Anzeige

Security Schild

Unternehmen, die spezifisches Know-how besitzen, beziehungsweise mit sensiblen personenbezogenen Daten arbeiten, sehen sich mit einem hohen Risiko konfrontiert, Opfer eines Cyberangriffs zu werden. Der Global Risks Report 2019 des Weltwirtschaftsforums zählt Datendiebstahl und Cyberangriffe gar zu den fünf größten Risiken für Unternehmen, bezogen auf die Wahrscheinlichkeit, dass sie eintreffen. 

Wirklich sicher vor den immer professioneller vorgehenden Angreifern ist laut den Experten niemand, auch nicht große internationale Unternehmen mit ihren umfangreicheren Schutzmechanismen. Der Grund: Die hochprofessionellen Angreifer entwickeln ihre Taktiken und Strategien kontinuierlich weiter, um ihren Opfern immer einen Schritt voraus zu sein. Unternehmen merken deshalb häufig erst, dass sie kompromittiert wurden, wenn es schon zu spät ist und Angreifer ernsthaften Schaden anrichten konnten. Doch woran liegt das?

Klassische IT-Sicherheits-Tools, wie Anti-Virenprogramme benötigen ein konkretes Wissen über einen bestimmten Angriff. Dazu untersuchen sie Aktivitäten auf sogenannte Indicators of Compromise (IoCs). Dies sind beispielsweise Pattern-Signaturen und Hashes, Exploitssignaturen, Schwachstellen und IP-Adressen. Auf deren Vorhandensein wird dann geprüft und auf diese Weise können Sicherheitsteams sicherheitskritische Vorfälle aufspüren. Allerdings erst im Nachhinein, denn dieses Vorgehen konzentriert sich allein auf die nachträgliche Analyse, nicht aber auf das vorzeitige Verhindern von bisher ungesehenen Angriffen.

Die gute Nachricht: Sicherheitstools der nächsten Generation ermöglichen es Sicherheitsteams, über die retrospektive Analyse hinauszugehen. Next generation Security ermöglicht es, die Absicht des Angreifers besser zu verstehen. Ist das Ziel des Hackers identifiziert, können Maßnahmen eingeleitet werden, um Angriffe im Vorfeld und bereits in der Entstehung eines Breach zu verhindern. So können Unternehmen ihren reaktiven Sicherheitsansatz in einen proaktiven umwandeln.

Proaktive Cybersicherheit mit Hilfe von Indicators of Attacks 

Ein proaktiver Security-Ansatz lässt sich mit Hilfe von Indicators of Attacks (IoAs) umsetzen. Diese helfen Sicherheitsteams, schnell zu identifizieren und zu verstehen, welche Schritte ein Angreifer gehen müsste, um sein Ziel zu erreichen. Verlässliche IoAs sind unter anderem Code-Ausführung, Persistenz-Mechanismen, getarnte Aktivitäten, Befehlskontrolle (Command & Control) und laterale Bewegung innerhalb eines Netzwerks. Der Hauptvorteil von IoAs besteht darin, dass sie es Sicherheitsteams ermöglichen, Gegner frühzeitig zu erkennen, auf sie zu reagieren und sie zu stoppen – noch bevor sie nachhaltig in die Netzwerke einer Organisation eindringen können.

Ein Indicator of Attack kann zum Beispiel eine Spearphishing-Kampagne sein. Diese beginnt normalerweise mit einer E-Mail, die den Empfänger dazu animiert, eine Datei zu öffnen, die im nächsten Schritt seinen Computer infiziert. Solch eine Kampagne dient Angreifern dazu, die Verteidigungsmechanismen der Zielorganisation zu untersuchen. Gelingt es dem Hacker auf diese Weise, Zugriff zu einem System zu erlangen, führt er im Hintergrund weitere Prozesse aus, versteckt Dateien oder Programme beispielsweise im Speicher oder auf der Festplatte und behält die Persistenz über den Neustart des Systems hinweg. Sicherheitsteams, die proaktiv verschiedene IoAs überwachen, sind in der Lage, einen oder mehrere dieser Schritte als versuchten Angriff zu enttarnen. Somit können sie den Gegner identifizieren, indem sie ableiten, was das Ziel der Maßnahmen ist. Dieses Beispiel zeigt ganz deutlich die Möglichkeiten, die IoAs mit sich bringen.

Eine Analogie aus der Praxis

In vielerlei Hinsicht kann ein Angriff auf Daten mit einem Bankraub verglichen werden: Der Angreifer muss die Sicherheitssysteme des Verteidigers (also der Organisation) überwinden, um sein Ziel zu erreichen – seien es sensible Daten oder Goldbarren. Wird eine Bank ausgeraubt, kommen die Behörden in der Regel erst nach der Tat und beginnen dann mit der Beweisaufnahme. Diese Indizien werden – genau wie IoCs – erst im Nachhinein entdeckt. Sie zeigen, dass es einen Angriff gab, aber das Geld ist bereits weg. Die Erkenntnisse der Beweisaufnahme können Organisationen nutzen und in ihre Sicherheitssysteme integrieren. So sind sie geschützt vor Angriffen, die dem gleichen Muster folgen. Ändert der Angreifer seine Taktik, könnte er jedoch wieder erfolgreich sein. Ähnlich ist es bei Cyberangriffen. Diese Analogie zeigt ganz deutlich die Schwachstellen von IoCs.

Hätte die Bank vorab analysiert, ob sie gegebenenfalls überwacht wird oder Akteure sich verdächtig verhalten, hätte sie einen möglichen Angriff voraussehen können. Ganz ähnlich funktioniert das Prinzip der IoAs.

IoAs in der Praxis

Während eines Cyberangriffs sind Spuren und Beweise vielleicht weniger offensichtlich als bei einem Bankraub, aber es gelten die gleichen Prinzipien. Wenn ein Sicherheitsteam IoCs wie einen MD5-Hash, eine C2-Domain oder eine fest programmierte IP-Adresse erkennt, kann es diese Indikatoren verwenden, um zukünftige Angriffe mit denselben Mustern zu verhindern. Da IoCs jedoch keine Konstante sind, besteht die Gefahr, dass Sicherheitsteams andere wichtige Aspekte, die Aufschluss über die sich stetig wandelnde Bedrohungslage geben, vernachlässigen. Die Analyse von IoCs ist folglich nur ein Bestandteil einer guten Cyberabwehr.

IoAs runden eine erfolgreiche Cyberabwehr ab, indem sie ihr eine proaktive Komponente hinzufügen. IoAs ermöglichen es Organisationen nämlich, verdächtiges Verhalten vorab zu identifizieren und schnell Gegenmaßnahmen einzuleiten, um einen Angriff zu vereiteln. Indem sie sich auf die Taktiken, Techniken und Verfahren von Angreifern konzentrieren, können Sicherheitsteams außerdem einordnen, wer der Gegner ist, welche Ziele er verfolgt und welche Motivation ihn antreibt. Diese Erkenntnisse heben die Sicherheit stetig auf ein neues Level und stellen sicher, dass der Schutz den Angreifern immer einen Schritt voraus ist.

Sascha Dubbel, Enterprise Sales Engineer
Sascha Dubbel
Enterprise Sales Engineer, CrowdStrike Deutschland GmbH
Sascha Dubbel ist Enterprise Sales Engineer bei CrowdStrike und zuständig für das Gebiet Deutschland, Österreich sowie die Schweiz. Seit mehr als 20 Jahren arbeitet er auf Lösungsanbieterseite im IT-Sicherheitsumfeld bei Unternehmen wie Secure Computing, McAfee oder Palo Alto Networks. Er hat ein breites Wissen in den Domänen der angewandten Sicherheit am Endpunkt, im Netzwerk und am Perimeter aufgebaut und die direkte Arbeit mit Unternehmen aus allen Marktbereichen haben sein Verständnis für die Anforderungen, Regularien und Herausforderungen von IT-Sicherheitsabteilungen geprägt. Des Weiteren bringt er sich in die Arbeit von IT-Sicherheitsverbänden ein.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!