“Time to Respond” löst Malware-Sisyphos ab

Code Sicherheit (Bild: Shutterstock)

Die Malware Locky mutierte seit ihrem ersten Auftreten Anfang Februar 2016 mittlerweile mehr als 2500 Mal. Wer beim Schutz des eigenen Netzwerkes noch immer auf Signaturen setzt, hat ähnliche Erfolgsaussichten wie der antike Held Sisyphos.

Angriffe auf Unternehmensnetze sind unvermeidbar. Doch wie kann man heute ein komplexes Unternehmensnetzwerk effektiv vor dem Zugriff durch Hacker schützen? Die klassische Prävention in Form von Firewalls, IDS, Proxies oder Virenscannern, kann vor allem gezielte Angriffe bestenfalls erschweren. Viele Organisationen setzen daher auf Angriffserkennung und vertrauen auf die Leistungsfähigkeit von SIEM-Systemen. Mit ihrer Hilfe findet die Informationsaufbereitung aus Logs, Events, Feeds und anderen Informationsquellen statt. Dann erfolgt  Erfassung, Filterung, Korrelation, Priorisierung, Visualisierung und Alarmierung. Damit erreicht man in der IT-Sicherheit das “Time to Detect”. Aber Detection ist nur der erste Schritt im Incident Response Prozess.

Was muss passieren, wenn ein Angriff entdeckt wird?

Das Problem fängt schon damit an, dass ein Security-Analyst die erkannte Bedrohung hinsichtlich ihrer Kritikalität für das Kerngeschäft einer Organisation bewerten muss. Dazu muss er wissen, welche Applikationen und Daten sich hinter einer angegriffenen IP-Adresse verbergen, welche Schwachstellen sie aufweisen und welchen Schutzbedarf diese haben.

Idealerweise werden derartige Informationen in einer aktuellen und unternehmensweiten CMDB, einer Configuration Management Database, vorgehalten. In der Praxis ist jedoch eine solch verdichtete und konsolidierte Informationsbasis kaum anzutreffen.

Andreas Mertz, CEO und Gründer der it-Cube Systems glaubt nicht mehr an die Kraft von signaturbasierten Systemen. (Bild: iT-Cube-Systems)
Andreas Mertz, CEO und Gründer der it-Cube Systems glaubt nicht mehr an die Kraft von signaturbasierten Systemen. (Bild: iT-Cube-Systems)

Den Sicherheitsexperten könne man da aber nur schwer einen Vorwurf machen, erklärt Andreas Mertz, Gründer und CEO der it-Cube Systems, einem Full-Service-Provider für IT-Sicherheit und Managed Security Services mit einem eigenen Sicherheitszentrum in Augsburg. “Das Problem liegt in den verteilten Zuständigkeiten für Daten, Applikationen, Prozesse und IT sowie der oft fehlenden Klassifikation.“

Wichtig sei deshalb, zunächst einmal zusammen mit allen Verantwortlichen eine Priorisierung festzulegen. Denn je mehr Technologien ein Unternehmen nutzt, desto mehr Angriffsvektoren und Anfälligkeiten entstehen.

Wie Firmen, die Partnernetze, Outsourcing oder Public-Cloud-Ressourcen anbieten, zu einer Priorisierung von Risiken gelangen können, hat vor wenigen Wochen der Sicherheitsanbieter RSA hat zusammen mit Deloitte Advisory Cyber Risk Services in einem Framework für das Erfassen und Bewerten von Cyber-Risiken gezeigt.

Das RSA-Framework für die Bewertung von Cyber-Risiken liefert eine konsistente Bewertungsgrundlage für das priorisieren von Risiken im Unternehmen. Vor allem aber sorge es idealerweise für einen fortgesetzten Dialog zwischen sämtlichen Stakeholdern. (Bild: RSA)
Das RSA-Framework für die Bewertung von Cyber-Risiken liefert eine konsistente Bewertungsgrundlage für das priorisieren von Risiken im Unternehmen. Vor allem aber sorge es idealerweise für einen fortgesetzten Dialog zwischen sämtlichen Stakeholdern. (Bild: RSA)

Dieses ermöglicht es Anwendern, für verschiedene IT-Risiken Toleranzschwellen zu beschreiben und so eine pragmatische Grundlage für wirksame Risk-Management-Strategien zu schaffen, was wie Mertz betont bei den meisten Unternehmen nur bedingt der Fall ist.

Neben der mangelhaften Datenbasis leidet der Analyse- und Responseprozeß auch an fehlender Transparenz, zum Beispiel bei einer erkannten Malware-Infektion. Dem Security-Analysten fehlt oft eine Lösung, die es ihm ermöglicht, auf Knopfdruck anzuzeigen, welche der Systeme betroffen sind und direkt darauf zu reagieren, zum Beispiel laufende Prozesse anzuzeigen und zu stoppen, nach einem MD5-Hash zu suchen, einen Memory-Dump zur gerichtsverwertbaren Beweismittelsicherung und forensischen Analyse zu ziehen und schließlich befallenen Systeme direkt in Quarantäne zu setzen.

Trotz aller Fortschritte, die SIEM-Systeme in der Angriffserkennung in den vergangenen 10 Jahren gemacht haben, liegt die Erkennungsrate bei gezielten Angriffen deutlich unter den Erwartungen, erklärt Mertz. “Wir haben es hier mit einem methodischen Problem zu tun, denn zum einen sind nicht alle Ereignisse in Logs zu finden sind und zum anderen der Fantasie von Sicherheitsexperten, die Korrelationsregeln für SIEM-Systeme schreiben, Grenzen gesetzt.”

Die Logik heutiger SIEM-Systeme basiert überwiegend auf deterministischen Verfahren, so Mertz. “Der neue Heilsbringer ist die Anwendung künstlicher Intelligenz in der Angriffserkennung.” Diese Systeme lernen autonom die typischen Verkehrs- und Verhaltensmuster in den IT-Netzen in denen sie installiert werden.

Dabei sei es aber wichtig, dass “bösartiger Verkehr” bereits infiltrierter Netzwerke nicht als “normal” erlernt wird. Um das auszuschließen, werden derartige Systeme permanent mit trainierten Entscheidungsbäumen zur Erkennung von Schadsoftware gefüttert.

“Mit maschinellem Lernen erzielen wir bestechende Erkenntnisse.”, erklärt Mertz. Zwei typische Einsatzfelder sind die Verkehrsflussanalyse und der die Anomalieerkennung im Benutzerverhalten. “Hier können wir Angriffe erkennen, die über lange Zeiträume ablaufen, kaum Spuren hinterlassen, verschlüsselte Kommunikation nutzen und legitime Accounts missbrauchen. Der entscheidende Punkt liegt jedoch darin, dass wir dazu nicht hunderte von Korrelationsregeln entwickeln mussten.”

Eine weitere sinnvolle Ergänzung ist die Korrelation mit sogenannten Threat Intelligence Feeds. Das sind Blacklist-Abonnements, in denen Command & Control Server, Malware URLs, kompromittierte System, SPAM-Netzwerke, Phishing Mail Sources, Phishing URLs, DDoS-Networks und andere Malware-Ressourcen laufend aktualisiert und gelistet werden. Sobald interne Systeme mit IP-Adressen aus diesen Listen kommunizieren ist klar, dass dies keine legitime geschäftliche Kommunikation sein kann. “Im Idealfall können wir uns zeitlich vor den Angriff setzen, und weiteren Schaden abwenden”, so Mertz.

Dennoch, ganz ohne den menschlichen Verstand werden Sicherheitslösungen mittelfristig nicht auskommen. Gerade für mittelständische Unternehmen ist das aber häufig problematisch – zum einen, weil Sicherheitsexperten am Arbeitsmarkt rar sind, zum andern, weil Themen wie das Cyber Adversary Hunting nicht zum Kerngeschäft dieser Unternehmen zählt.

Das ist ein Grund, warum die Augsburger it-Cube Systems Unternehmen einen gehosteten Managed Security Services anbietet. Wie Mertz erklärt, stehe dabei aber nicht der klassische Betrieb von Firewalls im Mittelpunkt, sondern die aktive Erkennung und Abwehr von Angriffen gegen diese Unternehmen und hier vor allem die die Abwehr von Industriespionage.