Bedrohungserkennung heute: Lösungen, Reaktionsmaßnahmen und die Vorteile von „Advanced Threat Detection“

von Ivan Vinogradov, Solution Architect, LogPoint

„Threat Detection“ wird typischerweise als eine Aktivität beschrieben, die sich auf die Erkennung von Bedrohungen innerhalb eines Unternehmens bezieht. Oft ist diese Aufgabe zumindest teilweise automatisiert und umfasst die Verarbeitung großer Datenmengen – insbesondere in größeren IT-Umgebungen. Tatsächlich wird in den meisten modernen Unternehmen die Automatisierung zu einer Notwendigkeit für eine fortschrittliche Bedrohungserkennung.

Bei der Suche nach Bedrohungen ist es hilfreich zu wissen und zu berücksichtigen, welche Ressourcen für Sie am wertvollsten und welche am anfälligsten für Angriffe sind. Oft hat man nicht den Luxus, über ausreichende, intelligente Bedrohungsinformationen zu verfügen, um Bedrohungen unmittelbar zu erkennen, und muss daher „Bottom-up“ suchen – von unten nach oben.

Angreifer sind in der Regel opportunistisch und suchen sich oft veraltete Geräte als Einstiegspunkt. Üblicherweise geschieht dies nach großen Updates, die diese Schwachstellen öffentlich machen. Der andere primäre Angriffsvektor bleibt der Mensch – das Klicken auf schadhafte Links ist nach wie vor ein zuverlässiger Weg, um das eigene Netzwerk zu kompromittieren. Einmal im Netzwerk angekommen, kann die Aktivität der Angreifer variieren: Sie greifen beispielsweise Daten und Anmeldeinformationen ab oder setzen einfache, aber effektive Ransomware ein. Dies ist insbesondere bei nicht zielgerichteten, sehr opportunistischen Angriffen der Fall. Es überrascht nicht, dass 86 Prozent der Sicherheitsverletzungen finanziell motiviert sind (Verizon, 2020 Data Breach Investigations Report).

Finanzielle Motive: Dies ist die häufigste Motivation und gleichzeitig selbsterklärend. Organisierte Kriminelle haben es auf Unternehmen und Einzelpersonen abgesehen, um finanzielle Gewinne zu erzielen. Oftmals verwenden sie Ransomware, um Dateien zu verschlüsseln, oder überfluten Netzwerke mit DDoS-Angriffen, bis ein Lösegeld gezahlt wird.

Personenbezogene Daten (PII: Personal Identifiable Information): Suchen Kriminelle nach personenbezogenen Daten, werden diese häufig für einen Identitätsbetrug verwendet. Zu den wertvollen personenbezogenen Daten gehören Sozialversicherungsnummern, die zur Eröffnung von Bankkonten, zur Ausstellung von Kreditkarten oder für andere wichtige Zwecke verwendet werden können.

Geistiges Eigentum: Organisierte Kriminelle können auch andere Länder und Regierungsorganisationen sowie Konkurrenzunternehmen sein, die sich einen Vorteil auf dem Markt verschaffen möchten. Wertvolles geistiges Eigentum umfasst beispielsweise Kundendatenbanken, Produkt-Roadmaps, Geschäftsgeheimnisse und andere Informationen, die nur dem Unternehmen selbst bekannt sind.

Rache oder Vergnügen: Kriminelle können auch verärgerte, ehemalige Mitarbeiter sein, die auf Rache aus sind, oder politische Gegner, die ihre Kontrahenten diskreditieren möchten. Manchmal liegt der Motivation auch nichts Bestimmtes zugrunde und dient nur der Belustigung.

Natürlich bleibt es nicht dabei. Derzeit gibt es Gruppierungen, die über jede Menge Ressourcen verfügen – in der Regel sind das regierungsnahe Gruppen, die in der Lage sind, hochentwickelte, zielgerichtete und fortschrittliche Angriffe durchzuführen. In diesen Fällen ist eine automatische Erkennung nicht ausreichend. Hier empfehlen wir, ein Threat Hunting-Programm aufzusetzen, um mit diesen Angreifern Schritt halten zu können. Dies betrifft vor allem Unternehmen in Branchen, die von zielgerichteten Angriffen betroffen sind.

Beispiele für häufig auftretende Cyberbedrohungen:

• Malware: Malware dringt über Sicherheitslücken und Schwachstellen in ein Netzwerk ein. Zu dieser Kategorie zählen beispielsweise Spyware, Ransomware, Viren und Würmer.
• Missbrauch von Privileged Accounts: Ausnutzung der mit einem bestimmten Benutzerkonto verbundenen Privilegien, um in einem Unternehmensnetzwerk Schaden anzurichten.
• Social Engineering: Angreifer verleiten Benutzer dazu, vertrauliche Informationen preiszugeben, die für betrügerische Zwecke verwendet werden können.
• Denial of Service (DoS): DoS überflutet Systeme, Server oder Netzwerke mit Datenverkehr, um Ressourcen lahm zu legen und die Bandbreite auszuschöpfen, sodass die Systeme für berechtigte Anfragen nicht mehr zur Verfügung stehen.
• Menschliches Versagen: Unbeabsichtigte oder fehlende Handlungen von Benutzern verursachen oder ermöglichen eine Sicherheitsverletzung. Hierzu zählen beispielsweise fehlerhafte Konfigurationen, die Weitergabe von Informationen oder eine versehentliche Veröffentlichung von Informationen.
• Advanced Persistent Threats (APTs): Ein Angreifer verschafft sich Zugang zum Netzwerk und bleibt dort über einen längeren Zeitraum unentdeckt. Das gibt ihm Zeit, seinen Angriff zu planen und umzusetzen.
• Ransomware: Ransomware verschlüsselt die Dateien des Opfers und fordert ein Lösegeld, um den Zugriff auf die Daten wieder zu ermöglichen.

Hier erfahren Sie mehr über die einzelnen Bedrohungen und wie „Advanced Threat Detection“ Sie dabei unterstützen kann, diese Bedrohungen zu erkennen.

Die erfolgreiche Erkennung von Bedrohungen hängt in hohem Maße von der Reife der eingesetzten Lösungen für die Cybersicherheit ab. Es ist relativ einfach, die eigene IT-Landschaft zu kennen, Informationen zu sammeln, die eigenen Ressourcen im Blick zu behalten und ein internes Konzept zur Erkennung von Schwachstellen aufzusetzen. Je größer und komplexer eine IT-Umgebung jedoch wird, desto höher wird der Bedarf an Lösungen, die eine fortschrittliche und zumindest teilautomatisierte Erkennung von Bedrohungen unterstützen. Zudem sind raffinierte Bedrohungsakteure, die es auf Ihr Unternehmen abgesehen haben, nicht immer so einfach zu identifizieren. Sie können zum Beispiel nie ganz sicher sein, ob ein staatlich organisierter Bedrohungsakteur Interesse an Ihren Forschungsergebnissen hat – eine der Ursachen für viele hochkarätige Sicherheitsverletzungen.

Der Umgang mit Bedrohungen vor einem tatsächlichen sicherheitsrelevanten Vorfall erfordert immer Vorbereitung. Vorbereitung ist für nahezu jede Disziplin der Cybersicherheit sinnvoll. Unternehmen verfügen jedoch nur über begrenzte Ressourcen. Daher sollten sie ihre kritischen Assets identifizieren, ein Budget für Sicherheitsüberwachung einplanen und die Maßnahmen angemessen umsetzen, um das Risiko von Bedrohungen zu minimieren. Es gibt keine allgemeingültige Lösung. Ein guter Ausgangspunkt wäre es jedoch, die Mitarbeiter über mögliche Sicherheitsprobleme bei ihrer unmittelbaren Arbeit aufzuklären und zumindest ein grundlegendes Patching-Konzept zu implementieren.

Im Idealfall können Security-Teams und SOCs Cyberbedrohungen erkennen und darauf reagieren, bevor diese aktiv werden und sich auf das Unternehmen auswirken. Sobald jedoch ein sicherheitsrelevanter Vorfall eintritt, ist es wichtig, dass Ihr Team einen Plan für die Reaktion auf Vorfälle parat hat, um Sicherheitsprobleme zu erkennen, darauf zu reagieren und diese zu bewältigen. Um eine angemessene und zeitnahe Reaktion zu koordinieren, müssen die SOC-Mitarbeiter die spezifische Cyberbedrohung verstehen. Der Einsatz von Frameworks wie MITRE ATT&CK kann Security-Teams dabei unterstützen, den Gegner und seine Vorgehensweise zu verstehen – und so Bedrohungen noch schneller zu erkennen und darauf zu reagieren.

Letztlich können SOC-Analysten erheblich von hochentwickelten Tools wie Verhaltensanalysen (UEBA) und Threat Hunting-Funktionen profitieren, die sie bei der Erkennung fortschrittlicher Bedrohungen unterstützen.