Social Engineering: Angriffen mit Analytik begegnen

Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

[datensicherheit.de, 27.09.2020] „Social Enginnering“ erlebe im Zuge der „Corona“-Krise eine Renaissance: „Ob Phishing, Spear-Phising oder Whaling, Cyber-Kriminelle nutzen den Umstand, dass Angestellte und Führungskräfte im ,Home Office‘ nicht adäquat von ihrer IT geschützt werden können. Bisher galt, dass man die trickreichen Angriffen am Besten mit Schulungen von Mitarbeitern und ,Endpoint Security Tools‘ verhindern kann“, so Egon Kando von Exabeam. Er plädiert hingegen dafür, bestehende Strategien um intelligente Analytik zu ergänzen, denn es gehe nicht mehr nur um Abwehr sondern auch um Erkennung nach einem erfolgreichen initialen Angriff – und damit um Abmilderung der Folgen.

Foto: Exabeam

Egon Kando: Analytik komplettiert Schulungen und Sicherheitstools…

Social Engineering für jeden Internetnutzer schon immer große Bedrohung

„,Social Engineering‘ war für jeden Internetnutzer, sowohl als Einzelperson oder als Teil eines Unternehmens, schon immer eine große Bedrohung. Cyber-Kriminelle wissen, dass der Mensch selbst das schwächste Glied in der Sicherheitskette ist und setzen verstärkt auf ,Social Engineering‘-Attacken, um Systeme und Netzwerke zu kompromittieren und an sensible Daten zu kommen“, erläutert Kando.
Menschen neigten im Gegensatz zu Maschinen und Sicherheitssoftware nun einmal zu Fehleinschätzungen und träfen recht einfach falsche Entscheidungen. Bisher habe gegolten, dass man „Social Engineering“-Attacken auf Netzwerke am besten über Schulung von Mitarbeitern und „Endpoint Security Tools“ verhindern könne. Doch wie sich seit Beginn der „Corona“-Krise zeige, seien „Social Engineering“-Attacken erfolgreicher denn je.

Social Engineering: Schulungen und Abwehrtools alleine reichen zur Abwehr nicht aus

Mit Schulungen und Abwehrtools scheine man also nicht sonderlich sicherer geworden zu sein. Entsprechend suchten die Sicherheitsverantwortlichen vieler Unternehmen nach Möglichkeiten, den „Unsicherheitsfaktor Mensch“ besser gegen gewiefte Betrügereien abzusichern. Hierzu könnten moderne Sicherheitslösungen helfen, die auf „User and Entity and Behaviour Analytics“ (UEBA) aufbauten.
An einem bestimmten Punkt eines „Social Engineering“-Angriffs auf Unternehmensnetzwerke stünden oft Phishing, Spear-Phising oder Whaling per E-Mail: „Die trickreichen Angriffe sind meist so konstruiert, dass sie die Aufmerksamkeit eines Opfers wecken und es zum Handeln aufrufen.“

Social Engineering: Angreifer missbrauchen oft Logos, Bilder und Fonts, um falsche Identität vorzutäuschen

Häufig verwendeten Angreifer Logos, Bilder und Fonts, um die Identität einer Organisation vorzutäuschen. So entstehe der Eindruck, die Nachricht stamme von einem Arbeitskollegen, der Bank des Opfers oder einem anderen offiziellen Kanal. Die meisten Phishing-Nachrichten vermittelten ein Gefühl von Dringlichkeit: „Dies lässt das Opfer glauben, dass es negative Folgen haben wird, wenn es sensible Informationen nicht schnell herausgibt. Zum Beispiel könnte die Bank mit der Sperrung der Bankkarte drohen“, so Kando.
Er warnt indes: „Auch wer auf der Hut ist und selbst gut erstellte Phishing-E-Mails im Postfach erkennt, ist nicht sicher.“ Denn „Watering Hole“-Angriffe könnten von legitimen, von den Opfern der Angriffe häufig besuchten Websites gestartet werden. Kompromittierte Webseiten installierten dann zum Beispiel einen Backdoor-Trojaner auf dem Endgerät. Dieser ermögliche es dem Angreifer anschließend, das Gerät des Opfers fernzusteuern.

Kriminelle beim Social Engineering fast immer mit Vorteil des Überraschungsmoments

Kriminelle hätten fast immer den Vorteil des Überraschungsmoments. Und viele Angriffe, insbesondere gezielte Angriffe auf einzelne Führungspersonen im Unternehmen, seien geschickt eingefädelt und auf den ersten Blick kaum zu erkennen.
Zahlreiche Erfolge von „Social Engineering“-Angriffen, insbesondere nach Beginn der „Corona“-Krise, zeigten nun, „dass eine Abwehrstrategie mit Schulungen und Endpoint Security nicht ausreicht“.

Nicht nur Abwehr von Social Engineering, sondern auch Erkennung nach erfolgreichen initialen Angriff

Zum einen schlüpften zu viele Angriffe durch das Abwehrnetz und zum anderen biete die Strategie keine Möglichkeit, erfolgreiche Angriffe in der „Post Breach“-Phase schnell zu identifizieren. So könnten sich die Täter oft bedenkenlos lange Zeit im Netzwerk aufhalten, in aller Ruhe Daten exfiltrieren und erheblichen Schaden anrichten.
Es gehe also nicht nur um Abwehr sondern auch um Erkennung nach einem erfolgreichen initialen Angriff – und damit um Abmilderung der Folgen. „Hier kann Analytik Schulungen und Sicherheitstools komplementieren“, sagt Kando.

SIEM und UEBA zur Absicherung gegen Social Engineering

„SIEM-Systeme (Security Information and Event Management), die auf der Ereignis- und Verhaltensanalyse der Benutzer (User and Entity Behaviour Analytics, UEBA) basieren, sammeln Sicherheitsereignisse und Protokolle aus der gesamten Organisation und modellieren damit das normale Benutzerverhalten von Individuen, Gruppen, und Endgeräten“, führt Kando aus.
Sollte dann ein Verhalten festgestellt werden, das zu weit von diesen Modellen abweicht, wird demnach eine Warnung an das Sicherheitsteam zur sofortigen Untersuchung gesendet. Bei dieser Abweichung könne es sich um alles Mögliche handeln, „von einem Benutzer, der sich zu einem ungewöhnlichen Ziel im Web durchklickt, bis hin zu einem bösartigen Prozess, der auf dem Gerät eines Benutzers ausgeführt wird“.

Social Engineering erkennen und schnell reagieren!

Ein SIEM-System befasse sich mit den Schlüsselprozessen der Cyber-Sicherheit und stelle eine Komplettlösung zur Erkennung fortgeschrittener Bedrohungen dar. Zu den Funktionen gehörten die Automatisierung der Protokollüberwachung, die Korrelation von Daten, die Erkennung von Mustern, die Alarmierung und die Bereitstellung von Daten für die schnelle Entscheidungsfindung, die Einhaltung von Vorschriften und die Forensik.
UEBA erkenne Sicherheitsvorfälle, die von traditionellen Werkzeugen nicht erkannt würden, weil sie nicht mit vordefinierten Korrelationsregeln oder Angriffsmustern übereinstimmten oder weil sie sich über mehrere Organisationssysteme und Datenquellen erstreckten. „Gemeinsam tragen SIEM und UEBA dazu bei, ,Social Engineering‘-Angriffe zu erkennen, sobald sie geschehen sind, und schnell zu reagieren, um Schäden zu verhindern oder zu minimieren.“

Fazit: Mit Analytik besser gegen Social Engineering abgesichert…

„Es stimmt“, so Kando: „Durch Investitionen in regelmäßiges Training und die richtigen technologischen Lösungen kann ein Großteil der Bedrohung von ,Social Engineering‘ abgemildert oder sogar eliminiert werden. Trotzdem schaffen es ausgeklügelte Angriffe immer wieder, diese Abwehrmechanismen zu umgehen und Schaden anzurichten.“
SIEM-Systeme, die auf der Verhaltensanalyse der Benutzer und Entitäten (UEBA) aufbauten, seien eine komplette Lösung zur Erkennung und Abwehr fortschrittlicher Bedrohungen. Unternehmen, die bisher lediglich auf Schulungen und „Endpoint Security“-Lösungen gesetzt hätten, um „Social Engineering“-Angriffe auf ihre Belegschaft zu verhindern, sollten diese modernen Sicherheitstools in Betracht ziehen, um ihre Sicherheit maßgeblich zu erhöhen.

… und Folgen des Angriffs per Social Engineering abgemildert

Kando betont: „Es geht nicht nur um Abwehr sondern auch um Erkennung nach einem erfolgreichen initialen Angriff – und damit um Abmilderung der Folgen. Hier kann Analytik Schulungen und Sicherheitstools komplementieren.“
Er ist „Area Vice President Of Sales Central, Southern and Eastern Europe“ bei Exabeam. Der diplomierte Ingenieur sei seit über 19 Jahren im „IT Security“-Markt tätig und habe seine Karriere einst bei der BinTec AG in Nürnberg begonnen. Im Verlauf seiner Karriere sei der erfahrene IT-Spezialist in verschiedenen Rollen bei Internet Security Systems, später IBM ISS, SonicWALL und Imperva beschäftigt gewesen.

Weitere Informationen zum Thema:

datensicherheit.de, 25.08.2020
Früherkennung gefragt: Erfolgreiche Hacker-Attacken / Verhaltensanalyse hilft, die „Dwell Time“ erfolgreicher Attacken zu verkürzen

datensicherheit.de, 30.08.2018
Maschinelles Lernen für effektive Netzwerksicherheit / Der Benutzer, das unbekannte Wesen im Netzwerk