Schnelle Schadensbegrenzung durch Incident Response

Wirft man einen Blick hinter die Kulissen der IT-Sicherheit, kommt einem unweigerlich die Geschichte vom Hasen und dem Igel in den Sinn. Cyberkriminelle und Security-Experten liefern sich ein regelrechtes Wettrennen mit immer neuen Angriffsvektoren und Abwehrstrategien. Warum es für IT-Teams im Fall der Fälle ums Ganze geht, liegt nicht selten an einer halbherzigen Planung in Sachen Incident Response.

Dabei entwickelt sich die Bedrohungslandschaft seit Monaten mit einer beispiellosen Geschwindigkeit. So stieg nicht nur die Anzahl der verübten Ransomware-Attacken und die Anzahl von nationalstaatlichen Angriffen, sondern auch die finanziell motivierte Cyberkriminalität: Denn das unbefugte Eindringen in fremde IT-Netze hat sich in den vergangenen Jahrzehnten vom Kavaliersdelikt zu einem einträglichen Geschäftsmodell entwickelt. Dabei haben es Unternehmen und Behörden überwiegend mit drei Arten von Cyberangriffen zu tun. Da sind einerseits politisch motivierte Aktivisten. Sie lehnen sich auf gegen die Unterdrückung in totalitären Staaten oder die vermeintlich restriktive Netzpolitik westlicher Regierungen.

Ihnen gegenüber steht die organisierte Kriminalität mit bestens vernetzten Erpresserbanden. Sie haben es in der Regel auf Lösegeld abgesehen. Für einen großen Teil der Schäden in deutschen Unternehmen (61,4 Millionen Euro in 2018, Quelle: statista) sorgt immer häufiger auch eine weitere Kategorie – Militär- und Wirtschaftsspionage im Auftrag staatlicher Organisationen wie Geheimdiensten. Allen gemein: perfide und ständig neue Angriffsmethoden, tiefgreifendes Netzwerk-Know-how und die Gewissheit, im Schutze der Anonymität unverhofft zuschlagen zu können.

Geschwindigkeit zählt

Eine Situation, der Unternehmen hierzulande vor allem mit Technik begegnen. So stiegen die Ausgaben im Bereich IT-Sicherheit 2019 einer Schätzung des Branchenverbands Bitkom zufolge im Vergleich zum Vorjahr um zehn Prozent auf eine Rekordsumme von 4,6 Milliarden Euro. Hier standen ‚must haves‘ wie Antiviren-Lösungen, Backup-Strategien, Firewalls und die Verwaltung von Berechtigungskonzepten ganz oben im Pflichtenheft. Wichtigstes Ziel der Investitionen: die Aufrechterhaltung des Geschäftsbetriebs durch Präventionsmaßnahmen gegen Ransomware, Malware, Denial-of-Service-Attacken, Crimeware, Crypto- oder Formjacking.

Anders sieht es in der Regel aus, wenn es um Notfallpläne in puncto Incident Response geht. Dabei handelt es sich um einen strategischen Maßnahmenkatalog, der unmittelbar dann zum Einsatz kommt, sobald ein Cyberangriff festgestellt wird oder eine Datenschutzverletzung bereits erfolgt ist. Sinn und Zweck der Erste-Hilfe-Maßnahme ist eine schnellstmögliche und richtige Reaktion auf individuelle Vorfälle, um den Schaden minimieren zu können. Incident Response umfasst darüber hinaus Methoden, Regeln und Best Practices zur Früherkennung von Angriffen, so dass es im Idealfall gar nicht erst zu einer Attacke kommen kann.

Der Hase und der Igel

Wie wichtig das Thema Incident Response ist, zeigt ein Rückblick auf die Entwicklungen im Bereich der IT-Sicherheit. Jahr für Jahr liefern sich Cyberkriminelle und Sicherheitsexperten einen Wettstreit mit immer neuen Angriffsmethoden und entsprechenden Abwehrmaßnahmen: Kaum, dass eine Schwachstelle in Bild 1: Angreifergeschwindigkeit nach Gruppierungen. Quelle: CrowdStrike Global Threat Report 2019 12 | IT SECURITY www.it-daily.net einem Teil der Systemlandschaft identifiziert und geschlossen werden konnte, droht bereits ein neuer Durchbruch durch eine andere Lücke im System. Befeuert wird diese Gefahr nicht zuletzt auch durch den Trend der digitalen Transformation mit Cloud-Computing, dem Internet of Things und mobilen Arbeitsformen. Damit entstehen laufend neue Einfallstore für Hacker.

Zu den häufigsten Angriffsmethoden der letzten Monate gehörten laut einer mehrmonatigen Untersuchung des Cybersicherheitsanbieters CrowdStrike so genannte Living-Off-The-Land-(LotL)-Attacken. Dabei werden die im Unternehmen verwendeten IT-Werkzeuge und legitimen IT-Prozesse für bösartige Zwecke missbraucht, nachdem ein Eindringen ins Kernsystem erfolgreich war. Das gilt beispielsweise für die Windows PowerShell: Angreifer nutzen das Microsoft-Framework, das von IT-Administratoren häufig zur Automatisierung und Konfiguration von Systemen verwendet wird, vermehrt als Backdoor.

Ähnliches gilt für die Verwendung von Werkzeugen wie BloodHound. Das Tool leistet IT-Profis wertvolle Dienste beim Monitoring von Benutzerrechten und der Erkennung von Sicherheitslücken – lässt sich allerdings auch dafür nutzen, eben diese Schwachstellen auszuspionieren. BloodHound ermöglicht einen Zugriff auf das Active Directory, das Herzstück des Netzwerks. So erhalten Cyberkriminelle Zugriff auf Dienste für die Identität, Authentifizierung und Autorisierung sowie Zertifikate und andere sicherheitskritische Dienste von Unternehmensnetzen. Um solche Attacken erkennen zu können, ist es essenziell, das Verhalten von Computer-Prozessen zu überwachen und zu korrelieren.

MacOS im Visier

Doch nicht nur Microsofts Betriebssystem war im vergangenen Jahr ein gefundenes Fressen für digitale Langfinger. Mit der Popularität von Betriebssystemen wie iOS und macOS ist nun auch die in der Vergangenheit weitgehend verschonte Apple-Welt zur Zielscheibe geworden. Eine ähnlich besorgniserregende Entwicklung nahmen Cloud-Infrastrukturen und Third-Party-Service-Provider. Dort sind Angreifer nach einer erfolgreichen Attacke in der Lage, den verursachten Schaden zu multiplizieren, weil Kompromittierungen sich bis auf Kundenebene auswirken können. Im Feld bereits mehrfach gesehen und arglistig ist folgende Methode: Angreifer untersuchen vor der Forderung nach Lösegeld zunächst die Backup-Strategie des Opfers. Ziel ist es, nicht nur Produktivsysteme, sondern auch deren Sicherungen zu verschlüsseln, um eine einfache Wiederherstellung durch den IT-Support zu sabotieren.

Die 1-10-60-Regel

All das zeigt: Ohne ein ausgeklügeltes Konzept für eine Incident Response verzichten Unternehmen auf einen immens wichtigen Teilbereich der IT-Sicherheit. Besondere Aufmerksamkeit gebührt dabei erfahrungsgemäß der Phase, bis ein Angriff überhaupt identifiziert wird. Hier empfiehlt CrowdStrike, die 1-10-60-Regel. Sie besagt, dass es eine Minute dauern darf, einen Angriff zu erkennen, zehn Minuten, um diesen zu untersuchen und maximal eine Stunde, um Maßnahmen zur direkten Abhilfe umzusetzen. Werte, von denen zahlreiche Unternehmen noch meilenweit entfernt sind, wie Untersuchungen des Cybersecurity-Unternehmens nahelegen. Demnach konnten Angreifer ihre Aktivitäten im vergangenen Jahr durchschnittlich 95 Tage lang verbergen und ungehindert agieren, bevor sie von IT-Sicherheitsteams aufgespürt werden konnten.

Fest steht, auch im laufenden Jahr wird die Cyberkriminalität IT-Verantwortliche in Atem halten. Insbesondere dann, wenn aufmerksamkeitsstarke Ereignisse, wie beispielsweise die Corona-Krise, und der damit einhergehende hohe Informationsbedarf der Öffentlichkeit von Cyber-Akteuren ausgenutzt werden, um gezielt Attacken durchzuführen. Folgende Sicherheitsmaßnahmen müssen greifen:

Multifaktor-Authentifizierung verwenden

Die Multifaktor-Authentifizierung hat sich als wichtige Maßnahme für alle öffentlich zugänglichen Mitarbeiterdienste und Portale erwiesen. Damit lässt sich ein unbefugter Zugriff auf Mitarbeiterdaten und die IT-Umgebung des Unternehmens in der Regel wirksam verhindern. Das gilt insbesondere dann, wenn bereits in der Vergangenheit Zugangsdaten von Mitarbeitern kompromittiert wurden.

Netzwerksegmentierung einführen

Ratsam ist es ferner, eine Segmentierung in Active-Directory-Umgebungen festzulegen, die nicht per se mit bestimmten Domänen oder Organisationseinheiten verbunden sind. Eine Trennung ermöglicht es, dass Domänen und Abteilungen einen kontrollierten und eingeschränkten Zugriff auf Konten erhalten. Hier hat sich auch der Einsatz eines gehärteten Systems mit Endpunkt- und netzwerkbasierter Überwachung bewährt. Dabei dient das gehärtete System als Zwischenglied oder „Sprungserver“ zwischen den einzelnen Segmenten und somit als kontrollierter Zugangspunkt zwischen Domänen. Ein so überwachtes und segmentiertes Netzwerk verkleinert die Angriffsfläche erheblich, weil es Eindringlingen und Malware gleichermaßen erschwert, sich in einer Umgebung ungehindert zu bewegen.

Moderne Malware-Prävention nutzen

Als unverzichtbar hat sich die Verwendung von Antimalwarelösungen herausgestellt. Die überwiegende Mehrheit von Unternehmen nutzt grundsätzlich bereits solche Lösungen. Organisationen sollten dennoch darauf achten, dass Werkzeuge für den Schutz von Endpunkten zwingend mit zeitgemäßen und wirksamen Funktionen ausgestattet sind. Dazu gehören neben dynamischen Echtzeitüberprüfungen und Schutz vor Exploits auch die Fähigkeiten des maschinellen Lernens. Machine-Learning-Modelle die auf Clients und Servern angewendet werden erlauben es, Schadcode zu identifizieren und zu stoppen, der sonst anhand von Signaturen nicht erkannt werden kann.

Schließlich sollten Unternehmen die Einführung spezieller Teams in Erwägung ziehen, die mit der Überwachung und Identifizierung von Ereignissen betraut werden. Für diese IT-Gruppen empfiehlt es sich zudem, Anwendungs-Whitelisten für kritische Systeme wie Dateiserver oder Domain-Controller zu testen und zu implementieren. Dazu eignet sich unter Windows die Anwendung AppLocker. Sie verhindert die Ausführung unbekannter und nicht vertrauenswürdiger Anwendungen und Skriptcodes. Mit Hilfe des Whitelisting lässt sich die Ausführung nicht autorisierter und böswilliger Anwendungen sperren, so dass potenzielle Angriffsvektoren nicht zum Einsatz kommen können.

Log-Analysen durchführen

Geht es um die Transparenz einer IT-Umgebung, so sollte die Protokollanalyse ganz oben auf der To-DoListe von IT-Verantwortlichen stehen. Die Aggregation und Analyse sicherheitsrelevanter Protokolle in einem Security-Incident-and-Event-Management-(SIEM)-Tool ermöglicht es Sicherheitsteams, ein ganzheitliches Bild von den Vorgängen in IT-Topologien zu erhalten. Das Prinzip: Durch das Sammeln, Korrelieren und Auswerten von Meldungen, Alarmen und Logfiles in Echtzeit werden Angriffe, außergewöhnliche Muster und gefährliche Abläufe sichtbar. SIEM unterstützt Geräte, Netzkomponenten, Anwendungen und Security-Systeme. Auf Basis der gewonnenen Erkenntnisse sind Unternehmen in der Lage, schnell und präzise auf Bedrohungen zu reagieren. Moderne SIEM-Tools umfassen in der Regel relativ zuverlässige und sofort einsetzbare Erkennungsregeln, die sich verfeinern lassen, wenn ein Sicherheitsteam neue Anwendungsfälle identifiziert.

End Point Detection & Response nutzen

EDR-Produkte zeichnen Systemaktivitäten und -ereignisse an Endgeräten und Servern auf und machen damit den Sicherheitsverantwortlichen die Aktivitäten sichtbar, die sie zur Aufdeckung von Vorfällen erkennen müssen und die ihnen sonst verborgen blieben. Moderne EDR Lösungen wie die CrowdStrike Falcon Platform bieten seinem Anwendern jedoch nicht nur ein hohes Maß an Sichtbarkeit, sondern vor allem Prävention und Automatisierung und versetzen Security Teams in die Lage strategische SecurityEntscheidungen zu treffen Cyber-Lauffeuer zu vermeiden statt diese einzudämmen und zu löschen.

Fazit

Jahr für Jahr investieren Unternehmen immer neue Rekordsummen in IT-Sicherheitstechnologien. Unabhängig davon bleiben die durch die Cyberkriminalität verursachten Schäden auf einem erschreckend hohen Niveau. Die Gründe dafür sind vielfältig: Neben neuen digitalen Technologien wie dem CloudComputing, Internet of Things und Mobility-Initiativen halten immer neue Angriffsmethoden die Sicherheitsexperten in Organisationen in Atem. Um im Wettrennen gegen Hacker dauerhaft die Nase vorn haben zu können, gilt es, die IT-Sicherheit unternehmensübergreifend zu betrachten. Dazu zählen neben proaktiven Maßnahmen und Werkzeugen vor allem auch Maßnahmen für den Incident Response, um den Schaden im Fall der Fälle minimieren zu können. Durch die vorsorgliche Vereinbarung eines Vertrages zur Incident Response, einem sogenannten Incident Retainer, mit einem geeigneten und erfahrenen Anbieter wie CrowdStrike sind Sie ideal auf den Fall der Fälle vorbereitet und verlieren keine wertvolle Zeit.