Organisationen verstärken aufgrund der Gefahrenlage ihre Abwehr gegen Cyberangriffe von aussen. Dabei vergessen sie vielfach jedoch den Blick nach innen. Neue Technologien können dabei helfen, Angreifer zu stoppen, die sich bereits im Netzwerk befinden.
Gastbeitrag von Egon Kando, Area Vice President Of Sales Central, Southern and Eastern Europe bei Exabeam
Für Cyberkriminelle bedeutet die Coronakrise und ihre Folgen eine wahre Goldgräberstimmung. Denn noch nie waren viele Unternehmen so verwundbar wie heute. Die IT-Sicherheit zieht jedoch langsam nach, um die durch die verteilten Mitarbeiter vergrösserte Angriffsfläche abzusichern, und erhöht die Sicherheitsmauern rund um das Unternehmen und seinen Mitarbeitern im Homeoffice. Dabei übersehen jedoch viele Organisationen, dass die eingesetzten Lösungen nur nach aussen gerichtet sind und nicht nach innen, wo die mitunter grösseren Gefahren lauern.
Cybererpresser gehen immer zielgerichteter vor
Die Verschlüsselung von Daten durch Ransomware ist ein gutes Beispiel für Bedrohungen von aussen. Sie werden von den Angreifern im Giesskannenprinzip weit gestreut und der Erfolg ist für die Kriminellen eher zufällig, je nachdem welcher Mitarbeiter auf eine Phishing-E-Mail klickt. Aber selbst wenn Daten verschlüsselt wurden, können Unternehmen mit Entschlüsselungstools, Recoverware oder einfachen Backups dagegenhalten und die Daten wiederherstellen. Als Reaktion darauf gehen viele Cybererpresser zielgerichteter vor. Sie zielen mit ihren Angriffen vermehrt auf Organisationen, deren Daten als wertvoller angesehen werden oder bei denen der Reputationsschaden potenziell am grössten ist. Denn diese Unternehmen sind eher bereit, ein Lösegeld zu zahlen, und sei es dafür, dass die Daten nicht öffentlich werden. Die Kriminellen studieren hierzu potenzielle Opfer individuell und sehr detailliert, um das Potenzial für einen erfolgreichen Angriff genau einschätzen zu können. Letzten Endes entscheiden sie anhand der Gewinnerwartung, welche Organisationen sie angreifen. Diese neuen, viel gezielteren Bedrohungen erfordern eine andere Reaktion als die eher wahllosen Angriffe bei Ransomware.
Neue Bedrohungen erfordern eine intelligentere Reaktion
Aus Sicht des IT-Sicherheitsbetriebs liegt ein grosser Teil der Herausforderung zur Abwehr von Cyberkriminellen in der Erkennung und Untersuchung potenzieller Angriffe anhand von Indicators of Compromise (IOCs). Dies können verdächtige und/oder auf der schwarzen Liste stehende IP-Adressen sein, oder auch bekannte Phishing-URLs sowie Signaturen für bösartige Dateien. Im Idealfall verhindern klassische Sicherheitstools anhand dieser IOCs wie Intrusion Detection, Firewalls und Endpoint-Security, dass bevor Organisationen Opfer eines erfolgreichen Angriffs werden.
Dieser Ansatz mag bei Ransomware funktionieren, bei der Daten nach erfolgreichem Angriff sofort verschlüsselt werden. Bei zielgerichteten Angriffen müssen sich die Kriminellen eine Zeit lang im Netzwerk umsehen, um die für sie richtigen Daten zu finden, die es abzugreifen lohnt. Unternehmen haben mitunter Petabyte an Daten an zahlreichen verschiedenen Orten gespeichert. Um an diese wertvollen Daten zu gelangen, müssen die Kriminellen deutlich mehr Zeit und Aufwand investieren. Nach aussen gerichtete Sicherheitstools können jedoch keine kompromittierten Insider erkennen, da sich diese auf den ersten Blick komplett legitim im Netzwerk bewegen. Um Angriffe in einem solchen Stadium erkennen zu können, benötigen Unternehmen andere Sicherheitswerkzeuge. Und da sich die Kriminellen mitunter eine längere Zeit im Netzwerk aufhalten können, geht es darum, sie frühestmöglich zu erkennen, bevor sie grösseren Schaden anrichten können.
Mitunter verbringen die Kriminellen Monate oder gar Jahre innerhalb einer Infrastruktur und betreiben dabei grossen Aufwand unentdeckt zu bleiben, während sie sich ihren Weg durch die Verteidigungskette zu den Daten-Kronjuwelen des Unternehmens bahnen. Dies bietet der Verteidigung jedoch auch kleine Vorteile: Zum einen haben sie im Vergleich zur Ransomware mehr Zeit, um nach den Eindringlingen zu suchen, und zum anderen hinterlassen die Kriminellen bei ihren Bewegungen im Netzwerk Spuren. Diese Chancen kann die IT-Security nutzen, um Schlimmeres zu verhindern, vorausgesetzt sie verfügt über die notwendigen Werkzeuge, um den Sicherheitsblick nach innen zu richten. Denn IOCs sind ausnahmslos nach aussen gerichtet, was sie für die Entdeckung von sich bereits im Netzwerk befindlichen Angreifern nutzlos macht.
SIEM und UEBA: Effektive Innenverteidigung
SIEM-Lösungen (Security Information and Event Management) stellen Logs aus einer Vielzahl von Quellen zusammen und analysieren sie nach normalem und verdächtigem Verhalten in Netzwerk. SIEMs der neuesten Generation bauen hierfür auf UEBA (User Entity Behaviour Analytics), das auf Algorithmen des Maschinellem Lernens aufsetzt und das Verhalten der Nutzer und Geräte im Netzwerk kontinuierlich überwacht. Etwa wenn auf ungewöhnliche Dateien zugegriffen wird oder auffällige Anwendungen ausgeführt werden. Diese Analyse der Logdaten im Netzwerk muss automatisch geschehen, weil es davon einfach zu viele gibt, als dass Sicherheitsteams sie manuell effektiv und in Echtzeit untersuchen könnten.
Automatisierung und Orchestrierung verkürzen Reaktion auf Angriffe
Verdächtiges Verhalten zu erkennen, ist jedoch nur ein Teil der Aufgabe. Denn nun muss schnellstmöglich reagiert werden, um drohenden Schaden zu verhindern oder weitestgehend einzuschränken. Um den Umfang der Reaktion definieren zu können, muss der Vorfall vollumfänglich untersucht werden. Hierzu gehört die Erstellung eines Zeitstrahls, welcher alle Aktivitäten der beteiligten Nutzer und Geräte aufzeigt und bewertet, ob diese normal oder ungewöhnlich sind. Sobald dies geschehen ist kann die Reaktion geplant und durchgeführt werden. Hierbei werden die IT-Sicherheitsteams von SOAR-Lösungen (Security Orchestration, Automation and Response) zur Automatisierung und Orchestrierung notwendiger Abwehrmassnahmen durch verschiedene Security-Produkte unterstützt. SOAR ist sozusagen der Libero der Verteidigung, der schnellstmöglich nach der Erkennung und Analyse zielgerichtet auf die Angriffe reagiert. Über festgelegte Playbooks lassen sich Abwehrmassnahmen, wie beispielsweise die Isolierung eines Hosts oder die Sperrung einer IP-Adresse zur Begrenzung der Auswirkungen, komplett automatisieren. Neben einer schnelleren Reaktionsdauer reduziert dies die mittlere Wiederherstellungszeit (MTTR/Mean Time To Recover) in diesen kritischen Szenarien, in denen die Zeit von entscheidender Bedeutung ist.
Sich niemals in Sicherheit wähnen
Selbst wenn die nach aussen gerichteten Verteidigungslösungen wie wie Intrusion Detection, Firewalls und Endpoint-Security nicht Alarm geschlagen haben, sollte die IT-Sicherheit in Unternehmen immer damit rechnen, dass sich Cyberkriminelle auf irgendeine Art und Weise im Netzwerk aufhalten und aktiv versuchen, die Angreifer aufzuspüren. Dafür benötigt sie Sicherheitslösungen, die nach innen gerichtet sind.
