Proaktive Cyberabwehr: Den Hackern immer einen Schritt voraus

Unternehmen, die spezifisches Know-how besitzen, beziehungsweise mit sensiblen personenbezogenen Daten arbeiten, sehen sich mit einem hohen Risiko konfrontiert, Opfer eines Cyberangriffs zu werden. Der Global Risks Report 2019 des Weltwirtschaftsforums zählt Datendiebstahl und Cyberangriffe gar zu den fünf größten Risiken für Unternehmen, bezogen auf die Wahrscheinlichkeit, dass sie eintreffen. 

Wirklich sicher vor den immer professioneller vorgehenden Angreifern ist laut den Experten niemand, auch nicht große internationale Unternehmen mit ihren umfangreicheren Schutzmechanismen. Der Grund: Die hochprofessionellen Angreifer entwickeln ihre Taktiken und Strategien kontinuierlich weiter, um ihren Opfern immer einen Schritt voraus zu sein. Unternehmen merken deshalb häufig erst, dass sie kompromittiert wurden, wenn es schon zu spät ist und Angreifer ernsthaften Schaden anrichten konnten. Doch woran liegt das?

Anzeige

Klassische IT-Sicherheits-Tools, wie Anti-Virenprogramme benötigen ein konkretes Wissen über einen bestimmten Angriff. Dazu untersuchen sie Aktivitäten auf sogenannte Indicators of Compromise (IoCs). Dies sind beispielsweise Pattern-Signaturen und Hashes, Exploitssignaturen, Schwachstellen und IP-Adressen. Auf deren Vorhandensein wird dann geprüft und auf diese Weise können Sicherheitsteams sicherheitskritische Vorfälle aufspüren. Allerdings erst im Nachhinein, denn dieses Vorgehen konzentriert sich allein auf die nachträgliche Analyse, nicht aber auf das vorzeitige Verhindern von bisher ungesehenen Angriffen.

Die gute Nachricht: Sicherheitstools der nächsten Generation ermöglichen es Sicherheitsteams, über die retrospektive Analyse hinauszugehen. Next generation Security ermöglicht es, die Absicht des Angreifers besser zu verstehen. Ist das Ziel des Hackers identifiziert, können Maßnahmen eingeleitet werden, um Angriffe im Vorfeld und bereits in der Entstehung eines Breach zu verhindern. So können Unternehmen ihren reaktiven Sicherheitsansatz in einen proaktiven umwandeln.

Proaktive Cybersicherheit mit Hilfe von Indicators of Attacks 

Ein proaktiver Security-Ansatz lässt sich mit Hilfe von Indicators of Attacks (IoAs) umsetzen. Diese helfen Sicherheitsteams, schnell zu identifizieren und zu verstehen, welche Schritte ein Angreifer gehen müsste, um sein Ziel zu erreichen. Verlässliche IoAs sind unter anderem Code-Ausführung, Persistenz-Mechanismen, getarnte Aktivitäten, Befehlskontrolle (Command & Control) und laterale Bewegung innerhalb eines Netzwerks. Der Hauptvorteil von IoAs besteht darin, dass sie es Sicherheitsteams ermöglichen, Gegner frühzeitig zu erkennen, auf sie zu reagieren und sie zu stoppen – noch bevor sie nachhaltig in die Netzwerke einer Organisation eindringen können.

Ein Indicator of Attack kann zum Beispiel eine Spearphishing-Kampagne sein. Diese beginnt normalerweise mit einer E-Mail, die den Empfänger dazu animiert, eine Datei zu öffnen, die im nächsten Schritt seinen Computer infiziert. Solch eine Kampagne dient Angreifern dazu, die Verteidigungsmechanismen der Zielorganisation zu untersuchen. Gelingt es dem Hacker auf diese Weise, Zugriff zu einem System zu erlangen, führt er im Hintergrund weitere Prozesse aus, versteckt Dateien oder Programme beispielsweise im Speicher oder auf der Festplatte und behält die Persistenz über den Neustart des Systems hinweg. Sicherheitsteams, die proaktiv verschiedene IoAs überwachen, sind in der Lage, einen oder mehrere dieser Schritte als versuchten Angriff zu enttarnen. Somit können sie den Gegner identifizieren, indem sie ableiten, was das Ziel der Maßnahmen ist. Dieses Beispiel zeigt ganz deutlich die Möglichkeiten, die IoAs mit sich bringen.

Eine Analogie aus der Praxis

In vielerlei Hinsicht kann ein Angriff auf Daten mit einem Bankraub verglichen werden: Der Angreifer muss die Sicherheitssysteme des Verteidigers (also der Organisation) überwinden, um sein Ziel zu erreichen – seien es sensible Daten oder Goldbarren. Wird eine Bank ausgeraubt, kommen die Behörden in der Regel erst nach der Tat und beginnen dann mit der Beweisaufnahme. Diese Indizien werden – genau wie IoCs – erst im Nachhinein entdeckt. Sie zeigen, dass es einen Angriff gab, aber das Geld ist bereits weg. Die Erkenntnisse der Beweisaufnahme können Organisationen nutzen und in ihre Sicherheitssysteme integrieren. So sind sie geschützt vor Angriffen, die dem gleichen Muster folgen. Ändert der Angreifer seine Taktik, könnte er jedoch wieder erfolgreich sein. Ähnlich ist es bei Cyberangriffen. Diese Analogie zeigt ganz deutlich die Schwachstellen von IoCs.

Hätte die Bank vorab analysiert, ob sie gegebenenfalls überwacht wird oder Akteure sich verdächtig verhalten, hätte sie einen möglichen Angriff voraussehen können. Ganz ähnlich funktioniert das Prinzip der IoAs.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

IoAs in der Praxis

Während eines Cyberangriffs sind Spuren und Beweise vielleicht weniger offensichtlich als bei einem Bankraub, aber es gelten die gleichen Prinzipien. Wenn ein Sicherheitsteam IoCs wie einen MD5-Hash, eine C2-Domain oder eine fest programmierte IP-Adresse erkennt, kann es diese Indikatoren verwenden, um zukünftige Angriffe mit denselben Mustern zu verhindern. Da IoCs jedoch keine Konstante sind, besteht die Gefahr, dass Sicherheitsteams andere wichtige Aspekte, die Aufschluss über die sich stetig wandelnde Bedrohungslage geben, vernachlässigen. Die Analyse von IoCs ist folglich nur ein Bestandteil einer guten Cyberabwehr.

IoAs runden eine erfolgreiche Cyberabwehr ab, indem sie ihr eine proaktive Komponente hinzufügen. IoAs ermöglichen es Organisationen nämlich, verdächtiges Verhalten vorab zu identifizieren und schnell Gegenmaßnahmen einzuleiten, um einen Angriff zu vereiteln. Indem sie sich auf die Taktiken, Techniken und Verfahren von Angreifern konzentrieren, können Sicherheitsteams außerdem einordnen, wer der Gegner ist, welche Ziele er verfolgt und welche Motivation ihn antreibt. Diese Erkenntnisse heben die Sicherheit stetig auf ein neues Level und stellen sicher, dass der Schutz den Angreifern immer einen Schritt voraus ist.

Dubbel Sascha

CrowdStrike Deutschland GmbH -

Enterprise Sales Engineer

Sascha Dubbel ist Enterprise Sales Engineer bei CrowdStrike und zuständig für das Gebiet Deutschland, Österreich sowie die Schweiz. Seit mehr als 20 Jahren arbeitet er auf Lösungsanbieterseite im IT-Sicherheitsumfeld bei Unternehmen wie Secure Computing, McAfee oder Palo Alto Networks. Er hat ein breites Wissen in den Domänen der angewandten
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.