Andrea Danti - Fotolia

Der blinde Fleck der Security nach einem Sicherheitsvorfall

Ein Sicherheitsvorfall ist noch keine Niederlage: Durch Transparenz nach einem Exploit lassen sich Schwachstellen in der eigenen Sicherheitsstrategie beseitigen.

Ein umfassendes mehrstufiges Abwehrsystem ist seit langem „Best Practice“ für die Unternehmenssicherheit. In der Regel beginnt der IT-Schutz am Perimeter (ergänzend zu einer hohen Qualifikation der Mitarbeiter und einer zuverlässigen Systemwartung): Hierzu gehören AV-Software, Firewalls der nächsten Generation, IPS (Intrusion Prevention Systems) und Ähnliches. Als zusätzliche Schutzebenen eignen sich SIEM-Systeme (Security Information and Event Management) sowie DLP- und neuere EDR-Lösungen (Data Loss Prevention, Endpoint Detection and Response).

Allerdings gibt es einen blinden Fleck in den heutigen Schutzebenen von Unternehmen. Es handelt sich um den Zeitraum zwischen dem Eindringen des Angreifers in den Perimeter und dem Manipulieren wichtiger Systeme und Extrahieren von Daten.

Gerade in diesem Zeitraum ist es heute sehr schwierig, komplexe Malware und Angriffskampagnen schnell zu erkennen, zu tracken und abzuwehren. Deshalb sind unmittelbar nach der Feststellung eines Eindringversuchs Echtzeiteinblicke in potenzielle Angriffsaktivitäten unerlässlich, solange die Angreifer noch das Netzwerk auskundschaften, nach Schwachstellen suchen und das Extrahieren von Daten vorbereiten.

Der aktuelle blinde Fleck

Schutzeinrichtungen am Perimeter können zwar vor bekannten Bedrohungen warnen, bieten aber keine Transparenz, wenn es um die Erkundungsaktivitäten von Angreifern, die Ausbreitung im Netzwerk (Lateral Movement) oder eine Manipulation und Ausweitung der Zugriffsrechte geht. Darüber hinaus können sie nicht feststellen, ob andere Systeme ebenfalls betroffen sind. DLP- und EDR-Systeme warnen bei verdächtigem Zugriff auf und/oder Diebstahl von strategischen Daten, sind aber nicht dafür ausgelegt, die mit dem Angriff verbundenen Aktivitäten im Netzwerk aufzudecken, geschweige denn zu nachzuverfolgen.

SIEM-Systeme bieten zwar mehr Transparenz, sind aber von Natur aus defensive Systeme und können nur auf bekannte Indikatoren reagieren. Daher sind sie nicht optimal geeignet, wenn es um die proaktive Untersuchung von verdächtigen Bewegungen innerhalb des Netzwerks und/oder von Aktivitäten im Zusammenhang mit neuer beziehungsweise unbekannter Malware geht.

Jeder SOC-Operator kann bestätigen, dass das Ausfiltern und effektive Priorisieren von echten IoCs (Indicators of Compromise) aus der überwältigen Zahl von Alerts eine echte Herausforderung ist. Selbst wenn eine Alert-Engine eingesetzt wird, um ein vollständiges Bild einer Angriffskampagne zu erhalten, ist dies eine mühsame und zeitintensive Aufgabe.

 „Es gibt keinen Grund, die Schutzmaßnahmen am Perimeter zu reduzieren. Doch der eigentliche Kampf gegen komplexe Angriffskampagnen beginnt, nachdem ein Sicherheitsvorfall stattgefunden hat.“

Christian Reuss, Arbor Networks

Die gefährlichsten Bedrohungen von heute gehen nicht von der eigentlichen Malware, sondern von durch Cyberkriminelle koordinierten Angriffskampagnen aus. Die Malware-Komponente selbst arbeitet verdeckt, um die Sicherheitsebenen unbemerkt zu umgehen. Diese Taktik ist sehr erfolgreich, denn viele Sicherheitsvorfälle bleiben unbemerkt, bis Dritte das Opfer informieren. Allerdings müssen diese von Cyberkriminellen koordinierten Angriffsaktivitäten das Netzwerk mehrmals passieren.

Bessere Transparenz nach einem Exploit

Nach dem ersten Eindringen (unabhängig davon, ob dies als Angriff erkannt wurde oder nicht) und bevor Daten oder Systeme weiter beeinträchtigt werden, sind schnelle und flexible Einblicke in die Technologien und Praktiken des Angreifers unerlässlich.

Hierzu gehören interne Erkundungsaktivitäten, Ausbreitung im Netzwerk, externe Kommunikation, schnell anwachsende Datenmengen, gestohlene Zugangsdaten und so weiter. Durch eine bessere Transparenz nach einem Exploit ergeben sich folgende Möglichkeiten:

  • Proaktive Suche nach vorsätzlich initiierten Kampagnen und laufende Prüfung auf aktive Bedrohungen, die sich möglicherweise im Netzwerk verbergen. Da der Zeitfaktor entscheidend ist, können die Beziehungen zwischen Alarmen, Systemen und Verhaltensmustern besser erkannt werden.
  • Optimierung vorhandener SOCs (Security Operations Center) und Investition in Sicherheitslösungen, die auf dem neuesten Stand der Technik sind und beispielsweise eine schnellere Erkennung von Fehlalarmen und die Priorisierung echter Bedrohungen ermöglichen.
  • Verhindern des Datendiebstahls und Abwehren kompletter Angriffskampagnen. Tracken der Bewegungen der Angreifer im Netzwerk, Erkennen von Systemen, in die sie eingedrungen sind oder in denen sie Payloads hinterlassen haben, und Entfernen aller Angriffskomponenten, bevor Schaden angerichtet werden kann.

Automatisierung

Das Ausmaß, die Datenmenge und die Ausbreitungsgeschwindigkeit eines Angriffs erfordern eine größtmögliche Automatisierung der Abläufe nach einem Exploit.

Je mehr man über das Angriffsverhalten weiß und über die Prozesse, mit denen die Angriffe erkannt, getrackt und abgewehrt werden, desto praktikabler – und strategisch wichtiger – wird die Automatisierung. Die Entwicklung auf diesem Gebiet ist rasant und kann in drei Kategorien eingeteilt werden.

  • Workflow-Automatisierung: Hierbei handelt es sich um die Automatisierung des alltäglichen SOC-Workflows, in den unterschiedliche Prozesse, in einigen Fällen auch manuelle Telefon- oder E-Mail-Kommunikation oder die Verwendung von Spreadsheets integriert werden. Diese Entwicklung lässt sich mit der Automatisierung von IT-Helpdesks in den 90er-Jahren vergleichen.
  • Automatisierte Analyse: Für die teilautomatisierte Analyse werden kontextspezifischere Sicherheitsinformationen (Threat Intelligence) integriert. Dies reicht von kontextbezogenen Suchen bis hin zu schnellerem Aussondern von Fehlalarmen durch die automatische Korrelierung von Daten aus unterschiedlichen Systemen. Automatisches Einpflegen kontextbezogener Sicherheitsinformationen in die SOC-Analysesysteme: Neben spezifischen Indikatoren werden auch Benutzer, Ziel-IP (mit Reputationsdaten), der verwendete Port und so weiter automatisch übermittelt. Auf diese Weise werden durch die Automatisierung nicht nur die manuellen Aufgaben reduziert, sondern es wird auch eine effizientere, zeitnähere Klassifizierung der Alerts ermöglicht.
  • Automatisierte Angriffsabwehr: Durch automatisierte Gegenmaßnahmen an den Endpunkten und in Netzwerken kann auf Bedrohungen reagiert werden, bevor Daten extrahiert und entwendet werden. Hierzu gehört die Entwicklung von so genannten „Security Playbooks“ (Sicherheitsleitfäden) und sofort einsatzbereiten Gegenmaßnahmen. Das bedeutet, dass beispielsweise bei einer bestätigten Malware-Attacke automatisch der Host unter Quarantäne gestellt und die IP-Adresse an der Firewall blockiert wird.

Ein mehrstufiges Sicherheitssystem ist nach wie vor die beste Strategie. Es gibt keinen Grund, die Schutzmaßnahmen am Perimeter zu reduzieren. Doch der eigentliche Kampf gegen komplexe Angriffskampagnen beginnt, nachdem ein Sicherheitsvorfall stattgefunden hat. Nachdem der Perimeter oder Endpunkte angegriffen wurden, sind Echtzeiteinblicke in die Praktiken und Technologien der Angreifer unerlässlich. Besteht nach einem Exploit eine hohe Transparenz, ist es für Angreifer viel schwieriger, unentdeckt zu bleiben, und für das Opfer einfacher, die Angriffe abzuwehren.

Über den Autor:
Christian Reuss ist Sales Director DACH bei Arbor Networks.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Mit Sicherheitsvorfällen richtig umgehen

So sollten Unternehmen einen Sicherheitsplan aufstellen

Cloud-Dienste beim Vorfallreaktionsplan berücksichtigen

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de
Close