Anzeige

Cyberangriff - Virus Detected

Compromise Assessment für ein besseres Security-Maturity-Level

Traditionelle Maßnahmen können mit sinnvollen Features ergänzt werden: Compromise Assessment zum Beispiel ist speziell darauf ausgelegt, Spuren von Angriffen zu finden, die sogenannten IOCs – Indicators of Compromise. Durch die Analyse und Bewertung dieser Indikatoren können zum einen kompromittierte Systeme erkannt werden und zum anderen die zugrunde liegenden Schwachstellen entdeckt und klare Handlungsempfehlungen zur Behebung der Schwachstellen abgeleitet werden. In Form einer Remediationsphase werden die Ursachen behoben und der gewünschte Soll-Zustand hergestellt, um laufende Angriffe zu beenden und künftige zu verhindern.

Compromise Assessment ist dabei keine präventive Disziplin in der IT-Security, sondern eine bewertende. Sie betrachtet nicht nur einen Teil, sondern die gesamte Infrastruktur und ermöglicht auch einen Blick in die Vergangenheit. Es handelt sich um eine ressourcenschonende und akkurate Methode um Angriffe, welche trotz präventiver Maßnahmen oftmals erfolgreich sind, schnell zu erkennen und etwaigen Schaden zu minimieren. Es hat sich gezeigt, dass mit Compromise Assessment das Sicherheitslevel stark erhöht werden kann: Studien verschiedener Unternehmen und Institute belegen, dass es in der Regel 2-3 Monate dauert, bis ein Angriff überhaupt entdeckt wird. Somit hat ein Angreifer mehrere Monate Zeit, sein eigentliches Ziel zu erreichen. Der mögliche Schaden, der dabei entsteht, wird mit jedem Tag, an welchem der Angreifer unentdeckt bleibt, größer. Mit Compromise Assessment kann die Zeit zur Erkennung eines erfolgreichen Angriffs im besten Fall auf wenige Tage reduziert werden.

Mit forensischen Methoden den Angreifern auf der Spur

Compromise Assessment nutzt forensische Methoden und Tools, um Spuren von Angriffen zu finden: Es kommt in der Regel ein Agent auf dem Endsystem zum Einsatz, der einen Scan startet, überwacht und die Ergebnisse an ein zentrales System übermittelt. Auf dem Endsystem wird mit forensischer Gründlichkeit gezielt nach Angriffsspuren (IOCs – Indicators of Compromise) gesucht: Betrachtet werden zum Beispiel flüchtige und nicht-flüchtige Daten auf einem System, Konfigurationen, Anmeldungen, Nutzerinteraktionen oder Software, die installiert, ausgeführt oder heruntergeladen wurde. Die Indikatoren eines Angriffs beruhen dabei auf  forensischen Artefakten, welche ein Angreifer zwangsläufig hinterlässt.

Allein in Windows gibt es rund 200 dieser Artefakte, Hinterlassenschaften von Angreifern wie Tools in typischen Verzeichnissen oder Konfigurationsschlüssel. Es kann sich auch um ungewöhnliche Netzwerkverbindungen zu verdächtigen Servern, IP-Adressen und Ports handeln oder um Logdateien, die während des Betriebes erzeugt werden, also Interaktionen, Anmeldungen und Prozessstarts. Sie alle werden für die Auswertung herangezogen.

Das Scannen nach Angriffsspuren (IOCs – Indicators of Compromise)  und die Analyse können auch auf wiederkehrender Basis erfolgen. Dies hat den Vorteil, dass nicht nur eine Momentaufnahme entsteht, sondern fortlaufend nach neuen unbekannten Angriffsspuren gesucht wird und ein Angreifer im Idealfall innerhalb kurzer Zeit sehr zuverlässig entdeckt wird. Hierfür steht beispielweise der Service „Continuous Compromise Assessment“ zur Verfügung. Hierbei wird ein initialer Scan inklusive Auswertung durchgeführt, um eine erste Einschätzung über die generelle Lage beim Kunden zu erhalten. Dies ist meist recht aufwendig, da gegebenenfalls Millionen forensischer Artefakte untersucht werden müssen. Außerdem benötigen entsprechende Tools hierfür mehrere Tage. Im Anschluss daran finden regelmäßig weitere Scans und Auswertungen statt, bei welchen nur noch die Änderungen an den für einen Angreifer verräterischen Artefakten analysiert werden müssen. Dies ist bedeutend einfacher und geht somit auch bedeutend schneller.

Fazit

Compromise Assessment stellt ein wertvolles Instrument dar, das die Tools der IT-Security sinnvoll erweitern und ihr Maturity-Level erhöhen kann: Mit Compromise Assessment können die Spuren von Cyber Angriffen entdeckt und im Idealfall hoher Schaden verhindert werden.

Autoren: Christoph Lemke, Security Consultant SECUINFRA und Ramon Weil, Gründer und Geschäftsführer SECUINFRA

www.secuinfra.com/de
 


Artikel zu diesem Thema

Bergtour
Mai 26, 2020

Die Tour auf den „Vulnerability Management Mountain“

Vulnerability Management (VM) ist einer der kritischsten Cybersicherheitsprozesse, mit…
Security Netz
Mai 12, 2020

Netzwächter

Angreifer dringen heute über ganz unterschiedliche Wege in Netzwerke ein. Doch egal ob…
Mai 28, 2019

Threat Hunting: Methoden und Möglichkeiten

Jedes Unternehmen sieht sich heute gezwungen, Cyberrisiken anders als bisher zu begegnen.…

Weitere Artikel

Cyber Security Schild

Die menschliche Firewall stärken

Zum Anlass des Tages der Computersicherheit am 30. November ein Kommentar Rainer Seidlitz, Leiter Produkt-Management Safety & Security, TÜV SÜD Akademie GmbH.
Cyber Security

Cyber-Sicherheit 2021 bis 2025 – „Große Chance verpasst!”

CyberDirekt, eine digitale Vertriebsplattform für Cyber-Versicherungen, zieht anlässlich der Vorstellung des Koalitionsvertrags der zukünftigen Regierungsparteien SPD, Bündnis90/Die Grünen und FDP ein ernüchterndes Fazit. Die deutsche Wirtschaft, Garant für…
Cyber Security

US-Regierung sollte bei Privatwirtschafts-Schutz größere Rolle spielen

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner aktuellen Umfrage vor. Darin wurden die Maßnahmen der US-Bundesregierung zur Verbesserung der Cybersicherheit im Jahr 2021 evaluiert.
Zero Trust

Du kommst hier nicht rein! Das Prinzip ZERO Trust für größtmögliche IT-Sicherheit

Mit dem Prinzip von Zero Trust erreichen Unternehmen ein Sicherheitslevel, das mit klassischen Berechtigungen und Policies in zunehmend verteilten IT-Umgebungen kaum zu erreichen ist.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.