Diese acht Faktoren deuten auf gezielte Cyberattacken hin

SIEM-Systeme erfassen sicherheitsrelevante Vorkommnisse und führen eine kontextbezogene Analyse durch. Dadurch lassen sich Attacken herausfiltern.

Je länger Hacker und Cyberkriminelle sich unbemerkt in einem Firmennetz oder auf Rechnern von hochrangigen Mitarbeitern zu schaffen machen können, desto besser für sie. Somit haben diese mehr Zeit, um Daten zu entwenden oder weitere IT-Systeme zu kompromittieren. Es kommt somit darauf an, gezielte Attacken rechtzeitig zu erkennen und abzuwehren. Doch dazu sind viele deutsche Firmen nicht in der Lage, ergab die Studie "Wenn es um Minuten geht" von McAfee.

Hans-Peter Bauer Hans-Peter Bauer,
Vice President Central
Europe bei McAfee.

Demnach räumen 59 Prozent der befragten deutschen Unternehmen ein, das sie im letzten Jahr zehn oder mehr zielgerichteten Angriffen ausgesetzt waren. Doch nur 38 Prozent sind nach eigener Einschätzung in der Lage, eine Attacke innerhalb weniger Minuten zu erkennen. Und nur 30 Prozent der Firmen verfügen über passende Tools wie SIEM-Systeme (Security Incident and Event Management), um schnell auf solche Einbruchsversuche reagieren zu können. Zum Vergleich: In anderen Ländern setzt etwa jedes zweite Unternehmen solche IT-Sicherheitswerkzeuge ein.

Welche Faktoren auf einen gezielten Angriff hindeuten

Sicherheitslösungen wie SIEM-Systeme erfassen sicherheitsrelevante Vorkommnisse ("Events") und führen eine kontextbezogene Analyse durch. Dadurch ist es möglich, aus der Masse der Daten Indikatoren für Attacken herauszufiltern. Laut Analysen von McAfee sind in erster Linie acht Faktoren zu beachten:

  1. Eigenartige Zugriffsversuche eines Nutzers: Ein Warnsignal ist, wenn sich ein User mehrfach innerhalb kurzer Zeit von unterschiedlichen Orten aus in ein Firmennetz einloggen möchte. Ebenfalls untersucht werden sollten Login-Versuche von Systemen mit unterschiedlichen IP-Adressen aus. Dies kann darauf hindeuten, dass ein Hacker in den Besitz der Account-Daten eines Nutzers gelangt ist.
  2. Eine Anti-Malware-Lösung schlägt zu ungewöhnlichen Zeiten Alarm: Ein Indikator für einen Angriff auf einen Host-Rechner ist, wenn Schutzsoftware nachts, an Feiertagen oder am Wochenende Warnmeldungen an den Administrator übermittelt.
  3. Hosts bauen Verbindungen zu unbekannten Rechnern auf oder solchen Systemen, deren IP-Adressen auf "Black Lists" von Service Providern oder IT-Sicherheitsfirmen zu finden sind. Ebenfalls verdächtig ist, wenn Firmenrechner mit Systemen in Ländern kommunizieren, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält.
  4. Neuinfektion mit Schadsoftware nach dem Scannen mit einer Antiviren-Software: Wird ein Rechner nach wenigen Minuten erneut von Malware befallen, könnte ein Rootkit am Werke sein.
  5. Öffentlich zugängliche Hosts oder Hosts in demilitarisierten Zonen (DMZ) kommunizieren plötzlich mit internen Hosts: Dieses Verhalten ist dann zu beobachten, wenn Angreifer mithilfe von DMZ- oder externen Hosts in ein Unternehmensnetz einzudringen versuchen, also als Trittbrettfahrer.
  6. Eine Häufung von internen Netzwerkscans durch einen internen Host-Rechner: Versucht dieser Rechner zudem Verbindung zu anderen Rechnern im Netzwerk aufzunehmen, kann das auf einen Hacker-Angriff hindeuten. Der Angreifer "springt" in diesem Fall von Host zu Host durch das Netzwerk zu lohnenden Zielen. Die meisten Firewalls und Intrusion Prevention Systeme (IPS) registrieren solche Aktivitäten nicht, da sie für die Abwehr von Angriffen von außen konfiguriert wurden.
  7. Datenaustausch zwischen internen und externen Hosts über ungewöhnliche Ports: Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker die Kommunikation mit seinem externen Steuerungsrechner (Command and Control) häufig als Anwendung. Diese nutzt jedoch in diesem Fall keine Standard-Ports. Auffällig ist beispielsweise, wenn ein internes System für eine Secure-Shell-Verbindung mit einem externen Rechner Port 80 statt Port 22 nutzt. Denn Port 80 ist eigentlich die Standardschnittstelle für HTTP-Datenverkehr.
  8. Viele identische Events in kurzer Zeit: Ein klares Indiz für einen Angriff ist, wenn kurz hintereinander mehrere sicherheitsrelevante Events derselben Kategorie auftreten. Das können etliche vergebliche Login-Versuche sein, entweder auf einem bestimmten Host oder hintereinander auf mehreren Firmenrechnern.

Auswahlkriterien einer SIEM-Lösung

Die genannten Indikatoren weisen auf einen gezielten Angriff auf ein Firmennetzwerk oder IT-Systeme von Mitarbeitern hin. SIEM-Systeme sind in der Lage, solche Attacken innerhalb von Minuten zu erkennen und zu unterbinden. Doch das setzt den Einsatz von Echtzeit-SIEM-Lösungen voraus, die nicht nur Verlaufsdaten speichern und auswerten.

Ein solches Echtzeit-SIEM-System sollte über folgende Funktionen verfügen:

Eine verhaltensbasierte (regellose) Korrelation: Diese kann Prioritätswarnungen und automatisierte Reaktionen auslösen. Die Grundlage dafür bilden Risikowerte. Diese sind an bestimmte Dienste und Kombinationen von Ereignissen oder Änderungen von Indikatoren gebunden.

Eine von Baselines gesteuerte Anomalie-Erkennung: Diese warnt bei untypischen Aktionen. Sobald ein "normales" Verhalten mittels eines Baselining definiert wurde, erhalten "ungewöhnliche" Ereignisse besondere Aufmerksamkeit.

Die Einbindung externer Datenquellen über Bedrohungen: Diese ergänzen die Methoden zur Erkennung von Verhaltensmustern und dem "normalen" Verhalten (Baselining) von IT- und Netzwerksystemen.

Priorisieren von Bedrohungen: Dies erlaubt eine Bewertung und Initiierung von Reaktionen anhand verdächtiger Aktivitäten sowie der Relevanz von Bedrohungen für bestimmte IT-Ressourcen. Dabei werden der Wert der Ressource, bekannte Schwachstellen, die installierten Patches sowie vorhandenen Gegenmaßnahmen berücksichtigt.

Über den Autor:

Hans-Peter Bauer ist Vice President Central Europe bei McAfee. Er wechselte zum 1. Januar 2008 von Juniper Networks, wo er zuletzt als Vice President für das Enterprise-Geschäft in EMEA  verantwortlich war. Er bringt mehr als 20 Jahre Erfahrung in der Computer- und Informationstechnologie-Branche mit.

Folgen Sie SearchEnterpriseSoftware.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close