Network Detection and Response – Ransomware-Angriffe frühzeitig erkennen

LinkedInXingPocketWhatsAppFlipboard

Wer Ransomware erst bemerkt, wenn sie auf dem Endpunkt installiert wird, kommt unter Umständen schon zu spät. Erpresserische Attacken bahnen sich nämlich viel früher an, wobei Cyberkriminelle verräterische Spuren im Netzwerk hinterlassen.

Mit Network Detection and Response (NDR) können Unternehmen bereits die Vorbereitungsphase dieser Angriffe entlarven.  War traditionelle NDR-Technologie bisher nur sehr großen Unternehmen vorbehalten, ermöglichen neue NDR-Tools mittels Machine Learning und Künstlicher Intelligenz nun auch mittelständischen Unternehmen mit begrenzten Ressourcen, verdächtige Netzwerkaktivitäten nahezu in Echtzeit zu erkennen und zu unterbinden.

Anzeige

Gefährliche, komplexe erpresserische Angriffe haben eine Vorlaufzeit. Schon die vorbereitenden Maßnahmen zeichnen sich im Netzwerkdatenverkehr lange vor dem Start des Verschlüsselns ab. Denn aktuelle Ransomware-Attacken bestehen längst nicht mehr nur aus einem Verschlüsselungstool, das sein Glück versucht. Sie sind komplexe und mitunter langfristige Projekte mit einer eigenen Cyber Kill Chain – einer Angriffskette, deren einzelne Schritte von verschiedenen Spezialisten durchgeführt werden. So sind insbesondere bei Ransomware-as-a-Service-Angriffen viele Akteure beteiligt, die dezentral und hocheffizient zusammenarbeiten. Drei dieser Angreifer-„Berufsgruppen“ der Kill Chain hinterlassen ihre Spuren dabei nicht nur auf Endpunkten, sondern ebenso im externen und internen Datenverkehr. Hierzu zählen:

• Initial Access Broker (IABs): Diese bösartigen Akteure suchen permanent mit automatisierten Tools die einfachsten Wege in ein Unternehmensnetz und verkaufen die gefundenen Schwachstellen anschließend an Hacker. Dazu gehören zum Beispiel Remote-Systeme eines mobilen oder im Home-Office arbeitenden Mitarbeiters, ein Remote Desktop Protocol oder offene Ports.
 
• Hacker missbrauchen diese Schwachstellen, sobald ein Unternehmen für sie ein lohnendes und leichtes Ziel darstellt, um einen Weg ins Netzwerk zu erschließen

• Böswillige Datenmanager suchen schließlich nach Informationen und Dateien, um sie zu verschlüsseln und zu exfiltrieren oder damit zu drohen, diese zu veröffentlichen. Hierfür  begutachten sie, welche Informationen am sensibelsten und unternehmenskritischsten sind oder sich am besten verkaufen lassen.

NDR-Tools erkennen effizient die Hinweise auf einen Angriff

Die Spuren dieser Akteure und damit die Anzeichen für eine bevorstehende Attacke finden sich schon frühzeitig im externen und internen Datenverkehr. IABs, Hacker und Datenmanager generieren forensische Artefakte, bevor der Zugriff auf die Endpunkte mit den Daten erfolgt. Wenn es darum geht, diese ersten Spuren zu erkennen, hat eine Network Detection and Response (NDR) einen entscheidenden Informationsvorsprung gegenüber anderen Cyberabwehrlösungen.
 
Was sieht NDR besser und schneller als andere Sicherheitslösungen? Ganz einfach: Alles was von der Norm abweicht, kann auf einen Angriff hindeuten.

NDR definiert daher im Scan des internen und externen Netzwerkverkehrs zunächst ein Modell des Normalzustands im Netzverkehr eines Unternehmens. Mit Hilfe von maschinellem Lernen und Künstlicher Intelligenz ist eine solche Grundlagenarbeit heute auch für mittelständische Unternehmen mit begrenzten Personal- und Budgetressourcen möglich. Sobald NDR die Baseline des unauffälligen Normalverhaltens definiert hat, erkennt sie automatisch, wenn der Datenverkehr von üblichen und damit in der Regel legitimen Mustern abweicht, etwa durch:

  1. Abfragen von Schwachstellen: Die Suche nach Schwachstellen durch externe Angreifer hinterlässt Spuren. So zum Beispiel in Log Files, die eine Einwahl in Systeme dokumentieren, oder durch den Datenverkehr beim Anpingen eines Hosts
    .
  2. Unbekannte Ziele und Absender: Ungewöhnliche Muster zu erkennen, ist eine zentrale Aufgabe von NDR. Anfragen und Kommunikation mit Zielen außerhalb des Netzes können eine Gefahr darstellen. Kommen Anfragen zu untypischen Bürozeiten? Kommen sie von einer der Threat Intelligence bekannten und berüchtigten IP-Adresse? Ebenso gilt es, den internen Netzverkehr zu überwachen: Gehen Mitarbeiter im Unternehmen plötzlich auf Systeme, auf die sie sonst nicht zugegriffen haben?
     
  3. Verdächtige Bewegungsmuster: NDR dokumentiert Bewegungsmuster von Eindringlingen im Netz. Ein Administrator, der sich in einem System auskennt, oder eine legitime Applikation, die automatische Prozesse durchführt, greifen zielgerecht auf die Systeme zu, die sie benötigen. Ein fremder Täter, der Systeme auf Schwachstellen oder zu verschlüsselnde Daten absucht, wird dagegen eventuell von System zu System springen oder diese der Reihe nach abgehen. Auch seine Seitwärtsbewegungen sind im Netzverkehr zu erkennen. NDR sieht zudem, wenn eine Malware eine scheinbar legitime Bewegung vorzutäuschen versucht. Hier sorgen KI, ML und Threat Intelligence für ein feinkörniges Erkennen von normalem und verdächtigem Verkehr.
     
  4. Ungewöhnlicher Datenverkehr: Dazu gehört das Versenden von Daten zu unbekannten Zielen außerhalb des Unternehmens oder zu Verdacht erregenden ungewöhnlichen Tageszeiten. Sie können das Resultat der Installation von Malware, ihrer Kommunikation mit dem Command-and-Control-Server oder des Versendens von Informationen nach außen sein.
     
  5. Ungewöhnliche Kontaktaufnahmen: Untypischer Datenverkehr von außen kann seine Herkunft tarnen. So mag eine Anfrage an ein System im ersten Schritt von einer legitimen Domain kommen. Antwortet das System aber darauf, wird es auf eine andere bösartige IP-Adresse weitergeleitet. NDR-Lösungen, die auf DNS-Systeme zurückgreifen, erkennen dies und schlagen Alarm.

NDR ermöglicht präventive Abwehr

Alle diese Indizien können auf einen erpresserischen oder auf andere Angriffe hindeuten. Je mehr sich die Anzeichen verdichten, umso dringender wird der Handlungsbedarf. Eine NDR-Lösung, die nach Definition der Baseline den gesamten Netzwerkdatenverkehr permanent überwacht und schon kleine Abweichungen hochauflösend erkennt, hilft, die Aktionen der Angreifer zu erkennen und abzuwehren und gibt priorisierte Alarme – je nachdem, wie sehr sich die Anzeichen eines Angriffes verdichten.

Dank Künstlicher Intelligenz und Maschine Learning erkennen NDR-Lösungen mittlerweile mit geringen Ressourcen sehr effektiv irreguläre Aktivitäten. Dies erfolgt nicht intrusiv am Spiegel des Datenverkehrs sowie lediglich anhand von Metadaten: In einer solchen Form ist NDR DSGVO-konform – zumal, wenn die notwendigen Daten und Intelligenz in einem Rechenzentrum in Deutschland liegen.

Zudem veranlasst NDR bei Bedarfsfall automatische Reaktionen. Dazu tritt sie mit Firewall-, Endpoint-Detection-and-Response, NAC- oder Antivirus-Lösungen in Kontakt und triggert Abwehrmaßnahmen an: Hosts werden blockiert, abgeschaltet oder der Datenverkehr unterbrochen. So lassen sich Seitwärtsbewegungen von Angreifern genauso abschneiden wie ein Exfiltrieren von Daten oder eine Kommunikation von Malware mit dem C2C-Server.

Zentral für die Qualität der Abwehr ist die präventive Erkennung. Denn zumindest die kompetenten Ransomware-as-a-Service-Angreifer gehen langfristig vor, forschen Systeme aus, taxieren die Profitmöglichkeiten und überprüfen die Cyber-Abwehr. Häufig genug lassen sie von Zielen ab, die frühzeitig unbequemen Widerstand leisten.

Ebenso wichtig wie das frühe Hinschauen ist der permanente Blick. Denn zwischen dem Erkennen einer Sicherheitslücke, der Installation einer Backdoor und dem tatsächlichen Angriff können je nach Vorgehen der Hacker zwei Wochen oder ein Jahr liegen. NDR-Lösungen erkennen jedoch permanent jede Veränderung im Netzverkehr und bewerten die Lage immer wieder in einem übersichtlichen Dashboard neu.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

NDR ist ein Teamplayer

Moderne NDR-Lösungen bietet somit auch kleinen und mittelständischen Unternehmen eine Vogelperspektive auf den Netzverkehr und sieht damit Ransomware-Bedrohungen schon früh am Horizont aufkommen. Diese Prävention gehört somit zu den besten Maßnahmen gegen potenzielle Ransomware- und andere Angriffe. Zumal eine konsequente IT-Abwehr die Angreifer abschreckt. Für die endgültige Abwehr baut NDR auf die Integration mit weiteren bewährten Sicherheitstechnologien wie Endpoint Detection and Response und Antiviruslösungen, die vor Ort auf dem System für Sicherheit sorgen und Malware erkennen, oder Firewalls, die den Netzverkehr blocken oder zulassen.


Paul

Smit

ForeNova -

Director Professional Services

(Bildquelle: Forenova)
Anzeige

Weitere Artikel

Cyber & Cloud Security
Wird Open Banking die Zukunft des Finanzwesens verändern?
Cyber & Cloud Security
US-Behörde bestätigt unsicheren Einsatz von Microsofts Cloud-Services
Business Software
Hypershield: Sicherheit für das KI-Zeitalter
Cyber & Cloud Security
EU-Wahl: Sorge über vermehrte Cyberangriffe auf deutsche Institutionen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.