für die Bedrohungsminderung in der Datenspeicherung 103 über eine API mit darstellender Zustandsübertragung (REST) oder eine webbasierte UI zugegriffen werden.
-
In einigen Ausführungsformen kann der Vorgang 900 ferner das Durchführen unter Verwendung der mindestens einen Empfehlung für die Bedrohungsminderung einer Minderung zum Mindern der Wirkungen des mindestens einen Angriffsvektors; das Validieren der mindestens einen Empfehlung für die Bedrohungsminderung durch das Durchführen einer zweiten Bedrohungssimulation unter Verwendung des mindestens einen Angriffsvektors und das Analysieren der Wirkungen des mindestens einen Angriffsvektors unter Verwendung von Ankunftsmetriken für den simulierten Netzwerkverkehr und das Berichten der Validierungsergebnisse enthalten, die der zweiten Bedrohungssimulation zugeordnet sind.
-
Es wird darauf hingewiesen, dass der Vorgang 900 der Veranschaulichung dient und dass andere und/oder zusätzliche Aktionen verwendet werden können. Es wird auch darauf hingewiesen, dass verschiedene hierin beschriebene Aktionen in einer anderen Reihenfolge oder Sequenz stattfinden können.
-
Es sollte beachtet werden, dass der Bedrohungssimulator 102, der/die Test-Agent(en) 116 und/oder die hierin beschriebene Funktionalität eine Rechenvorrichtung für besondere Zwecke darstellen können. Darüber hinaus können der Bedrohungssimulator 102, der/die Test-Agent(en) 116 und/oder die hierin beschriebene Funktionalität den technologischen Bereich der Netzwerktests verbessern, einschließlich z. B. Bedrohungsbewertungen und verwandter Empfehlungen für die Bedrohungsminderung. Der Bedrohungssimulator 102 kann zum Beispiel die IUT 104 gegen mehrere Angriffsvektoren auf sichere und kontrollierte Weise wirksam testen, z. B. durch das Verwenden des Test-Agenten 116, der konfiguriert ist, um eine geschützte Ressource als ein Ziel oder einen Endpunkt für einen simulierten Angriff zu simulieren. Darüber hinaus kann der Bedrohungssimulator 102 unter Verwendung von Simulationsergebnissen (z. B. Bewertungen) und/oder Verkehrsmetriken relevante Empfehlungen für die Bedrohungsminderung für verschiedene Bedrohungssimulationen bestimmen und bereitstellen. Außerdem kann der Bedrohungssimulator 102 eine implementierte Empfehlung für die Bedrohungsminderung validieren, indem dieselbe Bedrohungssimulation erneut ausgeführt wird, nachdem die Empfehlung für die IUT 104 oder verwandte Entitäten implementiert wurde.
-
Es wird davon ausgegangen, dass verschiedene Einzelheiten des hierin beschriebenen Gegenstands geändert werden können, ohne von dem Umfang des hierin beschriebenen Gegenstandes abzuweichen. Darüber hinaus dient die vorstehende Beschreibung nur der Veranschaulichung und nicht zum Zweck der Einschränkung, da der hierin beschriebene Gegenstand durch die Ansprüche, wie sie im Folgenden dargelegt werden, definiert wird.