Nach Darstellung von Varonis soll „Breach at the Beach“ eine Lücke in der praktischen Ausbildung von Verteidigern schließen. Mark Vaitsman, Leiter des Security Research Teams bei Varonis, sagt, dass in der heutigen KI-Ära viele Identitäten nichtmenschlich seien. Bei einer Kompromittierung von Entra könne sich ein Angreifer in eine solche nichtmenschliche Identität hineinbewegen; daraus könne schnell ein unauffälliger und skalierbarer Versuch der Datenausleitung werden.
Auch Doron Kapah verweist auf die veränderte Angriffsfläche. Nichtmenschliche Identitäten wüchsen schnell stärker als menschliche Identitäten und erweiterten dadurch die Angriffsoberfläche, so der Forscher. Angreifer könnten sich darüber Zugang verschaffen und diesen ausweiten, während Überwachung und Erkennung deutlich schwieriger würden. Gleichzeitig stünden Organisationen unter Druck, KI schnell einzuführen, obwohl ihre Sicherheitsinfrastruktur mit dieser Entwicklung nicht Schritt gehalten habe.
Die in das CTF eingebauten Techniken seien laut Varonis unmittelbar aus realen Fällen abgeleitet, die Kapah und Vaitsman in Kundenumgebungen gesehen haben. Jeder Abschnitt des Trainings solle daher Lektionen vermitteln, die an heutigen Verteidigungsrealitäten ausgerichtet sind. Vaitsman begründet den hands-on-Ansatz damit, dass reines Lesen nicht genüge. Man verstehe nichts wirklich, wenn man nicht selbst an der Tastatur arbeite, klicke und sehe, wie es funktioniere, sagt er.
Varonis will das Angebot nicht nur für Red Teams oder Blue Teams nutzbar machen, sondern auch für CISOs, Threat-Intelligence-Rollen und andere Sicherheitsfunktionen. Vaitsman betont, dass gute Red Teamer die Perspektive der Blue Teams kennen müssten und umgekehrt Führungskräfte wie CISOs die Angreiferseite verstehen sollten. Kapah hebt zusätzlich hervor, dass nicht jeder Sicherheitsprofi im Alltag mit Audit-Protokollen aus Systemen wie Dataverse oder Copilot oder mit den zugrunde liegenden Mechanismen solcher KI-Systeme in Berührung komme. Das CTF solle genau dort Einblick geben und zeigen, wie schwierig es sei, mit KI-Agenten einen tragfähigen Verteidigungsansatz aufzubauen.
Darüber hinaus soll das Training nach Angaben von Kapah dabei helfen zu verstehen, wie gute Identitätshygiene aussieht und wie sich das Prinzip der geringsten Rechte in eigenen Umgebungen umsetzen lässt. Damit richtet sich das Angebot ausdrücklich auch an Personen, die Sichtbarkeitslücken bei Audit-Daten und KI-bezogenen Identitäten besser einordnen wollen.
Frühe Rückmeldungen sammelte das Team laut Varonis im Cloud Village auf der RSAC 2026. Das Feedback von Teilnehmern habe hervorgehoben, dass sich die Übung nicht wie eine bloße Aufgabe, sondern wie eine kreative Herausforderung angefühlt habe. Kapah sagt, die Aufgabe sei als anspruchsvoll, aber zugleich sehr lehrreich beschrieben worden; selbst erfahrene CTF-Mitarbeiter am Stand hätten nach eigener Aussage noch etwas Neues gelernt.
„Breach at the Beach“ ist kostenlos online verfügbar. Für jede abgeschlossene Stufe erhalten Teilnehmer einen CPE-Punkt und ein thematisches Abzeichen. Nach Abschluss aller vier Stufen gibt es ein Teilnahmezertifikat, das sich auf LinkedIn teilen lässt. Wer CPE-Punkte erhalten möchte, soll laut Varonis eine aktive E-Mail-Adresse verwenden. Außerdem wollen Kapah und Vaitsman bei Black Hat USA und DEF CON 34 erläutern, wie das CTF aufgebaut wurde, und Teilnehmer vor Ort durch die Übung begleiten. Der Beitrag wurde von Varonis gesponsert und verfasst.
