Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

Security Schild

Unternehmen, die spezifisches Know-how besitzen, beziehungsweise mit sensiblen personenbezogenen Daten arbeiten, sehen sich mit einem hohen Risiko konfrontiert, Opfer eines Cyberangriffs zu werden. Der Global Risks Report 2019 des Weltwirtschaftsforums zählt Datendiebstahl und Cyberangriffe gar zu den fünf größten Risiken für Unternehmen, bezogen auf die Wahrscheinlichkeit, dass sie eintreffen. 

Wirklich sicher vor den immer professioneller vorgehenden Angreifern ist laut den Experten niemand, auch nicht große internationale Unternehmen mit ihren umfangreicheren Schutzmechanismen. Der Grund: Die hochprofessionellen Angreifer entwickeln ihre Taktiken und Strategien kontinuierlich weiter, um ihren Opfern immer einen Schritt voraus zu sein. Unternehmen merken deshalb häufig erst, dass sie kompromittiert wurden, wenn es schon zu spät ist und Angreifer ernsthaften Schaden anrichten konnten. Doch woran liegt das?

Klassische IT-Sicherheits-Tools, wie Anti-Virenprogramme benötigen ein konkretes Wissen über einen bestimmten Angriff. Dazu untersuchen sie Aktivitäten auf sogenannte Indicators of Compromise (IoCs). Dies sind beispielsweise Pattern-Signaturen und Hashes, Exploitssignaturen, Schwachstellen und IP-Adressen. Auf deren Vorhandensein wird dann geprüft und auf diese Weise können Sicherheitsteams sicherheitskritische Vorfälle aufspüren. Allerdings erst im Nachhinein, denn dieses Vorgehen konzentriert sich allein auf die nachträgliche Analyse, nicht aber auf das vorzeitige Verhindern von bisher ungesehenen Angriffen.

Die gute Nachricht: Sicherheitstools der nächsten Generation ermöglichen es Sicherheitsteams, über die retrospektive Analyse hinauszugehen. Next generation Security ermöglicht es, die Absicht des Angreifers besser zu verstehen. Ist das Ziel des Hackers identifiziert, können Maßnahmen eingeleitet werden, um Angriffe im Vorfeld und bereits in der Entstehung eines Breach zu verhindern. So können Unternehmen ihren reaktiven Sicherheitsansatz in einen proaktiven umwandeln.

Proaktive Cybersicherheit mit Hilfe von Indicators of Attacks 

Ein proaktiver Security-Ansatz lässt sich mit Hilfe von Indicators of Attacks (IoAs) umsetzen. Diese helfen Sicherheitsteams, schnell zu identifizieren und zu verstehen, welche Schritte ein Angreifer gehen müsste, um sein Ziel zu erreichen. Verlässliche IoAs sind unter anderem Code-Ausführung, Persistenz-Mechanismen, getarnte Aktivitäten, Befehlskontrolle (Command & Control) und laterale Bewegung innerhalb eines Netzwerks. Der Hauptvorteil von IoAs besteht darin, dass sie es Sicherheitsteams ermöglichen, Gegner frühzeitig zu erkennen, auf sie zu reagieren und sie zu stoppen – noch bevor sie nachhaltig in die Netzwerke einer Organisation eindringen können.

Ein Indicator of Attack kann zum Beispiel eine Spearphishing-Kampagne sein. Diese beginnt normalerweise mit einer E-Mail, die den Empfänger dazu animiert, eine Datei zu öffnen, die im nächsten Schritt seinen Computer infiziert. Solch eine Kampagne dient Angreifern dazu, die Verteidigungsmechanismen der Zielorganisation zu untersuchen. Gelingt es dem Hacker auf diese Weise, Zugriff zu einem System zu erlangen, führt er im Hintergrund weitere Prozesse aus, versteckt Dateien oder Programme beispielsweise im Speicher oder auf der Festplatte und behält die Persistenz über den Neustart des Systems hinweg. Sicherheitsteams, die proaktiv verschiedene IoAs überwachen, sind in der Lage, einen oder mehrere dieser Schritte als versuchten Angriff zu enttarnen. Somit können sie den Gegner identifizieren, indem sie ableiten, was das Ziel der Maßnahmen ist. Dieses Beispiel zeigt ganz deutlich die Möglichkeiten, die IoAs mit sich bringen.

Eine Analogie aus der Praxis

In vielerlei Hinsicht kann ein Angriff auf Daten mit einem Bankraub verglichen werden: Der Angreifer muss die Sicherheitssysteme des Verteidigers (also der Organisation) überwinden, um sein Ziel zu erreichen – seien es sensible Daten oder Goldbarren. Wird eine Bank ausgeraubt, kommen die Behörden in der Regel erst nach der Tat und beginnen dann mit der Beweisaufnahme. Diese Indizien werden – genau wie IoCs – erst im Nachhinein entdeckt. Sie zeigen, dass es einen Angriff gab, aber das Geld ist bereits weg. Die Erkenntnisse der Beweisaufnahme können Organisationen nutzen und in ihre Sicherheitssysteme integrieren. So sind sie geschützt vor Angriffen, die dem gleichen Muster folgen. Ändert der Angreifer seine Taktik, könnte er jedoch wieder erfolgreich sein. Ähnlich ist es bei Cyberangriffen. Diese Analogie zeigt ganz deutlich die Schwachstellen von IoCs.

Hätte die Bank vorab analysiert, ob sie gegebenenfalls überwacht wird oder Akteure sich verdächtig verhalten, hätte sie einen möglichen Angriff voraussehen können. Ganz ähnlich funktioniert das Prinzip der IoAs.

IoAs in der Praxis

Während eines Cyberangriffs sind Spuren und Beweise vielleicht weniger offensichtlich als bei einem Bankraub, aber es gelten die gleichen Prinzipien. Wenn ein Sicherheitsteam IoCs wie einen MD5-Hash, eine C2-Domain oder eine fest programmierte IP-Adresse erkennt, kann es diese Indikatoren verwenden, um zukünftige Angriffe mit denselben Mustern zu verhindern. Da IoCs jedoch keine Konstante sind, besteht die Gefahr, dass Sicherheitsteams andere wichtige Aspekte, die Aufschluss über die sich stetig wandelnde Bedrohungslage geben, vernachlässigen. Die Analyse von IoCs ist folglich nur ein Bestandteil einer guten Cyberabwehr.

IoAs runden eine erfolgreiche Cyberabwehr ab, indem sie ihr eine proaktive Komponente hinzufügen. IoAs ermöglichen es Organisationen nämlich, verdächtiges Verhalten vorab zu identifizieren und schnell Gegenmaßnahmen einzuleiten, um einen Angriff zu vereiteln. Indem sie sich auf die Taktiken, Techniken und Verfahren von Angreifern konzentrieren, können Sicherheitsteams außerdem einordnen, wer der Gegner ist, welche Ziele er verfolgt und welche Motivation ihn antreibt. Diese Erkenntnisse heben die Sicherheit stetig auf ein neues Level und stellen sicher, dass der Schutz den Angreifern immer einen Schritt voraus ist.

Sascha Dubbel, Enterprise Sales Engineer
Sascha Dubbel
Enterprise Sales Engineer, CrowdStrike Deutschland GmbH
Sascha Dubbel ist Enterprise Sales Engineer bei CrowdStrike und zuständig für das Gebiet Deutschland, Österreich sowie die Schweiz. Seit mehr als 20 Jahren arbeitet er auf Lösungsanbieterseite im IT-Sicherheitsumfeld bei Unternehmen wie Secure Computing, McAfee oder Palo Alto Networks. Er hat ein breites Wissen in den Domänen der angewandten Sicherheit am Endpunkt, im Netzwerk und am Perimeter aufgebaut und die direkte Arbeit mit Unternehmen aus allen Marktbereichen haben sein Verständnis für die Anforderungen, Regularien und Herausforderungen von IT-Sicherheitsabteilungen geprägt. Des Weiteren bringt er sich in die Arbeit von IT-Sicherheitsverbänden ein.
GRID LIST
Pishing

Die Entscheidung zwischen technischen oder organisatorischen Lösungen

Die Kombination macht‘s: Welche Maßnahmen wirklich gegen Phishing helfen. Denn:…
Tb W190 H80 Crop Int 9b015b24c2811e65f1a8f3a34499a66b

Schwachstellen kennen ist nur die halbe Miete

Zumindest nach außen hin sagen viele Unternehmen, dass der Schwerpunkt ihrer…
Tb W190 H80 Crop Int 391a76a85a3fec197190e2d4a9ad5432

Neue NIST-Richtlinien zur Zero-Trust-Architektur

Vor wenigen Wochen veröffentlichte das National Institute for Standards and Technology…
Psychologie Kopf

Psychologie trifft IT-Sicherheit

Psychologische Erkenntnisse aus den Kognitionswissenschaften lassen sich auf den…
Budgethilfe

Kostenfreies Tool für IT-Security Budget-Check

Bei jeweils mehr als der Hälfte der mittelständischen (65 Prozent) und großer (68…
Marriott Hotel

Ein Jahr nach dem Marriott-Breach

Ein Jahr danach: Die Lehren aus dem Marriott-Breach. Ein Experten-Kommentar von Klaus…