Aktueller Channel Fokus:

Drucker & MPS

Wenn der Angriff passiert ist

Bedrohungserkennung nach einem Cyberangriff

| Autor / Redakteur: Roland Messmer / Peter Schmitz

Unternehmen benötigen eine effektive Lösung für die Bedrohungserkennung nach einem Angriff
Unternehmen benötigen eine effektive Lösung für die Bedrohungserkennung nach einem Angriff (Bild: Pixabay / CC0)

Exploits und Angriffsmethoden werden ständig weiterentwickelt, zum Beispiel für E-Mails, Drive-by-Downloads und Sicherheitslücken in Anwendungen sowie BYOD-Geräte und Smartphones, die mit WLAN oder sozialen Netzwerken verbunden sind. Das bringt für die Netzwerksicherheit immer neue Herausforderungen mit sich, die ältere Abwehr-Strategien für Angriffe nicht mehr bewältigen können.

Die Annahme, dass Sicherheitsteams das Eindringen sämtlicher Angreifer in das Unternehmensnetzwerk verhindern können, ist einfach nicht mehr realistisch und zeitgemäß. Daher überarbeiten viele Unternehmen ihre Cybersicherheitsstrategien. Sie verlassen sich nicht mehr auf Abwehrmaßnahmen am Netzwerkrand, sondern konzentrieren sich vielmehr auf die Bedrohungserkennung und die Fehlerbehebung nach einem Angriff.

Dabei ist es wichtig, dass die Unternehmen nicht auf inzwischen veraltete Strategien vertrauen, sondern in neuere Technologien investieren, zum Beispiel automatisiertes maschinelles Lernen und Täuschungstechniken. Das Hauptproblem einiger Lösungen ist, dass die Sicherheitsteams alle Warnmeldungen manuell überprüfen müssen. Das ist jedoch häufig reine Zeitverschwendung, denn viele Abwehrsysteme generieren zahlreiche Fehlalarme.

Forensische Analysen erfolgreicher Cyberangriffe zeigen, dass die sogenannte Verweildauer, also die Zeitspanne zwischen den ersten Aktionen bei einem Angriff (Infektionen) und der Erkennung, viel zu lang ist und häufig sogar Monate beträgt. Bis ein Unternehmen feststellt, dass es Opfer eines Angriffs wurde, und die ersten Untersuchungen und Risikoanalysen abgeschlossen sind, hat der Hacker bereits zahlreiche wertvolle Ressourcen ausgeschleust. Ohne die automatische Analyse von Warnmeldungen droht zudem die sogenannte „Warnungsmüdigkeit“, das heißt, das Sicherheitsteam beginnt, verschiedene Warnmeldungen zu ignorieren, und riskiert damit, wirklich wichtige Warnungen zu verpassen. Der Diebstahl wertvoller Ressourcen oder der Ausfall der Systeme kann für Unternehmen äußerst kostspielig werden.

Die Vorteile der Automatisierung und Täuschungstechnologien

Es gibt inzwischen verschiedene Tools, mit denen Sicherheitsteams Probleme bei der Bedrohungserkennung nach einem Angriff vermeiden können. Dabei hilft insbesondere, wenn die Fehlalarme des Erkennungssystems aussortiert werden. Einige Systeme können Warnmeldungen automatisch analysieren und leiten dann nur diejenigen an die Sicherheitsexperten weiter, die sofort von einem Menschen überprüft werden müssen.

Moderne Erkennungssysteme können auch automatisch und unmittelbar alle wichtigen Informationen zu einem Angriff in einer einzigen Konsole zusammenfassen. Das erspart den Sicherheitsexperten das langwierige Durchsuchen aller Warnmeldungen, sodass sie sich auf die wichtigen Warnmeldungen konzentrieren und bei akuten Sicherheitsvorfällen schneller die erforderlichen Maßnahmen ergreifen können.

Eine weitere Methode zur Verbesserung der Bedrohungserkennung nach einem Angriff sind intelligente Täuschungstechniken. Richtig eingesetzt können Täuschungstechniken äußerst effizient sein – sowohl für die Bedrohungserkennung als auch für die proaktive Abwehr, da Cyberkriminelle bereits in der ersten Angriffsphase abgelenkt werden können. Mithilfe von Täuschungstechniken wie Ködern oder Honeypots können Cyberkriminelle dazu verleitet werden, ihre Deckung schneller aufzugeben. Sicherheitsteams können dann gezielt gegen sie vorgehen, bevor die Angreifer auf wertvolle Ressourcen zugreifen. Da die Angreifer viel schneller erkannt und gefasst werden können, wird die Verweildauer reduziert und die Unternehmen sparen nicht nur Zeit, sondern auch Geld.

Moderne Täuschungstechniken haben vor allem diese Ziele:

  • 1. Erkennung von Angreifern im internen Netzwerk
  • 2. Unterbindung und Verzögerung eines akuten Angriffs und Ablenkung der Angreifer
  • 3. Überblick über die Aktivitäten, Ziele und Taktiken der Angreifer

Nachdem sie sich Zugriff verschafft haben, beginnen die Angreifer mit dem Ausspähen des Netzwerks. Sie suchen nach wertvollen Informationen und Hinweisen auf den Speicherort der gewünschten Daten. Dazu überprüfen sie Endpunkte, Netzwerke und verschiedene Geräte, um sich in der Umgebung auszubreiten. In dieser Phase greift die Täuschungstechnologie. Sie lockt Angreifer in bestimmte Bereiche, erkennt die Aktivitäten bereits sehr früh und kann so Schäden und den Zugriff auf wichtige Ressourcen verhindern.

Wenn Täuschungstechniken richtig eingesetzt werden, bieten sie die folgenden Vorteile:

  • Keine Fehlalarme: Da keine Fehlalarme auftreten, verschwendet das Sicherheitsteam keine Zeit mit unnötigen Analysen. Bei einem Täuschungssystem ist jede Warnmeldung wichtig und muss sofort untersucht werden.
  • Automatische Bedrohungserkennung und -abwehr: Da die Täuschungstechniken sehr präzise sind, können verschiedene Maßnahmen automatisiert werden. Das Sicherheitsteam kann so darauf vertrauen, dass legitime Aktivitäten der Nutzer im Unternehmen auch weiterhin möglich sind und nicht gestört werden. Mithilfe dieser Techniken lassen sich die Betriebskosten senken und die Effizienz des Sicherheitsteams steigern.
  • Erkennung von Insider-Bedrohungen: Während kommerzielle ATD und IPS/IDS auf die Suche und Meldung von Malware ausgerichtet sind, erfassen Täuschungstechniken auch Insider-Bedrohungen. Mitarbeiter können die Täuschungssysteme nicht sehen. Löst also ein autorisierter Nutzer eine Warnmeldung auf entsprechenden Nodes, Ködern oder anderen präparierten Systemen aus, muss diese Aktion sofort untersucht werden.

Bereitstellung und Verwaltung automatischer Täuschungssysteme

Bei der Implementierung von Täuschungstechnologien sind bestimmte Faktoren zu beachten:

  • Erstellung authentischer Täuschungselemente
  • Abstimmung der Köder auf die Komponenten im Netzwerk, einschließlich Ressourcen und Anwendungen
  • Einfache Konfiguration und automatische Bereitstellung. Die Köder müssen einfach zu konfigurieren und zu verwalten sein sowie an Änderungen der Umgebung angepasst werden können.

Die wichtigsten Fragen, die sich Unternehmen bei der Wahl eines effektiven Täuschungssystems stellen müssen, sind unten aufgelistet. Diese Punkte muss jedes Unternehmen berücksichtigen, das ein solches System implementieren und pflegen möchte. Nur eine integrierte Lösung für die automatische Bedrohungserkennung und -abwehr in Kombination mit einer Täuschungstechnologie bietet zuverlässige und effiziente Sicherheit.

  • Wie sind die Netzwerke aufgebaut und welche Ressourcen, Betriebssysteme, Anwendungen und Daten sollten für die Täuschung verwendet werden?
  • An welchen Stellen sollten die verschiedenen Täuschungstechniken eingesetzt werden?
  • Wie lassen sich Änderungen an den Netzwerken und Ressourcen nachverfolgen, damit die Täuschungstechniken entsprechend angepasst werden können?
  • Welche Infrastruktur wird für Täuschungstechnologien benötigt?
  • Was können Täuschungstechnologien alles abdecken? Funktioniert die Täuschung auch erwartungsgemäß?
  • Verfügt das Unternehmen über die erforderlichen Ressourcen und Kenntnisse, um Täuschungstechnologien zu implementieren und zu verwalten?

Diese Herausforderungen lassen sich nur meistern, wenn eine der diversen verfügbaren Täuschungstechnologien automatisch implementiert und verwaltet wird. Keine andere Methode kann diese Probleme lösen. Entscheidet sich ein Unternehmen für Täuschungstechniken, muss es seine Umgebung im Detail kennen und einen umfassenden Überblick darüber haben. In vielen Fällen fehlen dem Sicherheitsteam relevante Informationen. Das ist besonders dann problematisch, wenn die Umgebung häufig verändert wird.

Automatische Übersicht und Analyse der Umgebung

Zuerst werden die Netzwerke, Ressourcen, Anwendungen und anderen Komponenten der Umgebung automatisch identifiziert und analysiert. Diese Informationen müssen analysiert und die diversen Kriterien ermittelt werden, um die Täuschungstechniken für die jeweiligen Unternehmensressourcen festzulegen. Auf diese Weise können überzeugende Köder zur Ablenkung der Angreifer erstellt werden.

Automatische Erstellung von Ködern

Anschließend werden automatisch die Komponenten für die Täuschung erstellt, der richtige Ort im Netzwerk ausgewählt und die Köder mit möglichst geringem Aufwand im Netzwerk verteilt. So kann beispielsweise eine Appliance mehrere Köder in verschiedenen Subnetzen unterstützen, auf denen verschiedene Betriebssysteme und Anwendungen ausgeführt werden.

Da die Netzwerke und Ressourcen eines Unternehmens gelegentlich verändert werden, überprüft die Täuschungstechnologie fortlaufend die Bedingungen und passt ihre Techniken an die jeweiligen Änderungen an.

Automatische Bereitstellung

Dieser Bereitstellungsprozess bietet dem Sicherheitsteam umfassende Sicherheit und Transparenz und unterstützt zudem die Spurensuche und forensische Analysen. Administratoren können genau sehen, wie die Täuschungstechniken die Unternehmensressourcen schützen, das heißt, über welche Ressourcen das Unternehmen verfügt und wie gut diese von der Täuschungstechnologie abgedeckt werden. Das Sicherheitsteam muss feststellen können, ob die eingesetzten Täuschungstechniken für das Unternehmen geeignet sind und welche weiteren Maßnahmen erforderlich sind.

Die komplexen Angriffe der Cyberkriminellen lassen den Sicherheitsteams keine andere Möglichkeit, als Strategien für die Bedrohungserkennung nach einem Angriff zu implementieren. Dadurch wird zwar der Sicherheitsstatus der Unternehmen insgesamt verbessert, doch die Sicherheitsexperten müssen sich der Probleme bewusst sein, die diese Lösungen mit sich bringen. Wenn die Teams informiert sind und unterstützende Tools wie intelligente Täuschungstechnologien einsetzen, lassen sich diese Herausforderungen durchaus bewältigen. Die Unternehmen müssen daher sorgfältig abwägen, welche Strategie für die Bedrohungserkennung nach einem Angriff sie verfolgen sollten, und potenzielle Herausforderungen unmittelbar und effizient angehen.

Über den Autor: Roland Messmer ist Central Europe Director bei Fidelis Cybersecurity.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45733452 / Security)