Blog: Die DNA für Detection & Response (Deutsch)

05.12.2018

Der Weg von der Prävention zur Erkennung und Abwehr von Attacken erfordert einen neuen Blickwinkel auf die DNA von Bedrohungen, um erfolgreich agieren zu können. Die jahrzehntelang eingesetzten, vorbeugenden Abwehrmaßnahmen haben Konzepte etabliert wie Sandboxing, Transparenz ...

Der Weg von der Prävention zur Erkennung und Abwehr von Attacken erfordert einen neuen Blickwinkel auf die DNA von Bedrohungen, um erfolgreich agieren zu können. Die jahrzehntelang eingesetzten, vorbeugenden Abwehrmaßnahmen haben Konzepte etabliert wie Sandboxing, Transparenz dank gemeinsam genutzter Quellen, die Nutzung cloudbasierter Informationen sowie die Erkennung von Anomalien auf Basis maschinellen Lernens, um Bedrohungen mit statischen und verhaltensbasierten Analysen abzuwehren. Deshalb ist es nur logisch, diese Techniken zu nutzen, wenn wir über die Erkennung und Abwehr von Bedrohungen sprechen.

Die meisten Angriffe nutzen immer noch E-Mail-Kommunikation, verwenden jedoch jetzt Makros oder andere Methoden ohne Dateianhänge, um Abwehrmaßnahmen zu umgehen. Kompromittierte Hosts und der Diebstahl von Zugangsdaten bringen die Identitäten als neuen Parameter in das Spionage-Spiel ein. Die Einführung von Windows 10 mit Multi-Faktor-Authentifizierung und die Verhinderung der Möglichkeit, Anmeldeinformationen abzugreifen, kam zur rechten Zeit. Untersuchungen zeigen jedoch, dass sich Angriffe schon innerhalb weniger Stunden im Netzwerk ausbreiten können und Angreifer vom Zeitpunkt der Infektion bis zur Entdeckung von Attacken immer noch monatelang unentdeckt bleiben können.

Die Erkennung und die Reaktion auf Bedrohungen nach einem Angriff sollten im Fokus stehen – und wir bieten die erforderlichen Technologien für präventive Sicherheitsmaßnahmen. Größere Unternehmen setzen häufig APIs ein, um mehrere „Best-in-Breed“-Sicherheitslösungen des Gartner Magic Quadrant wie Next-Generation Firewalls, Endgeräteschutz, Web- und E-Mail-Gateways, Cloud-Access-Security-Broker (CASB) sowie Security Information and Event Management (SIEM) zu integrieren. Eine umfassende Struktur präventiver Abwehrmaßnahmen mit der zentralen Sammlung unstrukturierter Logdaten und Ereignisse für die Normalisierung und Korrelation. Moderne Sicherheitsinfrastrukturen nutzen neben der Sammlung von Logdaten und sicherheitsrelevanten Ereignissen zusätzlich Verhaltensanalysen – und dies auch mit einigem Erfolg, falls ausreichend konkrete Fallbeispiele sowie die erforderlichen Daten für die Erkennung von Anomalien zur Verfügung stehen.

Verfügen Sie über die passende Sicherheitsinfrastruktur für die Erkennung und Reaktion auf Bedrohungen? Auch wenn Sie zahlreiche Erkennungs- und Abwehrmaßnahmen an verschiedenen Stellen einsetzen und Ihre Compliance-Vorgaben erfüllen können, bedeutet dies nicht, dass Ihre Methoden für die Erkennung und Abwehr sehr effektiv sind. Es gibt eine andere DNA für Detection & Response. Das sind die Metadaten – oder auch die Informationen über Ihre Daten. Metadaten ermöglichen schnelle Abfragen, Nachverfolgungen und Prüfungen, wobei häufig 90 Prozent der Informationen lediglich auf Kosten von 20 Prozent des Speichers zur Verfügung gestellt werden können und sich sowohl für die Echtzeit- als auch für retrospektive Analysen eignen. Die Metadaten stammen aus vertrauenswürdigen Sicherheitslösungen, die dazu dienen, nützliche Informationen für die Erkennung und Reaktion auf Bedrohungen zu sammeln, bereitzustellen und zu optimieren.

Eine einfache Metapher oder ein einfaches Beispiel hierfür sind Telefongespräche als primäre Datenquelle. Sie können Telefonate ebenso wie Datenpakete aufzeichnen, um daraus zu lernen oder Bezug darauf zu nehmen. Die Speicheraufwendungen hierfür sind jedoch erheblich. Sie können weder Anfragen an diese Aufzeichnungen stellen noch diese als intelligente Informationsquelle nutzen. Sie müssen sich jede Aufnahme anhören, um wertvolle Informationen daraus abzuleiten. Aufzeichnungen eignen sich daher hervorragend für die Forensik und können – bei Bedarf – dazu verwendet werden, erforderliche Nachweise zu liefern.

Eine andere Möglichkeit ist es, einfache Metadaten in Netzwerken mit NetFlow zu sammeln, um die Quelle, das Ziel, das Protokoll, den Dienst und die Dauer zu bestimmen. Allerdings fehlt dieser einfachen Metadatenebene der Kontext eines Telefongesprächs. Sie können auch Logdaten und Events ergänzen, um Informationen zu spezifischen Endgeräten, Aktivitäten, blockierten Anrufen, Außerbetriebnahmen, normalem Verhalten, anormalem Verhalten, etc. zu erhalten. So sind Sie über zeitliche Abläufe und die Aktivitäten informiert – aber kennen Sie dann die Inhalte der Telefonate und den Kontext?

Umfassende Metadaten stammen aus der eingehenden Prüfung der Kommunikation und der Inhalte, die häufig verschlüsselt sind und auf mehreren Ebenen verschleiert werden. Was wäre, wenn Sie Tausende von Anrufen hinsichtlich der Tags und der spezifischen Metadatenelemente analysieren könnten? Dies würde Ihnen eine schnelle Aufrage, Filterung und Untersuchung der Inhalte und des Kontexts ermöglichen. Sie könnten sich beispielsweise auf Telefonate, die im Zusammenhang mit Urlauben und Sonnenbränden an einem spezifischen Ort konzentrieren, die den Besuch einer medizinischen Einrichtung und betrügerische Versicherungsansprüche zur Folge hätten. Noch besser: Was wäre, wenn Sie mit dem Metadatenmodell Ihre eigenen spezifischen Tags für Inhalte erstellen könnten? Ein realitätsnahes Beispiel: Sie können die Metadaten nutzen, um ein Profil über die Inhalte eines Autors oder einer spezifischen Fußzeile in einem Dokument erstellen, ebenso über den Empfänger oder Absender des spezifischen Dokuments. Zudem könnten Sie feststellen, worauf dieser Anwender zugegriffen hat oder über welche weiteren Kommunikationskanäle er Informationen verschickt hat.

Die Metadaten dienen dazu, Bedrohungen, Datendiebstahl und Datenverlust zu erkennen – und zwar in einer Session-übergreifenden Analyse, und nicht nur mittels spezifischer Warnmeldungen. Die umfassenden Metadaten aus Netzwerk-, Endpunkt- und Cloud-Umgebungen bilden die DNA für Detection & Response. Wir dürfen uns nicht auf die gängigen und bekannten Konzepte für eine vorbeugende Abwehr beschränken, wenn wir bereits erfolgte Sicherheitsverletzungen erfolgreich erkennen und darauf reagieren möchten. Weitere Informationen zu Metadaten sowie spezifische Fallbeispiele finden Sie in unserem Whitepaper „Was verbirgt sich in Ihren Metadaten?

Wie entwickelte Fidelis dieses umfassende Metadatenmodell? Mehr als 4.000 Sicherheitsvorfälle in Unternehmen und öffentlichen Einrichtungen sowie die Expertenaussagen in über 100 Gerichtsverfahren fließen in unsere gesammelten Erfahrungen, wie wir auf sicherheitsrelevante Vorfälle reagieren sollten, ein. Die Lösungen von Fidelis für den Schutz von Netzwerken und Endpunkten sowie unsere Deception-Technologie liefern umfassende Metadaten, sind in den ereignisgesteuerten Workflow für Detection & Response eingebunden und bieten einen hohen Automatisierungsgrad für gängige Sicherheitsanalysen. Darüber hinaus bieten wir einen Managed Detection and Response (MDR) Service für unsere Detection & Response-Lösungen an, der diese umfassenden Metadaten ebenfalls nutzt.

Autor: Roland Messmer - Sales Director - Central Europe