Anzeige

Cyberangriff - Virus Detected

Malware, Ransomware oder Phishing: Unternehmen sind zunehmend von Angriffen bedroht, die Schadsoftware einschleusen, um Informationen und Intellectual Property abzugreifen. Vulnerability Management oder Penetrations-Test reichen als traditionelle Sicherheitsmaßnahmen nicht mehr aus, da sie nur bekannte Bedrohungen aufdecken, aber keine Angriffe erkennen können.

Hier kann Compromise Assessment ein wertvolle Technik sein, um das Maturity Level der IT-Security zu erhöhen.

Die Angriffsversuche auf Unternehmen werden immer ausgeklügelter: Advanced Persistant Threats (APT) setzen keine Standardtools ein, die ein IPS (Intrusion Prevention System) oder IDS (Intrusion Detection System) erkennt, sondern eigene Tools mit unbekannten Signaturen. Ziel dabei: sich in die Infrastruktur des Opfers einzunisten und sich Hintertüren offen zu halten. Dafür werden Konfigurationen in der Registry hinterlegt oder ein Service installiert, der regelmäßig ausgeführt wird.

Traditionelle Schutzmaßnahmen wie das teilautomatisierte Vulnerability Management oder Penetrations-Tests sind in Unternehmen häufig genutzte IT-Sicherheits-Features gegen Cyberangriffe. Sie decken mögliche Angriffsvektoren auf, zeigen, ob diese in der Infrastruktur ausgenutzt werden können und welche Folgen sie haben: Welche Rechte kann ein Eindringling erlangen und wie schwer wiegen die Sicherheitslücken? 

Die Ergebnisse basieren beim Vulnerability Management überwiegend auf den Datenbeständen und beim Penetrations-Test auf dem Fachwissen der Tester. Mangelt es in beiden Fällen an der Qualität, können die Ursachen von Angriffen nicht ermittelt werden. Darin liegt die größte Schwäche beider Maßnahmen. Bei Penetrations-Tests liegen weitere Herausforderungen in der festgelegten Scope von Systemen und in den Berechtigungen: Diese bestimmen, wie weit ein Tester gehen darf, ohne zusätzlich Schäden an Systemen zu hinterlassen. Denn Penetrations-Tests sind invasiv und greifen in die Systeme ein - da es zu Ausfällen und Mehrkosten kommen kann, sind sie mit hohen Risiken verbunden. Dennoch stellen sie nur Momentaufnahmen von der Sicherheit des Systems und der Konfiguration zum Testzeitpunkt dar.

Im Vulnerability Management zeigen hochgeladene CVE-Daten auf Basis der Softwarepakete, die im Unternehmen zum Einsatz kommen, ob Schwachstellen vorhanden sind. Oft ist hier auch das Patch-Management aufgehängt: Sicherheitslücken werden mit neuen Software-Versionen geschlossen.

Schwachstellen traditioneller Security-Maßnahmen

Beide Methoden zeigen nicht auf, ob vorhandene Schwachstellen bereits ausgenutzt wurden. Angriffe werden oft nur erkannt, wenn sich die Systeme anders als gewohnt verhalten. Eine Schwachstelle, die von diesen traditionellen Schutzmaßnahmen ebenfalls oft übersehen wird, sind Zero-Day-Lücken: unbekannte Sicherheitslücken, die neu entdeckt wurden und deswegen von einem Angreifer ausgenutzt werden können, um erheblichen Schaden anzurichten. Herkömmliche Maßnahmen erkennen diese Lücken nicht, da sie nur auf bekannte abzielen. Auch einfache Konfigurationsfehler können von den traditionellen Maßnahmen übersehen werden – für einen Angreifer sind sie dagegen offensichtlich. Dabei handelt es sich oft um zu großzügige Berechtigungsvergaben: Im Active Directory von Windows finden sich häufig Accounts und sogar Gruppen mit diversen Berechtigungen und schlechten Passwörtern. Im Ernstfall können diese leicht ausgenutzt und die komplette Infrastruktur kompromittiert werden. Best Practice ist, Usern so wenig Rechte wie möglich einzuräumen, doch gerade in kleineren Unternehmen mit wenig Manpower in der IT ist das nicht immer der Fall. Mitarbeiter ersetzen sich gegenseitig und benötigen dafür umfangreiche Rechte. Die Konfigurationen sind per se so ausgerichtet, dass die Systeme laufen und die tägliche Arbeit verrichtet werden kann. Der Fokus auf die Sicherheit fehlt.

Kommen nur traditionelle oder präventive Maßnahmen zum Einsatz, ist das Maturity-Level der IT-Security-Infrastruktur meist nicht ausreichend, um Angriffe und akute Bedrohungen zu erkennen, zu reagieren und damit fortlaufende Schädigungen jeglicher Art zu vermeiden: Systemausfälle kosten in der Regel viel Geld und müssen auf ein Minimum reduziert werden.


Artikel zu diesem Thema

Bergtour
Mai 26, 2020

Die Tour auf den „Vulnerability Management Mountain“

Vulnerability Management (VM) ist einer der kritischsten Cybersicherheitsprozesse, mit…
Security Netz
Mai 12, 2020

Netzwächter

Angreifer dringen heute über ganz unterschiedliche Wege in Netzwerke ein. Doch egal ob…
Mai 28, 2019

Threat Hunting: Methoden und Möglichkeiten

Jedes Unternehmen sieht sich heute gezwungen, Cyberrisiken anders als bisher zu begegnen.…

Weitere Artikel

Endpoint Security

Warum Endpoint-Schutz auch bei Offline-Systemen notwendig ist

In Teilen der IT-Welt dominiert die Meinung, dass einige Systeme keinen Endpoint-Schutz benötigen. Diese Einschätzung ist häufig für solche Geräte anzutreffen, die isoliert und nicht mit dem Internet verbunden sind oder keine wichtigen Daten oder Programme…
Produktion

IT-Security - Digitalisierung - Mobile Office – für jede Branche die richtige Lösung für den Netzwerkschutz

Der Wandel der Arbeitswelt, der sich durch mobiles Arbeiten sowie in der fortschreitenden Digitalisierung, dem Internet of Things sowie dem Auslagern verschiedener Dienste in die Cloud immer weiter beschleunigt, sind Gründe dafür, dass Unternehmen in Bezug…
Cloud Identity

Cloud-Identitäten - ungenutzt und ungeschützt

Knapp die Hälfte aller Cloud-Identitäten werden nicht mehr genutzt – und stellen so ein enormes Risiko für die Datensicherheit von Unternehmen dar. Dies ist eines der Ergebnisse des 2021 SaaS Risk Report des Cloud Research Teams von Varonis Systems.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.