Wie man versteckte Bedrohungen aufspüren kann

Das größte Sicherheitsrisiko für Unternehmen sind Angreifer, die unter dem Radar bleiben und so ungestört ihre Ziele erreichen können. Leider werden böswillige Insider und externe Cyberkriminelle immer cleverer, können oft in Systeme eindringen und Sicherheitstools überwinden, ohne Warnmeldungen auszulösen. 

Wie können also Unternehmen diese Aktivitäten im Rauschen der legitimen Anmeldungen erkennen? Die Antwort liegt im Kontext. Es reicht eben nicht aus, die Aktivitäten im gesamten Netzwerk zu überwachen und zu protokollieren, vielmehr müssen die Sicherheitsverantwortlichen in der Lage sein, mehrere Datenquellen zu kombinieren, um auch die subtilen Anzeichen eines heimlichen Angreifers bei der Arbeit zu erkennen.

Anzeige

Ausweichmanöver

Der Grund, weshalb es so sehr auf den jeweiligen Kontext ankommt, liegt darin, dass diese fortgeschrittenen Angreifer verschiedene Tools und Taktiken verwenden, um die eingesetzten Sicherheitsmaßnahmen zu umgehen. So nutzen sie für ihre Kommunikation häufig HTTPS und DNS, wodurch sich diese gut verschleiern lässt. Ein durchschnittlicher Benutzer erzeugt pro Tag bis zu 20.000 DNS-Abfragen. Diese enorme Menge an Daten ist kaum zu analysieren, insbesondere wenn die Kommunikation selbst keinen offensichtlich bösartigen Inhalt hat. Ohne den entsprechenden Kontext, also weitere Anzeichen, die einen Administrator stutzig machen sollten, wäre er sehr lange damit beschäftigt, Protokolle durchzugehen, um so herauszufinden, ob ein Alarm eine echte Bedrohung oder nur ein Fehlalarm ist. Darüber hinaus werden Aktivitäten wie das Einloggen in ein gültiges Gerät während der Geschäftszeiten, die Konzentration auf Daten in Mailboxen und das Extrahieren von nur wenigen Daten auf einmal, wenig Aufmerksamkeit erregen. Auch das Erstellen von Schattenkonten mit mehr Rechten und das Erteilen und Entfernen von Berechtigungen je nach Bedarf sind gute Möglichkeiten für Angreifer, sich unauffällig zu verhalten.

Wie kommt man nun diesen Akteuren trotzdem auf die Spur? Selbst die erfahrensten und akribischsten Eindringlinge können ihre Präsenz in einem Netzwerk nicht vollständig verdecken. Der wichtigste Faktor bei der Erkennung ist die Entwicklung eines umfassenden Verständnisses der Mitarbeiter, Prozesse und Technologien des Unternehmens.

Zu den wichtigsten Maßnahmen zur Erkennung dieser Bedrohungen zählen:

Identifizierung sensibler Daten und Dateizugriffe: Der erste Schritt besteht darin, herauszufinden, wo sich die sensiblen Daten eines Unternehmens überhaupt befinden. Dabei sollten personenbezogene Daten (PII) und andere Daten, die den gesetzlichen Anforderungen unterliegen, priorisiert und Datenverantwortliche und die Konten, auf die sie zugreifen können, festgelegt werden. Um Bedrohungsvektoren zu reduzieren, ist es angeraten, sämtliche nicht mehr aktiv genutzten Daten zu archivieren.

Verwaltung von Benutzerberechtigungen: Sicherheitsverantwortliche sollten über eine umfassende Transparenz über alle Konten verfügen, sowohl von „normalen“ Nutzern als auch von Service- und privilegierte Konten – inklusive der Berechtigungen, über die sie verfügen. Vor allem die Überwachung von Berechtigungsänderungen ist bei der Identifizierung von Bedrohungen von großer Bedeutung, da beispielsweise eine Eskalation der Zugriffsrechte auf verdächtiges Verhalten hinweisen kann. Grundsätzlich sollte ein least-privilege-Ansatz durchgesetzt werden. Dadurch wird sichergestellt, dass jeder Mitarbeiter nur auf die Dateien zugreifen kann, die er auch tatsächlich für seine Arbeit benötigt (need-to-know-Prinzip).

Überwachung von Schlüsselsystemen: Es ist wichtig, einen Überblick gerade über die Systeme zu haben, die bei Angreifern besonders beliebt sind und von ihnen entsprechend ausgenutzt werden. Bei Windows Active Directory zum Beispiel sollte das Unternehmen Informationen wie Kontotypen und Servertypen, Berechtigungen, Gruppen, Kollegen und den Unterschied zwischen persönlichen Geräten und öffentlichen Arbeitsplätzen kennen.

Nutzerverhalten kennenlernen: Die Kombination der Benutzeraktivitäten mit bestimmten Geräten hilft, sogar subtile Anzeichen dafür zu erkennen, dass sich ein Angreifer bei verschiedenen Maschinen anmeldet, selbst wenn er nichts offensichtliches Bösartiges tut. Kennt man den Unterschied zwischen der Verwendung öffentlicher und persönlicher Geräte, lassen sich Lärm und Fehlalarme deutlich reduzieren.

Korrelation macht den Unterschied

Der wichtigste Schritt ist die Korrelation all dieser Daten. Jeder einzelne Punkt ist wichtig, kann aber immer nur einen kleinen Bereich beleuchten. Die Anzeichen eines fortgeschrittenen Angreifers sind jedoch oft zu subtil und können kaum identifiziert werden, wenn einzelne Informationen isoliert betrachtet werden. Nur durch ganzheitliche Sicht wird in diesen Fällen verdächtiges Verhalten erkennbar. In Anbetracht der riesigen Datenmengen, die jeden Tag durch ein Unternehmen fließen, kann dies jedoch nur mit einem automatisierten Ansatz auf der Grundlage von maschinellem Lernen erreicht werden. Diese umfassende Transparenz über alle Netzwerkaktivitäten gepaart mit der Kenntnis, welches Verhalten „normal“ ist, ermöglicht es Unternehmen, Korrelationen herzustellen, die in der Lage sind, auch schwer fassbare Anzeichen bösartiger Aktivitäten zu identifizieren. Wenn ein Benutzer beispielsweise auf ein VPN zugreift und sich dann auf dem Gerät eines anderen Mitarbeiters anmeldet, wird kein Standard-Sicherheitssystem ausgelöst. Aber ein solches Verhalten wäre für einen legitimen Benutzer sehr ungewöhnlich und ist ein klares Zeichen dafür, dass jemand die Zugangsdaten des legitimen Nutzers missbraucht.

Mit ausreichendem Datenmaterial können Unternehmen über die Analyse einzelner Benutzer hinausgehen und Peer-Beziehungen in ihre Verhaltensanalyse einbeziehen. Dies ermöglicht es ihnen, einen Benutzer schnell zu erkennen, der im Vergleich zu seinen Kollegen ungewöhnliche Dateiaktivitäten aufweist, was die Reaktionszeiten bei Vorfällen erheblich verkürzt. Sobald Unternehmen diese Zeichen zuverlässig erkennen können, werden selbst die gewieftesten Angreifer nur noch wenige Orte im Netzwerk haben, an denen sie sich verstecken können.
  

Nemelka Klaus

Varonis Systems (Deutschland) GmbH -

Technical Evangelist

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.