Innenverteidigung: Cybersecurity mit Blick nach innen

Sie sind hier: Das Magazin für alle IT-Security-Themen » Fachbeiträge » Grundlagen

Nach außen gerichtete Sicherheits-Tools wie Intrusion Detection, Firewalls und Endpoint-Security erkennen keine kompromittierten Insider

Mitunter verbringen Kriminelle Monate oder gar Jahre innerhalb einer Infrastruktur und betreiben dabei großen Aufwand unentdeckt zu bleiben



Von Egon Kando vom Sicherheitsspezialisten Exabeam

Organisationen verstärken aufgrund der Gefahrenlage ihre Abwehr gegen Cyberangriffe von außen. Dabei vergessen sie oft jedoch den Blick nach innen. Neue Technologien helfen dabei, Angreifer zu stoppen, die sich bereits im Netzwerk befinden.

Für Cyberkriminelle bedeutet die Coronakrise und ihre Folgen eine Goldgräberstimmung – noch nie waren viele Unternehmen so verwundbar wie heute. Die IT-Sicherheit zieht jedoch langsam nach, um die durch die verteilten Mitarbeiter vergrößerte Angriffsfläche abzusichern – und erhöht die Sicherheitsmauern rund um das Unternehmen und seinen Mitarbeitern im Homeoffice. Dabei übersehen viele Organisationen, dass die eingesetzten Lösungen nur nach außen gerichtet sind und nicht nach innen – wo die mitunter größeren Gefahren lauern.

Cybererpresser gehen immer zielgerichteter vor

Die Verschlüsselung von Daten durch Ransomware ist ein gutes Beispiel für Bedrohungen von außen. Sie werden von den Angreifern im Gießkannenprinzip weit gestreut und der Erfolg ist für die Kriminellen eher zufällig, je nachdem welcher Mitarbeiter auf eine Phishing-E-Mail klickte. Aber selbst wenn Daten verschlüsselt wurden, können Unternehmen mit Entschlüsselungstools, Recoverware oder einfachen Backups dagegenhalten und die Daten wiederherstellen. Als Reaktion darauf gehen viele Cybererpresser zielgerichteter vor. Sie zielen mit ihren Angriffen vermehrt auf Organisationen, deren Daten als wertvoller angesehen werden oder bei denen der Reputationsschaden potenziell am größten ist. Denn diese Unternehmen sind eher bereit ein Lösegeld zu zahlen – und sei es dafür, dass die Daten nicht öffentlich werden. Die Kriminellen studieren hierzu potenzielle Opfer individuell und sehr detailliert, um das Potenzial für einen erfolgreichen Angriff genau einschätzen zu können. Letzten Endes entscheiden sie anhand der Gewinnerwartung, welche Organisationen sie angreifen. Diese neuen, viel gezielteren Bedrohungen erfordern eine andere Reaktion als die eher wahllosen Angriffe bei Ransomware.

Neue Bedrohungen erfordern eine intelligentere Reaktion

Aus Sicht des IT-Sicherheitsbetriebs liegt ein großer Teil der Herausforderung zur Abwehr von Cyberkriminellen in der Erkennung und Untersuchung potenzieller Angriffe anhand von Indicators of Compromise (IOCs). Dies können verdächtige und/oder auf der schwarzen Liste stehende IP-Adressen sein, oder auch bekannte Phishing-URLs sowie Signaturen für bösartige Dateien. Im Idealfall verhindern klassische Sicherheitstools anhand dieser IOCs wie Intrusion Detection, Firewalls und Endpoint-Security, dass bevor Organisationen Opfer eines erfolgreichen Angriffs werden.

Dieser Ansatz mag bei Ransomware funktionieren, bei der Daten nach erfolgreichem Angriff sofort verschlüsselt werden. Bei zielgerichteten Angriffen müssen sich die Kriminellen eine Zeit lang im Netzwerk umsehen, um die für sie richtigen Daten zu finden, die es abzugreifen lohnt. Unternehmen haben mitunter Petabyte an Daten an zahlreichen verschiedenen Orten gespeichert. Um an diese wertvollen Daten zu gelangen, müssen die Kriminellen deutlich mehr Zeit und Aufwand investieren. Nach außen gerichtete Sicherheitstools können jedoch keine kompromittierten Insider erkennen, da sich diese auf den ersten Blick komplett legitim im Netzwerk bewegen. Um Angriffe in einem solchen Stadium erkennen zu können, benötigen Unternehmen andere Sicherheitswerkzeuge. Und da sich die Kriminellen mitunter eine längere Zeit im Netzwerk aufhalten können, geht es darum, sie frühestmöglich zu erkennen, bevor sie größeren Schaden anrichten können.

Der Zeitfaktor bietet der IT-Sicherheit einen kleinen Vorteil

Mitunter verbringen die Kriminellen Monate oder gar Jahre innerhalb einer Infrastruktur und betreiben dabei großen Aufwand unentdeckt zu bleiben, während sie sich ihren Weg durch die Verteidigungskette zu den Daten-Kronjuwelen des Unternehmens bahnen. Dies bietet der Verteidigung jedoch auch kleine Vorteile: Zum einen haben sie im Vergleich zur Ransomware mehr Zeit um nach den Eindringlingen zu suchen – und zum anderen hinterlassen die Kriminellen bei ihren Bewegungen im Netzwerk Spuren. Diese Chancen kann die IT-Security nutzen, um Schlimmeres zu verhindern – vorausgesetzt sie verfügt über die notwendigen Werkzeuge, um den Sicherheitsblick nach innen zu richten. Denn IOCs sind ausnahmslos nach außen gerichtet, was sie für die Entdeckung von sich bereits im Netzwerk befindlichen Angreifern nutzlos macht.

SIEM und UEBA: Die effektive Innenverteidigung

SIEM-Lösungen (Security Information and Event Management) stellen Logs aus einer Vielzahl von Quellen zusammen und analysieren sie nach normalem und verdächtigem Verhalten in Netzwerk. SIEMs der neuesten Generation bauen hierfür auf UEBA (User Entity Behaviour Analytics) das auf Algorithmen des "Maschinellem Lernens" aufbaut und das Verhalten der Nutzer und Geräte im Netzwerk kontinuierlich überwacht. Etwa wenn auf ungewöhnliche Dateien zugegriffen wird oder auffällige Anwendungen ausgeführt werden. Diese Analyse der Logdaten im Netzwerk muss automatisch geschehen, weil es davon einfach zu viele gibt, als dass Sicherheitsteams sie manuell effektiv und in Echtzeit untersuchen könnten.

Automatisierung und Orchestrierung verkürzen die Reaktion auf Angriffe

Verdächtiges Verhalten zu erkennen, ist jedoch nur ein Teil der Aufgabe. Denn nun muss schnellstmöglich reagiert werden, um drohenden Schaden zu verhindern oder weitestgehend einzuschränken. Um den Umfang der Reaktion definieren zu können muss der Vorfall vollumfänglich untersucht werden. Hierzu gehört die Erstellung eines Zeitstrahls, welcher alle Aktivitäten der beteiligten Nutzer und Geräte aufzeigt und bewertet, ob diese normal oder ungewöhnlich sind. Sobald dies geschehen ist kann die Reaktion geplant und durchgeführt werden. Hierbei werden die IT-Sicherheitsteams von SOAR-Lösungen (Security Orchestration, Automation and Response) zur Automatisierung und Orchestrierung notwendiger Abwehrmaßnahmen durch verschiedene Security-Produkte unterstützt. SOAR ist sozusagen der Libero der Verteidigung, der schnellstmöglich nach der Erkennung und Analyse zielgerichtet auf die Angriffe reagiert. Über festgelegte Playbooks lassen sich Abwehrmaßnahmen, wie beispielsweise die Isolierung eines Hosts oder die Sperrung einer IP-Adresse zur Begrenzung der Auswirkungen, komplett automatisieren. Neben einer schnelleren Reaktionsdauer reduziert dies die mittlere Wiederherstellungszeit (MTTR/Mean Time To Recover) in diesen kritischen Szenarien, in denen die Zeit von entscheidender Bedeutung ist.

Sich niemals in Sicherheit wähnen

Selbst wenn die nach außen gerichteten Verteidigungslösungen wie wie Intrusion Detection, Firewalls und Endpoint-Security nicht Alarm geschlagen haben, sollte die IT-Sicherheit in Unternehmen immer damit rechnen, dass sich Cyberkriminelle auf irgendeine Art und Weise im Netzwerk aufhalten - und proaktiv versuchen die Angreifer aufzuspüren. Dafür benötigt sie Sicherheitslösungen, die nach innen gerichtet sind."

Über Egon Kando

Egon Kando ist Area Vice President Of Sales Central, Southern and Eastern Europe bei Exabeam. Der diplomierte Ingenieur ist seit über 19 Jahren im IT-Security-Markt tätig und begann seine Karriere einst bei der BinTec AG in Nürnberg. Im Verlauf seiner Karriere war der erfahrene IT-Spezialist in verschiedenen Rollen bei Internet Security Systems, später IBM ISS, SonicWall und Imperva beschäftigt.

(Exabeam: ra)

eingetragen: 15.04.21
Newsletterlauf: 02.07.21

Exabeam: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Grundlagen

Der CISO: Definition und Aufgaben

Was muss ein CISO mitbringen? In der heutigen Bedrohungslandschaft tragen Chief Information Security Officers eine erhebliche Verantwortung. Sie haben großen Einfluss auf das Unternehmen und müssen ihren Wert und ihre Kompetenz regelmäßig unter Beweis stellen.

Welche Spuren interne Täter im Netzverkehr legen

Viele Diskussionen malen gerne den eigenen Mitarbeiter als IT-Sicherheitsrisiko an die Wand. Die tatsächliche Gefahr, die von ihm ausgeht, ist aber oft unklar. Verschiedene Täterprofile interner Angreifer können größeren Schaden anrichten.

Verbesserte IT-Sicherheit und Resilienz

Anlässlich der EU-NATO-Task Force über die Resilienz der Kritischen Infrastruktur (KRITIS) in Europa mehren sich auch in Deutschland die Diskussionen darüber, wie diese bestmöglich geschützt werden kann. Die vier Schlüsselbereiche, die laut des vor Kurzem veröffentlichten EU/NATO-Papiers eine erhöhte Anfälligkeit für Cyber-Angriffe bieten und somit besonders schützenswert sind, sind Energie, Verkehr, digitale Infrastruktur und Weltraum.

KI macht Ransomware noch gefährlicher

Ransomware ist schon längere Zeit ein echtes Problem für Organisationen jeder Art und Größe. Betrachtet man die neuesten Entwicklungen, ist keine Entwarnung in Sicht. Eher im Gegenteil: Die Kriminellen nutzen mittlerweile KI, um ihre Angriffe noch effizienter zu machen.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>

Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Diese Webseite verwendet Cookies - Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit dem Klick auf „Erlauben“erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.