1.000.000$ Budget für ein Angreifer-Team

Geschrieben von Sebastian Klipper am 2. Juli 2009. Berichten Sie über diesen Beitrag via Twitter oder Xing.

Wie kann man Information Security im Rahmen einer Wirtschaftlichkeitsbetrachtung bewerten? Eine Argumentation ist sicher besser als jede andere: Zahlen, Daten, Fakten.

In der nächsten <kes> wird unter dem Titel “Business Case Information Security” ein ausführlicher Artikel von mit zum diesem Thema erscheinen. Für die meisten Kennzahlen werden schlicht Einnahmen und Ausgaben gegenübergestellt. Beim ROISI-Ansatz werden jedoch auch die Kosten berücksichtigt, die ein Angreifer bereit ist auf sich zu nehmen.

Auch Richard Bejtlich hat sich der Frage mit einem Beitrag in seinem Blog von der Angreifer-Seite genähert.

“Ich will diese Frage aus einem anderen Winkel beleuchten, indem ich mir ausmale, was ein Black Hat mit einem Budget von einer Million Dollar anfangen würde,” schreibt Beytlich. Die Ideen hier sind grobe Annäherungen. Sie sind bestimmt kein Black-Hat-Businessplan. Ich empfehle niemandem so vorzugehen, obwohl ich sicher bin, das es Leute gibt, die diese Arbeit bereits erledigen.

Das klingt spannend. Und so sieht das Projekt und die zugehörige Ressourcenplanung aus:

Eckdaten:

Name des Projekts: Project Intrusion (PI)
Ziel des Projekts: Informationsdiebstahl und Verkauf an den Meistbietenden
Weitere Ziele: Tool-Entwicklung zur Erreichung des Projektziels und evtl. deren Verkauf
Budget: 1.000.000$

Personalplanung:

Anteil am Gesamtbudget: 750.000$
Team-Leiter (120.000$):
Erfahrung in Schwachstellen-Tests,  Exploit-Entwicklung, Penetration-Tests, Unternehmensverteidigung, Business Intelligence. Aufgabe: Vision für das Team entwickeln und Vertrieb.
3 Tool-Entwickler (110.000$):
Einer mit Schwerpunkt Windows Betriebssystem, Client und Applikationen; einer für Web-Applikationen und der dritte für Unix und Netzwerkinfrastruktur.
2 Angreifer (90.000$):
Aufgabe: Angriff der vom Team-Leader festgelegten Ziele mit den entwickelten Tools und Sicherstellung der benötigten Informationen.
Business-Intelligence-Koordinator (120.000$):
Aufgabe: Koordinierung der Angreifer und Auswertung/ Wertfeststellung der sichergestellten Informationen. Vertragsverhandlungen mit den Kunden.

Materialplanung:

Anteil am Gesamtbudget: 200.000$
Computer-Labor: Nachbildung der Angriffsobjekte
Angriffssysteme: Arbeitsplatzsysteme der Angreifer
Netzzugang und Hosting: Weltweit verteilt
Software-Ausstattung: Kein Grund zum cracken, das Budget ist groß genug!

Sonstiges:

50.000$ stehen für Reisekosten, Team-Boni etc. zur Verfügung. Wenn es gelingt, mit der Tool-Entwicklung Erlöse zu erzielen, werden diese in weitere Angreifer investiert, um einen 24/7-Betrieb sicherstellen zu können.

Und jetzt?

Jetzt steht ein Team, das nahezu jedes avisierte Ziel atackieren kann – mit eigenen Exploits, eigenen Tools und eigenen Methoden. Vergleichen Sie das PI-Team mit Ihrem Security-Team. Ähnlich gut ausgestattet? Wahrscheinlich nicht.

Und das PI-Team kann die einmal entwickelten Methoden in beliebig vielen Angriffen einsetzen. Dafür müssen nur zusätzliche Angreifer eingestellt werden. Wenn das Team (wie im Beitrag Für 55 Millionen Dollar kostenlos telefonieren beschrieben) Telefonanlagen angreift und die Zugänge über ein Call-Center vertreibt, ist es nur mit dieser einen Methode leicht möglich schwarze Zahlen zu schreiben und die Investitionskosten wieder reinzuholen.

Interessant vor Allem deshalb, weil es für Angreifer deutlich leichter ist einen Return zu erzielen als für die Verteidiger. Das leuchtet ein, wenn man bedenkt, das die Verteidiger in den seltensten Fällen ein Produkt haben, das sich verkaufen lässt. Hier könnte der Return on Information Security Investment ROISI nach Mizzi weiterhelfen. Stellt er doch das Security-Budget mit den Kosten für einen Angriff in einen Zusammenhang.

Haben Sie einen Angriff vom PI-Team zu befürchten? ROISI sagt Ihnen, ob Sie genug für Sicherheit investieren. Bedenken Sie: Solche Teams gibt es bereits! Geheimdienste und Armeen unterhalten solche Angriffseinheiten. Selbstredent, dass die ihre Erkenntnisse an die einheimische Wirtschaft – Ihre internationale Konkurrenz – weitergeben!

Der Frage der wirtschaftlichen Betrachtung von Informationssicherheit habe ich mich schon in diesen Beiträgen gewidmet:

Kategorie: Szene, Veröffentlichungen.
Tags: , , , .

Hinterlassen Sie einen Kommetar

Mit dem Absenden Ihres Kommentars willigen Sie ein, dass der angegebene Name, die E-Mail-Adresse und die IP-Adresse, die Ihrem Internetanschluss aktuell zugewiesen ist, von mir im Zusammenhang mit Ihrem Kommentar gespeichert werden. Die E-Mail-Adresse und die IP-Adresse werden natürlich nicht veröffentlicht oder sonst weitergegeben. Mehr hierzu in der Datenschutzerklärung.