Anzeige

Hacker

Nach einem erfolgreichen Hack verbringen Cyberkriminelle - halten Sie sich fest - im Schnitt 56 Tage in ihrer Zielumgebung. Mitunter werden sie von der IT-Sicherheit erst nach Monaten oder Jahren entdeckt. Die “Dwell-time” zu verkürzen, also die Verweildauer in Netzwerk, ist für die meisten Sicherheitsteams ein massives Problem, weil diese bereits mit der Aufgabe überwältigt sind Angriffe abzuwehren. 

riffe abzuwehren. 

In Filmen werden Hacks oft als eine Art digitaler Bankraub dargestellt: Die Hacker durchbrechen die Schutzmechanismen ihres Ziels auf dramatische Weise und haben dann nur wenige Minuten, um die begehrten Daten zu stehlen, während die IT-Sicherheit verzweifelt versucht die Angreifer zu stoppen. Die Realität sieht ganz anders aus, denn tatsächlich machen es sich die Cyberkriminellen meist im Netzwerk gemütlich und verbringen dort mitunter Monate oder Jahre, bevor sie entdeckt werden. Wer so viel Zeit hat, kann natürlich sehr großen Schaden anrichten und die Verweildauer, auf Englisch „Dwell time“ genannt, ist bei der Analyse von erfolgreichen Hacks eine der wichtigsten Indikatoren, um festzustellen, wie schwerwiegend ein Angriff war. In vielen Fällen können bereits wenige Stunden Zugriff zu einer Kompromittierung erheblicher Datenmengen führen.

Angreifer verbringen vor ihrer Entdeckung 56 Tage in der Zielumgebung

In einem kürzlich erschienenen Bericht lag der globale Mittelwert der Dwell Time von Cyberkriminellen vor ihrer Entdeckung bei 56 Tagen. Dieser Wert war zwar deutlich besser als der des Vorjahres, als die Angreifer noch satte 78 Tage Zeit hatten, bevor sie entdeckt wurden. In einigen Fällen blieben Verstöße jedoch mehrere Jahre lang unentdeckt, was für alle Beteiligten schwerwiegende Folgen hatte. Einer der Gründe dafür, dass Angriffe so lange unentdeckt bleiben können, ist die zunehmende Ausdehnung der Netzwerke der meisten Organisationen. Je größer, verstreuter und unorganisierter solche Netzwerke werden, desto leichter fällt es Kriminellen, im Verborgenen zu bleiben.

Einmal angekommen, navigieren die Angreifer unentdeckt durch das Netzwerk und scannen und exfiltrieren dabei Daten. Für Unternehmen, die sensible Kunden- oder geheime Forschungsdaten vorhalten, ist es natürlich ein Albtraum sich vorzustellen, dass sich Angreifer Monate oder gar Jahre unerkannt im Netzwerk aufhalten können. Wie schwerwiegend solche lang andauernden Datenlecks für die betroffenen Unternehmen sind, belegen zahlreiche Beispiele.

Der Albtraum der IT-Sicherheit: Jahrelang unentdeckte Angreifer im Netzwerk

Es gibt unzählige Beispiele von Unternehmen, die Opfer von erfolgreichen Hacks wurden, deren Schäden in die Milliarden gingen. Der US-amerikanische Finanzdienstleister Equifax verlor nach Bekanntwerden eines großen Datenlecks 2017 beispielsweise 35 Prozent seines Börsenwerts, musste einen immensen Rufschaden hinnehmen und mehr als eine halbe Milliarde US-Dollar an Strafen bezahlen. Legendär, und in Sachen Verweildauer fast schon unerreicht, ist auch der Fall von Cathay Pacific aus dem Jahr 2018, bei dem 9,4 Millionen Passagierdaten kompromittiert wurden.

Cathay Pacific brauchte mehr als sechs Monate für die Untersuchung, die eine Reihe schockierender Enthüllungen aufdeckte: Der früheste bekannte Zeitpunkt des unbefugten Zugriffs auf das Netzwerk war fast vier Jahre alt, nämlich im Oktober 2014. Die Angreifer waren also ganze vier Jahre unentdeckt im Netzwerk! Und als wäre dies für Cathay Pacifics IT-Sicherheit nicht schon peinlich genug, war die Schwachstelle, über die die Angreifer eingedrungen waren, einfach auszunutzen und darüber hinaus sogar längst öffentlich bekannt.

Beide Fälle dienen als Warnungen dafür, was im schlimmsten Fall geschehen kann und als Beispiel, dass der Schaden begrenzt werden kann, wenn die Verletzung der IT-Sicherheit so früh wie möglich erkannt wird. Dabei hat sich längst die Erkenntnis breitgemacht, dass jedes Unternehmen angreifbar und es nur eine Frage der Zeit ist, bis eine Sicherheitsverletzung auftritt. Damit stellt sich die Frage, welche Lösungen und Fertigkeiten die IT-Sicherheit benötigt um diese böswilligen Aktivitäten so frühzeitig wie möglich erkennen zu können.

Fortschrittliche Verhaltensanalyse bietet ein viel besseres Frühwarnsystem

Offenbar ist es um die Fertigkeiten und eingesetzten Lösungen in vielen Unternehmen nicht gut bestellt, wenn Angreifer im Schnitt gut zwei Monate Zeit haben es sich in einer Zielumgebung bequem zu machen. Bei der Aufgabe, Angriffe entweder ganz zu verhindern oder die Verweildauer zu verkürzen, stehen viele Sicherheitsteams auf ziemlich verlorenem Posten. Denn viele gängige Sicherheitslösungen produzieren vor allem eines: Fehlalarme. Um die Flut von Alarmen manuell abzuarbeiten, müssen die Teams viel Zeit aufwenden. Dies lässt, wenn überhaupt, wenig Zeit sich mit dem noch längeren Prozess zu beschäftigen, Angreifer aufzuspüren, die es bereits ins Netzwerk geschafft haben, und diese zu beseitigen.

Eine Technologie, die deutliche effektiver ist als die manuelle Bewertung von Sicherheitswarnungen, ist die Verhaltensanalyse. Sie kann dabei helfen, verdächtige Benutzer- oder Netzwerkaktivitäten effektiver zu identifizieren. Lösungen zu Verhaltensanalyse nutzen bereits bestehende Logs für Sicherheitsvorfälle, was bedeutet, dass sie bereits den vollen Umfang und Kontext der zugehörigen Ereignisdetails kennen. Infolgedessen müssen Sicherheitsanalytiker nicht mehr eine große Anzahl von Ereignisprotokollen durchforsten, um von Hand Zeitleisten für Vorfälle zu erstellen. Durch den Wegfall dieses zeitaufwändigen Prozesses lassen sich potenzielle Sicherheitsverletzungen viel schneller erkennen, wodurch die Sicherheitsteams Angreifern schnell auf die Spur kommen und die Verweildauer der Angreifer praktisch eliminiert wird.

Fazit: Die Analyse des Verhaltens von Benutzern und Entities erkennt Bedrohungen früher

Moderne Datenschutzbestimmungen sind strenger denn je, was bedeutet, dass Unternehmen es sich einfach nicht mehr leisten können, in Sachen Datensicherheit selbstgefällig zu sein. Aber da die Netzwerke heute größer und verstreuter sind als je zuvor, ist es unrentabel geworden, sie mit traditionellen Sicherheitswerkzeugen und manueller Analyse zu schützen. Neue Technologien, wie z.B. die fortschrittliche Verhaltensanalyse, machen die zeitraubende Kleinarbeit, die ältere Tools erfordern, überflüssig, vermeiden Fehlalarme und helfen echte Bedrohungen viel früher zu erkennen.

Egon Kando, Regional Sales Director Central & Eastern Europe
Egon Kando
Regional Sales Director Central & Eastern Europe, Exabeam

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Team
Aug 15, 2020

Mehr Zusammenarbeit in Sachen Cybersecurity

Die Ereignisse der letzten Monate haben die CISOs und die IT- Sicherheitsteams unter…
Cyber Security
Aug 07, 2020

Wie (und warum) Unternehmen Cybersicherheits-Audits durchführen sollten

Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass…
Unsichtbarer Mann
Mär 28, 2019

Lange unentdeckte Eindringlinge in Firmennetzen

Unentdeckte Cyberangreifer, die sich bereits im Netzwerk eingenistet haben, stellen eine…

Weitere Artikel

Cyber Security

IT-Sicherheit im Pandemiejahr: Auf den richtigen Fokus kommt es an!

Vielen war es klar, jetzt ist es quantifiziert: Die Zahl der erfolgreichen Cyberattacken auf Unternehmen ist in diesem Jahr auf 78 Prozent und damit deutlich im Vergleich zu 2018, gestiegen. Das zeigt die aktuelle IDC-Studie zum Thema IT Sicherheit 2020. Im…
Authentifizierung

Airlock erweitert IAM um eigene Zwei-Faktor-Authentifizierung

Die Schweizer Sicherheitsplattform der Ergon Informatik AG, der Airlock Secure Access Hub, erhält das Update 7.3 für das Customer Identity and Access Management (IAM). Dieses implementiert eine integrierte Zwei-Faktor-Authentifizierung (2FA), um die…
Passwort-Eingabe

Passwort-Richtlinien - Schutz oder Risiko ?

Während sich das BSI von lang gehegten Passwortregeln wie der Angabe einer exakten Mindestlänge verabschiedet, stellen sich Unternehmen sowie Sicherheitsexperten die Frage: „Wann schaden Passwort-Richtlinien mehr als sie nützen?“ Wenn es um die sichere…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!