James Steidl - Fotolia
Starke Security Awareness verteidigt entlang der Kill Chain
Cybersicherheit ist keine rein technische Angelegenheit. Bereits kleine menschliche Fehler helfen Angreifern, Kontrollen zu umgehen. Es lohnt sich, dieses Risiko zu minimieren.
Der Begriff „Kill Chain“ wurde ursprünglich vom Militär verwendet, um die Schritte zu definieren, die ein Feind bei einem Angriff auf sein Ziel unternehmen muss. Im Jahr 2011 veröffentlichte Lockheed Martin ein Whitepaper (PDF), das die „Cyber Kill Chain“ einführt. Ähnlich wie beim Militär soll sie die Schritte definieren, die ein Cyberangreifern bei modernen Cyberangriffen durchläuft.
Die Idee ist, dass die Verteidiger Angriffe besser erkennen und stoppen können, wenn sie jede dieser Stufen verstehen, und ihre Verteidigung darauf ausrichten. Bei umso mehr Punkten ein Cybersicherheitsteam einen Angreifer stört, umso wahrscheinlicher wird, dass es einen Angriff abfängt. Allerdings übersehen dabei viele, welche Rolle Security Awareness in der Cyber Kill Chain spielt und denken ausschließlich an technische Lösungen.
Dabei sollte man zunächst bedenken, dass Security Awareness nichts anderes als eine Kontrolle ist, ebenso wie Verschlüsselung, Passwörter, Firewalls, DLP oder Antiviren-Programme Sicherheitskontrollen sind. Was Security Awareness einzigartig macht, ist die Tatsache, dass es sich auf menschliche Risiken bezieht und diese managt. Deshalb haben viele Sicherheitsexperten den Eindruck, dass Security Awareness das menschliche Element adressiert und deshalb keine Rolle für technische Angriffe spielt. Das ist grundlegend falsch und nachfolgend soll gezeigt werden, wie Security Awareness die Cybersicherheit entlang der Cyber Kill Chain unterstützt, Cyberangriffe zu neutralisieren.
Wer Informationen kontrolliert, minimiert die Angriffsfläche
Bevor der Angriff beginnt, sammelt der Angreifer in der Reconnaissance-Phase der Cyber Kill Chain Informationen über sein Ziel. Viele Sicherheitsexperten sind der Meinung, man könne sich in dieser Phase nicht wehren und liegen bereits damit falsch. Nicht selten suchen Cyberangreifer Informationen über ihre beabsichtigten Ziele im Internet auf Websites wie LinkedIn oder Instagram. Darüber hinaus können sie versuchen, Informationen durch Anrufe und E-Mails an Mitarbeiter zu sammeln, oder indem sie achtlos weggeworfene Unterlagen oder Datenträger in den Müllcontainern des Unternehmens suchen.
Die Verhaltensweisen der Mitarbeiter können darauf einen großen Einfluss haben. Eine sicherheitsbewusste Belegschaft wird wissen, dass sie ein Ziel ist, und das, was sie öffentlich teilt, einschränken. Die aufmerksamen Mitarbeiter werden die Identitäten von Anrufern gezielt hinterfragen und verifizieren, bevor sie vertrauliche Informationen weitergeben, und bereits ein einfacher Aktenvernichter sorgt dafür, dass keine sensiblen Dokumente aus der Mülltonne rekonstruiert werden können.
Das wird den Angriff in dieser Phase nicht aufhalten, allerdings vermag das keine Sicherheitskontrolle absolut zuverlässig. Umso stärker die Mitarbeiter allerdings die auffindbaren Informationen kontrollieren, umso stärker reduziert sich die Angriffsfläche des Angreifers. Ohne Angriffsfläche wird die zweite Phase, die Weaponization, komplizierter.
Als nächstes interagiert der Cyberkriminelle noch nicht mit dem beabsichtigten Opfer, sondern bereitet seinen Angriff auf Basis der gesammelten Informationen vor. Beispielsweise kann der Angreifer ein infiziertes Microsoft Office-Dokument erstellen, das mit einer angepassten Phishing-E-Mail kombiniert wird, oder er erstellt einen neuen Stamm selbstreplizierender Malware, die über ein USB-Laufwerk verbreitet wird. Wenn der Angreifer keine begrenzten Tests auf das beabsichtigte Ziel durchführt, dann gibt es nur wenige Sicherheitskontrollen, die diesen Schritt beeinflussen können. Wer allerdings dem Angreifer möglichst viele Informationen geheim gehalten hat, hat gute Chancen, dass die Qualität des Angriffs sinkt.
Die technischen Lösungen setzten erst im dritten Schritt ein
Im dritten Schritt, der Delivery-Phase, wird der Angriff an das beabsichtigte Opfer übertragen. Beispielsweise könnte der Cyberkriminelle eine Phishing-E-Mail versenden, oder infizierten USB-Laufwerke in einem Cafe verteilen, um die eigentliche Malware auszuliefern. Es gibt zwar eine ganze technische Industrie, die sich der Aufgabe verschrieben hat, diese Phase zu stoppen, aber auch die Menschen spielen eine entscheidende Rolle. Der Netwrix 2018 Cloud Security Report zeigt beispielsweise, dass von den Befragten Unternehmen 72 Prozent ihr eigenes IT-Team oder die Anwender für Sicherheitsvorfälle in der Cloud verantwortlich sehen.
Während die Menschen schlecht darin sind, sich viele neue Informationen zu merken, sind sie sehr anpassungsfähig. Daher sind es tatsächlich Menschen und nicht die technischen Sicherheitslösungen, die viele der heutigen Angriffe als erstes erkennen und stoppen. Darüber hinaus können Menschen Angriffe erkennen und stoppen, die die meisten Technologien nicht einmal filtern können, wie beispielsweise Social-Engineering-Angriffe über das Telefon. Viele der heutigen Angriffe sind darauf ausgerichtet, nach Fehlern zu suchen, und ein geschultes Personal reduziert die Angriffsfläche erheblich.
Nachdem die Malware ausgeliefert wurde, erfolgt die Exploitation-Phase, in der sie aktiviert wird. Geschulte Mitarbeiter achten darauf, dass die Systeme, die sie betreiben, stets auf dem neuesten Stand sind; stellen sicher, dass Antivirenprogramme aktiviert sind; und alle sensiblen Daten, mit denen sie arbeiten, auf gesicherten Systemen gespeichert werden. All das sind Maßnahmen, die die Security Awareness vermittelt und die ein Unternehmen in dieser Phase absichern.
Security Awareness hilft auch auf dem letzten Meter
Im Schritt Installation wird die Malware auf dem System des Opfers installiert. Nicht alle Angriffe erfordern tatsächlich Malware, wie zum Beispiel der CEO Fraud oder das Sammeln von Anmeldeinformationen. Doch genau wie bei der Exploitation können geschulte und sichere Mitarbeiter sicherstellen, dass ihre Geräte sicherer sind, indem sie sie aktualisieren und mit einem aktuellen und aktivierten Antivirusprogramm ausstatten. Bereits das würde viele Malware-Installationen verhindern, weil ungewöhnliche Verhaltensweisen am ehesten den Menschen auffallen, die das System täglich benutzen.
Nach der Installation der Malware, muss das kompromittierte oder infizierte System in der Command-and-Control-Phase Kontakt zum C&C-System des Angreifers aufbauen, damit dieser die Kontrolle erlangen kann. Das ist der Grund, warum das sogenannte Hunting so populär geworden ist, weil dabei nach ungewöhnlichen Aktivitäten wie dieser gesucht wird, die das System verlassen. In der Folge haben in den letzten zwei Jahren Mitarbeiter – nicht Technologien – intern am häufigsten Sicherheitsvorfälle entdeckt, wie der Data Breach Index Report von Verizon zeigt.
„Solange wir das menschliche Element weiterhin ignorieren und uns ausschließlich auf die Technologien für unsere Cyberverteidigung konzentrieren, werden Unternehmen oft den Cyberkriminellen unterliegen.“
Lance Spitzner, SANS Institute
Sobald der Cyberkriminelle den Zugriff die Infrastruktur im Unternehmen eingerichtet hat, arbeitet er daran, sein primäres Ziel zu erreichen. Diese Phase nennt man Actions On Objectives. Die Motivation hinter dem Angriff hängt stark von dem Angreifer ab, politische, finanzielle oder militärische Vorteile sind denkbar.
Deshalb ist es sehr schwierig, vorherzusagen, wie diese Aktionen aussehen werden. Eine geschulte Belegschaft kann als menschlicher Sensor gegen Angriffe agieren, die in ein Unternehmen integriert ist, und die Fähigkeit, einen Vorfall zu erkennen und darauf zu reagieren, erheblich verbessern.
Somit erschweren sichere Verhaltensweisen dem Täter nach einer erfolgreichen Command and-Control-Phase, sich im gesamten Unternehmen frei zu bewegen und seine Ziele zu erreichen. Verhaltensweisen wie die Verwendung von starken, eindeutigen Passwörtern, die Authentifizierung von Personen vor der Freigabe sensibler Daten oder die sichere Entsorgung sensibler Daten sind nur einige der vielen Verhaltensweisen, die das Leben des Angreifers erheblich erschweren und dazu führen, dass sie mit hoher Wahrscheinlichkeit erkannt werden.
Fazit
Wir müssen aufhören, die Cybersicherheit nur als technische Angelegenheit wahrzunehmen. Es erscheint absurd, dass jedes Unternehmen eine erstaunliche Ressource hat, die Cybersicherheit zu unterstützen, und daran scheitert, in diese Ressource zu investieren: den Angestellten.
Solange wir das menschliche Element weiterhin ignorieren und uns ausschließlich auf die Technologien für unsere Cyberverteidigung konzentrieren, werden Unternehmen oft den Cyberkriminellen unterliegen. Der Grund ist, dass bereits kleine und unscheinbare, menschliche Fehler dazu führen können, dass die Angreifer die technischen Kontrollen einfach umgehen. Dieses Risiko zu minimieren, lohnt sich daher auf jeden Fall.
Über den Autor:
Lance Spitzner ist Leiter des Security-Awareness-Programms des SANS Institutes.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
