“Time to Respond” löst Malware-Sisyphos ab

Angriffe auf Unternehmensnetze sind unvermeidbar. Doch wie kann man heute ein komplexes Unternehmensnetzwerk effektiv vor dem Zugriff durch Hacker schützen? Die klassische Prävention in Form von Firewalls, IDS, Proxies oder Virenscannern, kann vor allem gezielte Angriffe bestenfalls erschweren. Viele Organisationen setzen daher auf Angriffserkennung und vertrauen auf die Leistungsfähigkeit von SIEM-Systemen. Mit ihrer Hilfe findet die Informationsaufbereitung aus Logs, Events, Feeds und anderen Informationsquellen statt. Dann erfolgt  Erfassung, Filterung, Korrelation, Priorisierung, Visualisierung und Alarmierung. Damit erreicht man in der IT-Sicherheit das “Time to Detect”. Aber Detection ist nur der erste Schritt im Incident Response Prozess.

Was muss passieren, wenn ein Angriff entdeckt wird?

Das Problem fängt schon damit an, dass ein Security-Analyst die erkannte Bedrohung hinsichtlich ihrer Kritikalität für das Kerngeschäft einer Organisation bewerten muss. Dazu muss er wissen, welche Applikationen und Daten sich hinter einer angegriffenen IP-Adresse verbergen, welche Schwachstellen sie aufweisen und welchen Schutzbedarf diese haben.

Idealerweise werden derartige Informationen in einer aktuellen und unternehmensweiten CMDB, einer Configuration Management Database, vorgehalten. In der Praxis ist jedoch eine solch verdichtete und konsolidierte Informationsbasis kaum anzutreffen.

Andreas Mertz, CEO und Gründer der it-Cube Systems glaubt nicht mehr an die Kraft von signaturbasierten Systemen. (Bild: iT-Cube-Systems)

Den Sicherheitsexperten könne man da aber nur schwer einen Vorwurf machen, erklärt Andreas Mertz, Gründer und CEO der it-Cube Systems, einem Full-Service-Provider für IT-Sicherheit und Managed Security Services mit einem eigenen Sicherheitszentrum in Augsburg. “Das Problem liegt in den verteilten Zuständigkeiten für Daten, Applikationen, Prozesse und IT sowie der oft fehlenden Klassifikation.“

Wichtig sei deshalb, zunächst einmal zusammen mit allen Verantwortlichen eine Priorisierung festzulegen. Denn je mehr Technologien ein Unternehmen nutzt, desto mehr Angriffsvektoren und Anfälligkeiten entstehen.

Wie Firmen, die Partnernetze, Outsourcing oder Public-Cloud-Ressourcen anbieten, zu einer Priorisierung von Risiken gelangen können, hat vor wenigen Wochen der Sicherheitsanbieter RSA hat zusammen mit Deloitte Advisory Cyber Risk Services in einem Framework für das Erfassen und Bewerten von Cyber-Risiken gezeigt.

Das RSA-Framework für die Bewertung von Cyber-Risiken liefert eine konsistente Bewertungsgrundlage für das priorisieren von Risiken im Unternehmen. Vor allem aber sorge es idealerweise für einen fortgesetzten Dialog zwischen sämtlichen Stakeholdern. (Bild: RSA)

Dieses ermöglicht es Anwendern, für verschiedene IT-Risiken Toleranzschwellen zu beschreiben und so eine pragmatische Grundlage für wirksame Risk-Management-Strategien zu schaffen, was wie Mertz betont bei den meisten Unternehmen nur bedingt der Fall ist.

Neben der mangelhaften Datenbasis leidet der Analyse- und Responseprozeß auch an fehlender Transparenz, zum Beispiel bei einer erkannten Malware-Infektion. Dem Security-Analysten fehlt oft eine Lösung, die es ihm ermöglicht, auf Knopfdruck anzuzeigen, welche der Systeme betroffen sind und direkt darauf zu reagieren, zum Beispiel laufende Prozesse anzuzeigen und zu stoppen, nach einem MD5-Hash zu suchen, einen Memory-Dump zur gerichtsverwertbaren Beweismittelsicherung und forensischen Analyse zu ziehen und schließlich befallenen Systeme direkt in Quarantäne zu setzen.

Trotz aller Fortschritte, die SIEM-Systeme in der Angriffserkennung in den vergangenen 10 Jahren gemacht haben, liegt die Erkennungsrate bei gezielten Angriffen deutlich unter den Erwartungen, erklärt Mertz. “Wir haben es hier mit einem methodischen Problem zu tun, denn zum einen sind nicht alle Ereignisse in Logs zu finden sind und zum anderen der Fantasie von Sicherheitsexperten, die Korrelationsregeln für SIEM-Systeme schreiben, Grenzen gesetzt.”

Die Logik heutiger SIEM-Systeme basiert überwiegend auf deterministischen Verfahren, so Mertz. “Der neue Heilsbringer ist die Anwendung künstlicher Intelligenz in der Angriffserkennung.” Diese Systeme lernen autonom die typischen Verkehrs- und Verhaltensmuster in den IT-Netzen in denen sie installiert werden.

Dabei sei es aber wichtig, dass “bösartiger Verkehr” bereits infiltrierter Netzwerke nicht als “normal” erlernt wird. Um das auszuschließen, werden derartige Systeme permanent mit trainierten Entscheidungsbäumen zur Erkennung von Schadsoftware gefüttert.

“Mit maschinellem Lernen erzielen wir bestechende Erkenntnisse.”, erklärt Mertz. Zwei typische Einsatzfelder sind die Verkehrsflussanalyse und der die Anomalieerkennung im Benutzerverhalten. “Hier können wir Angriffe erkennen, die über lange Zeiträume ablaufen, kaum Spuren hinterlassen, verschlüsselte Kommunikation nutzen und legitime Accounts missbrauchen. Der entscheidende Punkt liegt jedoch darin, dass wir dazu nicht hunderte von Korrelationsregeln entwickeln mussten.”

Eine weitere sinnvolle Ergänzung ist die Korrelation mit sogenannten Threat Intelligence Feeds. Das sind Blacklist-Abonnements, in denen Command & Control Server, Malware URLs, kompromittierte System, SPAM-Netzwerke, Phishing Mail Sources, Phishing URLs, DDoS-Networks und andere Malware-Ressourcen laufend aktualisiert und gelistet werden. Sobald interne Systeme mit IP-Adressen aus diesen Listen kommunizieren ist klar, dass dies keine legitime geschäftliche Kommunikation sein kann. “Im Idealfall können wir uns zeitlich vor den Angriff setzen, und weiteren Schaden abwenden”, so Mertz.

Dennoch, ganz ohne den menschlichen Verstand werden Sicherheitslösungen mittelfristig nicht auskommen. Gerade für mittelständische Unternehmen ist das aber häufig problematisch – zum einen, weil Sicherheitsexperten am Arbeitsmarkt rar sind, zum andern, weil Themen wie das Cyber Adversary Hunting nicht zum Kerngeschäft dieser Unternehmen zählt.

Das ist ein Grund, warum die Augsburger it-Cube Systems Unternehmen einen gehosteten Managed Security Services anbietet. Wie Mertz erklärt, stehe dabei aber nicht der klassische Betrieb von Firewalls im Mittelpunkt, sondern die aktive Erkennung und Abwehr von Angriffen gegen diese Unternehmen und hier vor allem die die Abwehr von Industriespionage.

Redaktion

Recent Posts

Metaversum: Arbeitsplatz der Zukunft mit dem Mensch im Mittelpunkt

Vom 17. bis 19. Juli findet das größte Event für Tech-Recruiting und Employer Branding auf…

12 Stunden ago

NIS-2-Richtlinie verändert Verantwortung für Domain-Sicherheit

Richtlinie enthält erweiterte und präzisierte Anforderungen und bringt spezifische Verpflichtungen und erhöhte Verantwortlichkeiten für Unternehmen.

13 Stunden ago

Lock-In-Effekte auf dem Cloud-Markt nicht zu unterschätzen

Lizensierungspraktiken auf dem Cloud-Markt begünstigen die Bündelung von Software- und Cloud-Angeboten und führen zu Lock-In-Effekten…

13 Stunden ago

Automobilzulieferer Bosch baut Software-Portfolio stark aus

Eine Vielzahl neuer Software-Lösungen soll domänenübergreifende Funktionen liefern und das Design der Fahrzeugarchitekturen vereinfachen.

17 Stunden ago

EU Cyber Resilience Act: Auswirkungen für die Sicherheit von Produkten und Services

Vor welche Herausforderungen die EU-Verordnung die Unternehmen stellt, erklären Security-Experten von Fortinet im Podcast.

1 Tag ago

Malware-Ranking Juni 2024: RansomHub entthront LockBit3

Global Threat Index von Check Point: RansomHub war die am weitesten verbreitete Ransomware-Gruppe, gefolgt von…

3 Tagen ago