Anzeige

Cyber Security

Der Fall Acer hat gezeigt, dass neue Business-Modelle für Kriminelle, wie Ransomware-as-a-Service (RaaS), zunehmend an Popularität gewinnen. Ein Kommentar von Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient.

Der Computerhersteller wurde Opfer eines RaaS-Angriffes, wobei die Angreifer die Verschlüsselungs-Software REvil, welche der Gruppierung Gold Southfield zugeschrieben wird, zusammen mit der benötigten Infrastruktur gemietet und damit einen erfolgreichen Angriff durchgeführt haben. Laut Medienberichten liegt die Lösegeldforderung der Erpresser bei 50 Millionen Dollar und stellt damit eine neue Rekordsumme dar. In Anbetracht dieser Tatsache stellen sich immer mehr Unternehmen die Frage, wie sie sich vor derartigen Angriffen schützen können. Die Antwort darauf muss lauten: mehr Proaktivität in der IT-Sicherheit.

Aktion statt Reaktion

Neben der Tatsache, dass gemietete Schadsoftware für Kriminelle äußerst attraktiv ist, da der Aufwand für Entwicklung und Infrastruktur wegfällt, spiegelt dieser Fall die generelle Situation im IT-Sicherheitsbereich wider: Unternehmen agieren nicht proaktiv, sondern reagieren und der Fokus liegt auf Schutz- und Erkennungstechnologien. Man versucht den Angriff als erstes abzuwehren – hierbei kommen Technologien wie Firewalls, E-Mail- und Webgateway-Protection oder Antivirensoftware ins Spiel. Gelingt dies nicht, vertraut man im zweiten Schritt auf Erkennungstechnologien wie Log-, Prozess- und Netzwerk-Analyse.

Wenn diese Technologien allerdings anschlagen, ist es meistens schon zu spät und der Angreifer bzw. die Schadsoftware befindet sich bereits im eigenen Netzwerk. Angreifer wissen dies und versuchen mit immer ausgefeilteren Methoden und immer komplexer werdenden Schadcodes Schutztechnologien zu umgehen sowie unter dem Radar von Erkennungstechnologien zu bleiben. Die kontinuierlich komplexer werdenden Netzwerke und die damit verbundenen neuen Angriffsvektoren führen dazu, dass die Zahl der Unternehmen, die ins Visier geraten, stetig wächst. Es ist an der Zeit, den Spieß umzudrehen und die Angreifer ins Visier zu nehmen oder besser gesagt Informationen über sie zu sammeln und sich auf einen Angriff vorzubereiten.

Threat Intelligence: Schutz durch Information

Nachrichtendienste in aller Welt praktizieren dies bereits seit Jahrzehnten: Über verschiedene Informationskanäle werden Informationen über potentielle Angreifer wie z.B. terroristische Vereinigungen gesammelt. Sobald eine Gruppe als gefährlich eingestuft wurde, wird diese sehr genau analysiert und es werden tiefergehende Informationen über Aufbau, Hintergrund, Motivation, Taktiken oder sogar geplante Angriffe gesammelt und ausgewertet. Kommt man zur Erkenntnis, dass eine unmittelbare Gefahr z.B. durch einen Terroranschlag droht, werden diese Informationen an weitere Organe wie Militär oder Polizei weitergegeben, welche dann durch die bereits erlangten Erkenntnisse geeignete Maßnahmen einleiten und den Anschlag verhindern können.

In der Cybersicherheit existiert ein ähnliches Konzept: Mithilfe von Bedrohungsinformationen, so genannter „Threat Intelligence“, ist es möglich, Angriffe nicht nur reaktiv, sondern auch proaktiv abzuwehren. Hierzu müssen zunächst, wie in der physikalischen Welt, möglichst viele Informationen über derzeitige Cyberangriffe aus verschiedenen Quellen gesammelt werden, damit die Sicherheitsverantwortlichen ein Verständnis für die allgemeine Bedrohungslage entwickeln können. Diese Informationen müssen operative (Indicators of Compromise, kurz: IOC, wie IP-Adressen, Hash-Werte, URLs etc.), taktische (Vorgehensweise der Angreifer) sowie strategische (Herkunft, Motivation) Erkenntnisse beinhalten.

Die erste Frage, die sich Unternehmen stellen müssen, ist: Bin ich aufgrund meiner Größe, Branche, Region oder dem Aufbau meines Netzwerkes grundsätzlich ein potenzielles Ziel für einen bestimmten Angriff, bzw. wurde ein ähnliches Unternehmen bereits erfolgreich angegriffen? Sollte man zur Erkenntnis kommen, dass die REvil Schadsoftware für die eigene Organisation gefährlich sein könnte, werden nach der Sammlung der allgemeinen Informationen die für REvil relevanten herausgefiltert und tagesaktuell angezeigt. Hierdurch erhält das Security-Team des eigenen Unternehmens alle Informationen und es können automatische (das Blockieren von bestimmten IPs oder Hash-Werten) oder manuelle Maßnahmen (das Schließen von Ports, Patchen von Systemen etc.) eingeleitet werden, noch bevor der Angreifer einen überhaupt ins Visier genommen hat.

Fazit

Der Bereich Security Operations verlässt sich seit Jahrzehnten auf die Säulen Schutz und Erkennung. Die neue Säule „Intelligence“ ermöglicht es Unternehmen vorausschauend zu agieren, indem gewonnene Informationen über Cyber-Angriffe im Vorfeld in Technologien und Prozesse einfließen können. Unternehmen können diese Informationen nutzen, um einen besseren Schutz zu gewährleisten, da als schädlich bekannte IoCs automatisch geblockt werden oder ausgenutzte Schwachstellen im Vorfeld beseitigt werden.

Markus Auer, Regional Sales Manager Central Europe
Markus Auer
Regional Sales Manager Central Europe, ThreatQuotient

Artikel zu diesem Thema

Cyber-Attacke
Mär 14, 2021

Kommissar Threat Hunter - Prävention und Abwehr von Cyber-Attacken

Keine Cyber-Security kann jeden Angriff abwehren und jede Lücke schließen. Dabei setzen…
Künstliche Intelligenz
Okt 09, 2020

KI ist nicht die Killer-Applikation bei Threat Intelligence

An der Nutzung von Künstlicher Intelligenz führt auch beim Thema Cyber-Security kein Weg…
Security Operations Center (SOC)
Mai 22, 2020

Fortschrittlicher Schutz mit Security Operations Center

Ein Security Operations Center (SOC) dient Cyber-Security-Experten als Leitstelle, in der…

Weitere Artikel

Cyber Security

Cybersecurity muss Prävention und Detektion ausbalancieren

In ihrer bisherigen Historie konzentrierten sich Cybersicherheitsprodukte hauptsächlich darauf, bösartigen Code daran zu hindern, auf Computer zu gelangen und diesen auszuführen. Joe Levy, CTO bei Sophos erjklärt, warum wir Unvollkommenheit nicht mit…
Cyber-Versicherung

Cyber-Versicherungen erleben einen Aufschwung - die Prämien auch

Unternehmen stehen heute mehr denn je unter Druck, ausreichend gegen Angriffe von außen geschützt zu sein. Regelmäßig werden Hacker-Angriffe auf Unternehmen publik – und diese sind nur die Spitze des Eisbergs.
Cyber Security

Microsoft native Security Lösungen optimal nutzen

Mit der Zunahme an Security Tools steigt die Komplexität für Administratoren und Sicherheitsverantwortliche. Sicherheitsrichtlinien, Profile und Berechtigungen müssen verwaltet werden. Anders gesagt: Je mehr Tools, Endgeräte und User desto komplexer wird…
2022 Security

Cybersicherheit 2022: Worauf sich Unternehmen einstellen müssen

Das Jahr 2021 war gespickt mit vielen öffentlich wirksamen Cyberangriffen auf Unternehmen und Behörden. Es hat sich gezeigt, dass die Zielgerichtetheit und Rafinesse der Attacken deutlich zugenommen hat. Besonders prominent waren dabei vor allem zahlreiche…
Social Engineering

Social Engineering-Attacken stoppen mit Verhaltensbiometrie

Kein Sicherheitsfaktor ist so kritisch, wie der Mensch selbst. Das BSI stellt in seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland 2021 zu Recht fest, dass der Mensch ein oft unterschätztes Sicherheitsrisiko als Einfallstor für Cyberangriffe…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.