Attack Path Management
Attack Path Management (APM) identifiziert kontinuierlich alle realisierbaren Angriffspfade im Unternehmensnetz vom Einstiegspunkt bis zu kritischen Assets - und priorisiert Gegenmaßnahmen nach tatsächlichem Ausnutzungsrisiko, nicht nach CVSS-Score.
Attack Path Management (APM) löst ein fundamentales Problem im Schwachstellenmanagement: CVSS-Scores sagen uns wie gefährlich eine Schwachstelle theoretisch ist - aber nicht ob ein Angreifer sie in unserem konkreten Netz tatsächlich ausnutzen kann, um kritische Assets zu erreichen.
Das Problem mit CVSS-basiertem Priorisieren
In einem typischen Unternehmen gibt es tausende von Schwachstellen - davon viele mit CVSS >= 7.0. Nicht alle sind gleich kritisch:
- Eine CVSS-9.8-Schwachstelle auf einem isolierten System ohne Netzwerkzugang ist weniger dringend als eine CVSS-5.5-Schwachstelle auf einem System das direkt zur Domain Controller-Kompromittierung führen kann.
- APM denkt in Ketten, nicht in Einzelschwachstellen.
Wie Attack Path Management funktioniert
-
Asset-Discovery und Graph-Aufbau
- Alle Assets erfassen: Server, Workstations, AD-Objekte, Cloud-Ressourcen, Credentials
- Verbindungen modellieren: Netzwerkzugänge, AD-Vertrauensstellungen, Software-Abhängigkeiten
- Ergebnis: gerichteter Graph des Unternehmensnetzes
-
Angriffspfad-Analyse
- Definiere “Einstiegspunkte” (z.B. externe E-Mail, VPN, öffentliche Web-Apps)
- Definiere “Ziele” (z.B. Domain Controller, Produktionsdaten, ERP-System)
- Algorithmus berechnet alle möglichen Pfade vom Einstiegspunkt zum Ziel
- Berücksichtigt: Schwachstellen, Fehlkonfigurationen, AD-Berechtigungen (BloodHound-Logik)
-
Risiko-Priorisierung
- Welche Schwachstelle ist auf dem kürzesten/einfachsten Angriffspfad?
- Chokepoints: welcher Knoten blockiert die meisten Pfade wenn gehärtet?
- Empfehlung: “Fixt Ihr diese eine Fehlkonfiguration, werden 73% der Angriffspfade zum DC unterbrochen”
-
Kontinuierliches Monitoring
- Bei jeder Änderung (neues Asset, neue Schwachstelle, neue AD-Gruppe) → neue Pfadanalyse
- Alert: “Neuer kritischer Angriffspfad entstanden” nach Change-Event
APM-Tools
Spezialisierte APM-Tools:
| Tool | Beschreibung |
|---|---|
| XM Cyber | Kontinuierliche Angriffspfad-Simulation, Cloud-Support |
| Cymulate | Breach and Attack Simulation + APM kombiniert |
| AttackIQ | MITRE ATT&CK-basierte Simulation + Pfadanalyse |
| Skybox Security | Netzwerkzentriert, Firewall-Regeln in Pfadanalyse |
Open Source / Kostenlos:
| Tool | Beschreibung |
|---|---|
| BloodHound | AD-spezifische Angriffspfad-Analyse (Gold-Standard für AD) |
| BloodHound CE | Community Edition (SpecterOps) |
| Adalanche | BloodHound-Alternative mit anderem UI |
CNAPP mit APM-Funktion:
| Tool | Beschreibung |
|---|---|
| Wiz | Cloud-spezifische Attack Paths (AWS/Azure/GCP) |
| Orca Security | Cloud-Asset-Graph mit Angriffspfaden |
| Prisma Cloud | Palo Alto, Cloud + on-premise |
APM vs. Schwachstellenscan vs. Penetrationstest
| Merkmal | Schwachstellenscan | Penetrationstest | Attack Path Mgmt |
|---|---|---|---|
| Perspektive | Einzelsystem | Angreifer (manuell) | Angreifer (automatisch) |
| Kontext | Keiner | Ja (Erfahrung) | Ja (Graph-basiert) |
| Kontinuitaet | Periodisch | 1x/Jahr | Kontinuierlich |
| Priorisierung | CVSS-Score | Manuelle Einschätzung | Pfad-Kritikalitaet |
| Aufwand | Gering | Hoch | Mittel (nach Setup) |
APM ergaenzt Penetrationstests - es ersetzt sie nicht. Ein manueller Pentester findet Business-Logik-Fehler und kreative Angriffswege die ein Algorithmus übersieht.
