SIEM und der Kampf gegen Ransomware

20.07.2017

Angriffe mit Ransomware wie Petya/NotPetya, WannaCry oder Locky häufen sich. Die Umsetzung der ab Mai 2018 rechtskräftigen EU-Datenschutzgrundverordnung (DSGVO) übt zusätzlichen Druck auf die IT-Abteilungen aus. Bei Verstößen dagegen droht die EU mit harten Strafen.

Wegen der künftigen Sicherheitsbestimmungen sollten sich IT-Verantwortliche dringend mit Ansätzen zur revisionssicheren Nachverfolgung von personenbezogenen Daten auseinandersetzen. Eine Lösung könnte der Einsatz einer (SIEM) Security Information and Event Management-Software sein.

Mithilfe einer SIEM-Lösung können IT-Verantwortliche gleich zwei Fliegen mit einer Klappe schlagen. Einerseits hilft sie ihnen, die Vorgänge innerhalb des eigenen Netzwerks im Auge zu behalten, andererseits unterstützt sie sie auf dem Weg zur Erfüllung der Vor­gaben der DSGVO.

 

Durchblick im Netzwerkverkehr

Patch-Management ist ein wichtiger Baustein im Kampf gegen Ransomware. IT-Administratoren sollten die Netzwerkbewegungen und vor allem Log-Einträge innerhalb ihrer Organisation genau beobachten. SIEM nimmt ihnen diese Aufgabe zu einem Teil durch Automatisierung ab. Es sammelt, korreliert und wertet Log-Daten aus und warnt bei sicherheitsrelevanten Zwischenfällen durch vorkonfigurierte Alarme. Zusätzlich reichern Informationen unterschiedlichster Hardware und Software von Switches, Firewalls usw. aber auch von Mail- oder Webservern und spezifischem Equipment die Analysen an. Sensoren für Netzwerkdienste wie Ping, HTTP, SMTP, FTP, POP3 oder verschiedenster Datenbanken dienen ebenfalls als ­Datenquellen, die über Schnittstellen ­betrachtet werden können.

 

Ransomware mithilfe von SIEM bekämpfen

Vor dem Hintergrund der derzeitigen Gefährdung durch WannaCry haben ­IT-Sicherheitsexperten bei LogPoint umgehend reagiert und ein kostenloses Update zur bestehenden SIEM-Lösung LogPoint entwickelt. Das dänische ­Unternehmen beobachtet das Verhalten verschiedener Malware-Varianten bereits seit längerem. Die nach dem bös­artigen Code benannte Plug & Play ­WannaCry-Applikation arbeitet mit Firewalls, Security Appliances, File-Share-Anwendungen oder anderen zusammen. Sie deckt ungewöhnliche Verbindungen zu SMB-Services zwischen den Workstations auf. Dabei verwendet sie die wurmartige Ausbreitung des Schadcodes gegen ihn. Die Übertragungsmethode von WannaCry löst auffälliges Login-Verhalten im Netzwerk aus, wie beispielsweise den Aufbau von Verbindungen zwischen einzelnen Clients und eben nicht den direkten Verbindungsaufbau eines Clients zu einem Server. Zusätzlich warnt die SIEM-­Erweiterung, sobald Daten auf einem Client verschlüsselt werden und markiert dies ebenfalls als ungewöhnliches Verhalten. Verschiedene Varianten der Ransomware versuchen sich mit einer Domain zu verbinden, die inzwischen von einem Sicherheitsforscher deaktiviert wurde. Dieser Vorgang lässt sich leicht nachverfolgen und die WannaCry-Applikation schlägt Alarm und informiert die zuständigen Personen im Unternehmen. Die Alarmierung erfolgt nach der Auswertung der Log-Files, setzt dann den betroffenen Client in Quarantäne, informiert den Security-Verantwortlichen und schickt dem Back-Up Administrator die verschlüsselten Files, damit er diese wiederherstellen kann. Das ermöglicht IT-Sicherheitsverantwortlichen, schnell zu reagieren und eine Infektion zu verhindern.

 

Fazit – Mit regelmäßigen Updates Schritt halten

Unternehmen sollten sich auf zukünftige Gefahren vorbereiten. Deshalb beobachten Sicherheitsforscher von LogPoint die Evolution der Malware. Mit entsprechenden Updates reagieren sie sofort auf jede Veränderung der Schadcodes. Eine SIEM-Lösung dient allerdings nicht nur der Eindämmung bösartiger Software. Der Ansatz der Software hilft ihnen ­darüber hinaus dabei, die Meldepflichten der EU-Richtlinie umzusetzen.

 

Diesen Artikel finden Sie auf av-finance.com und in der Fachzeitschrift VB Versicherungsbetriebe, Ausgabe 3/2017.