Aktuelles, Branche - geschrieben von am Donnerstag, März 25, 2021 22:34 - ein Kommentar

Innenverteidigung: Cybersecurity mit umfassendem Blick

Organisationen verstärken aufgrund der Gefahrenlage ihre Abwehr gegen Cyberangriffe von außen, der Blick nach innen wir häufig vergessen / Neue Technologien helfen dabei, Angreifer zu stoppen, die sich bereits im Netzwerk befinden

[datensicherheit.de, 25.03.2021] Für Cyberkriminelle bedeutet die Coronakrise und ihre Folgen eine Goldgräberstimmung – noch nie waren viele Unternehmen so verwundbar wie heute. Die IT-Sicherheit zieht jedoch langsam nach, um die durch die verteilten Mitarbeiter vergrößerte Angriffsfläche abzusichern – und erhöht die Sicherheitsmauern rund um das Unternehmen und seinen Mitarbeitern im Homeoffice. Dabei übersehen viele Organisationen, dass die eingesetzten Lösungen nur nach außen gerichtet sind und nicht nach innen – wo die mitunter größeren Gefahren im Bereich der Cybersecurity lauern.

Egon Kando, Regional Sales Director Central & Eastern Europe bei Exabeam

Egon Kando, Regional Sales Director Central & Eastern Europe bei Exabeam, Bild: Exabeam

Cybererpresser gehen immer zielgerichteter vor

Die Verschlüsselung von Daten durch Ransomware ist ein gutes Beispiel für Bedrohungen von außen. Sie werden von den Angreifern im Gießkannenprinzip weit gestreut und der Erfolg ist für die Kriminellen eher zufällig, je nachdem welcher Mitarbeiter auf eine Phishing-E-Mail klickte. Aber selbst wenn Daten verschlüsselt wurden, können Unternehmen mit Entschlüsselungstools, Recoverware oder einfachen Backups dagegenhalten und die Daten wiederherstellen. Als Reaktion darauf gehen viele Cybererpresser zielgerichteter vor. Sie zielen mit ihren Angriffen vermehrt auf Organisationen, deren Daten als wertvoller angesehen werden oder bei denen der Reputationsschaden potenziell am größten ist. Denn diese Unternehmen sind eher bereit ein Lösegeld zu zahlen – und sei es dafür, dass die Daten nicht öffentlich werden. Die Kriminellen studieren hierzu potenzielle Opfer individuell und sehr detailliert, um das Potenzial für einen erfolgreichen Angriff genau einschätzen zu können. Letzten Endes entscheiden sie anhand der Gewinnerwartung, welche Organisationen sie angreifen. Diese neuen, viel gezielteren Bedrohungen erfordern eine andere Reaktion als die eher wahllosen Angriffe bei Ransomware.

Neue Bedrohungen erfordern eine intelligentere Reaktion

Aus Sicht des IT-Sicherheitsbetriebs liegt ein großer Teil der Herausforderung zur Abwehr von Cyberkriminellen in der Erkennung und Untersuchung potenzieller Angriffe anhand von Indicators of Compromise (IOCs). Dies können verdächtige und/oder auf der schwarzen Liste stehende IP-Adressen sein, oder auch bekannte Phishing-URLs sowie Signaturen für bösartige Dateien. Im Idealfall verhindern klassische Sicherheitstools anhand dieser IOCs wie Intrusion Detection, Firewalls und Endpoint-Security, dass bevor Organisationen Opfer eines erfolgreichen Angriffs werden.

Dieser Ansatz mag bei Ransomware funktionieren, bei der Daten nach erfolgreichem Angriff sofort verschlüsselt werden. Bei zielgerichteten Angriffen müssen sich die Kriminellen eine Zeit lang im Netzwerk umsehen, um die für sie richtigen Daten zu finden, die es abzugreifen lohnt. Unternehmen haben mitunter Petabyte an Daten an zahlreichen verschiedenen Orten gespeichert. Um an diese wertvollen Daten zu gelangen, müssen die Kriminellen deutlich mehr Zeit und Aufwand investieren. Nach außen gerichtete Sicherheitstools können jedoch keine kompromittierten Insider erkennen, da sich diese auf den ersten Blick komplett legitim im Netzwerk bewegen. Um Angriffe in einem solchen Stadium erkennen zu können, benötigen Unternehmen andere Sicherheitswerkzeuge. Und da sich die Kriminellen mitunter eine längere Zeit im Netzwerk aufhalten können, geht es darum, sie frühestmöglich zu erkennen, bevor sie größeren Schaden anrichten können.

Der Zeitfaktor bietet der IT-Sicherheit einen kleinen Vorteil

Mitunter verbringen die Kriminellen Monate oder gar Jahre innerhalb einer Infrastruktur und betreiben dabei großen Aufwand unentdeckt zu bleiben, während sie sich ihren Weg durch die Verteidigungskette zu den Daten-Kronjuwelen des Unternehmens bahnen. Dies bietet der Verteidigung jedoch auch kleine Vorteile: Zum einen haben sie im Vergleich zur Ransomware mehr Zeit um nach den Eindringlingen zu suchen – und zum anderen hinterlassen die Kriminellen bei ihren Bewegungen im Netzwerk Spuren. Diese Chancen kann die IT-Security nutzen, um Schlimmeres zu verhindern – vorausgesetzt sie verfügt über die notwendigen Werkzeuge, um den Sicherheitsblick nach innen zu richten. Denn IOCs sind ausnahmslos nach außen gerichtet, was sie für die Entdeckung von sich bereits im Netzwerk befindlichen Angreifern nutzlos macht.

SIEM und UEBA: Die effektive Innenverteidigung

SIEM-Lösungen (Security Information and Event Management) stellen Logs aus einer Vielzahl von Quellen zusammen und analysieren sie nach normalem und verdächtigem Verhalten in Netzwerk. SIEMs der neuesten Generation bauen hierfür auf UEBA (User Entity Behaviour Analytics) das auf Algorithmen des Maschinellem Lernens aufbaut und das Verhalten der Nutzer und Geräte im Netzwerk kontinuierlich überwacht. Etwa wenn auf ungewöhnliche Dateien zugegriffen wird oder auffällige Anwendungen ausgeführt werden. Diese Analyse der Logdaten im Netzwerk muss automatisch geschehen, weil es davon einfach zu viele gibt, als dass Sicherheitsteams sie manuell effektiv und in Echtzeit untersuchen könnten.

Automatisierung und Orchestrierung verkürzen die Reaktion auf Angriffe

Verdächtiges Verhalten zu erkennen, ist jedoch nur ein Teil der Aufgabe. Denn nun muss schnellstmöglich reagiert werden, um drohenden Schaden zu verhindern oder weitestgehend einzuschränken. Um den Umfang der Reaktion definieren zu können muss der Vorfall vollumfänglich untersucht werden. Hierzu gehört die Erstellung eines Zeitstrahls, welcher alle Aktivitäten der beteiligten Nutzer und Geräte aufzeigt und bewertet, ob diese normal oder ungewöhnlich sind. Sobald dies geschehen ist kann die Reaktion geplant und durchgeführt werden. Hierbei werden die IT-Sicherheitsteams von SOAR-Lösungen (Security Orchestration, Automation and Response) zur Automatisierung und Orchestrierung notwendiger Abwehrmaßnahmen durch verschiedene Security-Produkte unterstützt. SOAR ist sozusagen der Libero der Verteidigung, der schnellstmöglich nach der Erkennung und Analyse zielgerichtet auf die Angriffe reagiert. Über festgelegte Playbooks lassen sich Abwehrmaßnahmen, wie beispielsweise die Isolierung eines Hosts oder die Sperrung einer IP-Adresse zur Begrenzung der Auswirkungen, komplett automatisieren. Neben einer schnelleren Reaktionsdauer reduziert dies die mittlere Wiederherstellungszeit (MTTR/Mean Time To Recover) in diesen kritischen Szenarien, in denen die Zeit von entscheidender Bedeutung ist.

Sich niemals in Sicherheit wähnen

Selbst wenn die nach außen gerichteten Verteidigungslösungen wie wie Intrusion Detection, Firewalls und Endpoint-Security nicht Alarm geschlagen haben, sollte die IT-Sicherheit in Unternehmen immer damit rechnen, dass sich Cyberkriminelle auf irgendeine Art und Weise im Netzwerk aufhalten – und proaktiv versuchen die Angreifer aufzuspüren. Dafür benötigt sie Sicherheitslösungen, die nach innen gerichtet sind.

Weitere Informationen zum Thema:

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen

Exabeam
SIEM, UEBA and SOAR



ein Kommentar

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

IT Nerd
Mrz 27, 2021 12:08

Da ist es auch wichtig Backups immer so aufzubewahren das ein potentieller Angreifer der vollen Zugriff auf das Netz hat niemals die Backups löschen oder verschlüsseln kann. Ansonsten kann das nämlich schnell sehr unangenehm werden was die Erpressbarkeit angeht.

Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung