Anzeige

Cyber Security

Der Fall Acer hat gezeigt, dass neue Business-Modelle für Kriminelle, wie Ransomware-as-a-Service (RaaS), zunehmend an Popularität gewinnen. Ein Kommentar von Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient.

Der Computerhersteller wurde Opfer eines RaaS-Angriffes, wobei die Angreifer die Verschlüsselungs-Software REvil, welche der Gruppierung Gold Southfield zugeschrieben wird, zusammen mit der benötigten Infrastruktur gemietet und damit einen erfolgreichen Angriff durchgeführt haben. Laut Medienberichten liegt die Lösegeldforderung der Erpresser bei 50 Millionen Dollar und stellt damit eine neue Rekordsumme dar. In Anbetracht dieser Tatsache stellen sich immer mehr Unternehmen die Frage, wie sie sich vor derartigen Angriffen schützen können. Die Antwort darauf muss lauten: mehr Proaktivität in der IT-Sicherheit.

Aktion statt Reaktion

Neben der Tatsache, dass gemietete Schadsoftware für Kriminelle äußerst attraktiv ist, da der Aufwand für Entwicklung und Infrastruktur wegfällt, spiegelt dieser Fall die generelle Situation im IT-Sicherheitsbereich wider: Unternehmen agieren nicht proaktiv, sondern reagieren und der Fokus liegt auf Schutz- und Erkennungstechnologien. Man versucht den Angriff als erstes abzuwehren – hierbei kommen Technologien wie Firewalls, E-Mail- und Webgateway-Protection oder Antivirensoftware ins Spiel. Gelingt dies nicht, vertraut man im zweiten Schritt auf Erkennungstechnologien wie Log-, Prozess- und Netzwerk-Analyse.

Wenn diese Technologien allerdings anschlagen, ist es meistens schon zu spät und der Angreifer bzw. die Schadsoftware befindet sich bereits im eigenen Netzwerk. Angreifer wissen dies und versuchen mit immer ausgefeilteren Methoden und immer komplexer werdenden Schadcodes Schutztechnologien zu umgehen sowie unter dem Radar von Erkennungstechnologien zu bleiben. Die kontinuierlich komplexer werdenden Netzwerke und die damit verbundenen neuen Angriffsvektoren führen dazu, dass die Zahl der Unternehmen, die ins Visier geraten, stetig wächst. Es ist an der Zeit, den Spieß umzudrehen und die Angreifer ins Visier zu nehmen oder besser gesagt Informationen über sie zu sammeln und sich auf einen Angriff vorzubereiten.

Threat Intelligence: Schutz durch Information

Nachrichtendienste in aller Welt praktizieren dies bereits seit Jahrzehnten: Über verschiedene Informationskanäle werden Informationen über potentielle Angreifer wie z.B. terroristische Vereinigungen gesammelt. Sobald eine Gruppe als gefährlich eingestuft wurde, wird diese sehr genau analysiert und es werden tiefergehende Informationen über Aufbau, Hintergrund, Motivation, Taktiken oder sogar geplante Angriffe gesammelt und ausgewertet. Kommt man zur Erkenntnis, dass eine unmittelbare Gefahr z.B. durch einen Terroranschlag droht, werden diese Informationen an weitere Organe wie Militär oder Polizei weitergegeben, welche dann durch die bereits erlangten Erkenntnisse geeignete Maßnahmen einleiten und den Anschlag verhindern können.

In der Cybersicherheit existiert ein ähnliches Konzept: Mithilfe von Bedrohungsinformationen, so genannter „Threat Intelligence“, ist es möglich, Angriffe nicht nur reaktiv, sondern auch proaktiv abzuwehren. Hierzu müssen zunächst, wie in der physikalischen Welt, möglichst viele Informationen über derzeitige Cyberangriffe aus verschiedenen Quellen gesammelt werden, damit die Sicherheitsverantwortlichen ein Verständnis für die allgemeine Bedrohungslage entwickeln können. Diese Informationen müssen operative (Indicators of Compromise, kurz: IOC, wie IP-Adressen, Hash-Werte, URLs etc.), taktische (Vorgehensweise der Angreifer) sowie strategische (Herkunft, Motivation) Erkenntnisse beinhalten.

Die erste Frage, die sich Unternehmen stellen müssen, ist: Bin ich aufgrund meiner Größe, Branche, Region oder dem Aufbau meines Netzwerkes grundsätzlich ein potenzielles Ziel für einen bestimmten Angriff, bzw. wurde ein ähnliches Unternehmen bereits erfolgreich angegriffen? Sollte man zur Erkenntnis kommen, dass die REvil Schadsoftware für die eigene Organisation gefährlich sein könnte, werden nach der Sammlung der allgemeinen Informationen die für REvil relevanten herausgefiltert und tagesaktuell angezeigt. Hierdurch erhält das Security-Team des eigenen Unternehmens alle Informationen und es können automatische (das Blockieren von bestimmten IPs oder Hash-Werten) oder manuelle Maßnahmen (das Schließen von Ports, Patchen von Systemen etc.) eingeleitet werden, noch bevor der Angreifer einen überhaupt ins Visier genommen hat.

Fazit

Der Bereich Security Operations verlässt sich seit Jahrzehnten auf die Säulen Schutz und Erkennung. Die neue Säule „Intelligence“ ermöglicht es Unternehmen vorausschauend zu agieren, indem gewonnene Informationen über Cyber-Angriffe im Vorfeld in Technologien und Prozesse einfließen können. Unternehmen können diese Informationen nutzen, um einen besseren Schutz zu gewährleisten, da als schädlich bekannte IoCs automatisch geblockt werden oder ausgenutzte Schwachstellen im Vorfeld beseitigt werden.

Markus Auer, Regional Sales Manager Central Europe
Markus Auer
Regional Sales Manager Central Europe, ThreatQuotient

Artikel zu diesem Thema

Cyber-Attacke
Mär 14, 2021

Kommissar Threat Hunter - Prävention und Abwehr von Cyber-Attacken

Keine Cyber-Security kann jeden Angriff abwehren und jede Lücke schließen. Dabei setzen…
Künstliche Intelligenz
Okt 09, 2020

KI ist nicht die Killer-Applikation bei Threat Intelligence

An der Nutzung von Künstlicher Intelligenz führt auch beim Thema Cyber-Security kein Weg…
Security Operations Center (SOC)
Mai 22, 2020

Fortschrittlicher Schutz mit Security Operations Center

Ein Security Operations Center (SOC) dient Cyber-Security-Experten als Leitstelle, in der…

Weitere Artikel

Identity Security

„Leaver“ eine der größten Gefahren für die IT-Sicherheit von deutschen Unternehmen

SailPoint, Anbieter aus dem Bereich Identity Security, stellt heute die Ergebnisse seiner Studie „Herausforderungen und Chancen beim Einsatz von Identity Security - der Leaver als Gefahrenquelle“ vor. Die Erhebung entstand in Kooperation mit demAnalystenhaus…
Internetsicherheit

Status Quo Internetsicherheit 2021

Wir leben in einer Zeit, da die Schlagzeilen suggerieren, dass alles immer nur schlimmer und bedrohlicher geworden ist. Das gilt auch für die Sicherheit der Internetnutzer:innen. Ich bin überzeugt, dass hier schon vieles erreicht wurde. Hier ein Rückblick auf…
Backup

Nachholbedarf bei Backups als Vorsorge für Ransomware-Angriffe

Rubrik hat die Ergebnisse seiner Studie „Immutable back-ups: Separating hype from reality“ bekannt gegeben. Hierzu befragte das Unternehmen 150 IT-Führungskräfte in der EU und Großbritannien zu unveränderlichen Backups vor dem Hintergrund zunehmender…
Hackerangriff

Schutz des IT-Netzwerkes

„An einem kalten Februartag brechen in Europa alle Stromnetze zusammen. Der totale Blackout. Ein Hackerangriff? … In seinem Roman „Black Out“ skizziert Marc Elsberg die Folgen einer Manipulation von Endgeräten im Stromnetz, ganz Europa ist ohne…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.