Cyberabwehr durch verhaltensbasiertes Sicherheits-Monitoring

16.01.2018

Verhaltensbasierte Analyse-Funktionen können Sicherheitsverantwortliche dabei unterstützen, interne wie externe Bedrohungen zu erkennen und zielgerichtete Angriffe abzuwehren.

Zielgerichtete Angriffe sind seit Jahren ein großes Problem für Unternehmen, weil sie nur schwer zu entdecken und dementsprechend zu verteidigen sind. Die Attacken werden entweder brachial mit hoher Geschwindigkeit oder stufenweise mit erheblichem Tarnungsaufwand durchgeführt. In jedem Fall ist die Abwehr nur mit einem speziellen Incident-Response-Planmöglich, da solche Angriffsformen klassische Sicherheitsmechanismen einfach umgehen.

Hinter den Aktivitäten stehen nach Angaben des aktuellen BSI-Lageberichts vor allem selbstständige Dienstleister, die von Regierungen und Organisationen beauftragt werden, entweder solche Angriffe selbst durchzuführen, oder aber die entsprechende Schadsoftware zu entwickeln. „Die fließenden Grenzen zwischen APTs und Crimeware führen auch dazu, dass Techniken aus Spionage-Angriffen inzwischen auch in cyberkriminellen Kampagnen genutzt werden“, heißt es dort. Ein Beispiel für eine solche Gruppe wurde 2017 aufgedeckt und trägt den Namen Winnti. Ziel der Cyberkriminellen waren Spieleentwickler, die mit einer gefälschten Antiviren-Software und dem dort eingebetteten Schadcode infiziert wurden.

Fast die Hälfte der Geschäftsführer und IT-Sicherheitsleiter von 450 deutschen Unternehmen, die in einer Umfrage des Beratungsunternehmens EY (PDF) im Juli 2017 kontaktiert wurden, gaben an, bereits Ziel einer Cyberattacke gewesen zu sein. Viele von ihnen wurden über Cyberspionagemechanismen ausgehorcht. Daraus lässt sich schließen, dass viele dieser Angriffe zielgerichtet waren und die Personen und Unternehmen ganz bewusst ausgewählt wurden, um sensible Informationen zu stehlen beziehungsweise zu kopieren. Immer öfter versuchen die Hintermänner Daten zu zerstören, oder unbrauchbar zu machen. Bekannt wurde dieses Phänomen mit der Ransomware Petya, die aufgrund der aufgesetzten Kampagne weniger zur Lösegelderpressung als zur Sabotage eingesetzt wurde.

Lösungsansatz: Verhaltensbasiertes Sicherheits-Monitoring

Zielgerichtete Angriffe stellen eine Gefahr dar, die mit Lösungen für das Sicherheits-Monitoring erkannt werden können. Die Empfehlung der Bundesbehörde unterstreicht diese Einschätzung. Zunächst sollten sich die Sicherheitsverantwortlichen ein Bild über die eigenen präventiven Maßnahmen und Mittel zur Detektion möglicher Kompromittierungen machen und dann gezielt Threat Intelligence ergänzen, um bestehende Monitoring-Lösungen mit Signaturen und Informationen zu erweitern.

Gegen zielgerichtete Attacken helfen stetig aktualisierte Informationen über neue Virensignaturen und Bedrohungsmuster jedoch nur bedingt. Ein Weg, das Monitoring des Unternehmensnetzwerks im Sicherheitsbereich zu verbessern, ist die Implementierung von verhaltensbasierten Analyse-Funktionen, die umgangssprachlich auch als UEBA (User and Entity Behavioral Analytics) bezeichnet werden. Damit ist einerseits eine Analyse des Nutzer- aber auch des Systemverhaltens gemeint.

Hierbei sind mit Systemen alle Komponenten gemeint, die sich in einem Unternehmensnetzwerk befinden, zum Beispiel Endpunkte oder auch Dokumente. Verhaltensbasierte Analysen werden durchgeführt, um bösartiges Verhalten von sowohl Bedrohungen von Innen als auch Bedrohungen von außen frühzeitig zu erkennen. Hier werden keine Signaturen oder Rollen beziehungsweise Aufgaben der Netzwerkkomponenten und Nutzer untersucht, sondern rein ihr Verhalten. Dafür muss zunächst festgestellt werden, was normales und abnormales Verhalten überhaupt ist.

An diesem Punkt kommt das maschinelle Lernen ins Spiel. Für jedes „Ding“ im Netzwerk wird normales Verhalten definiert, um Abweichungen von der Norm automatisiert erkennen zu können. Die grundlegende Analyse ist von Branche zu Branche verschieden und sollte vorab durchgeführt werden, um sogenannte Patterns festzulegen, nach denen UEBA-Software das Verhalten auswertet.

Nicht-rollenbasierte Angriffe abwehren

Viele rollenbasierte Sicherheitslösungen werden von Angreifern umgangen. Dies ist der Fall, wenn nach einer Kompromittierung beispielsweise nicht sofort weitere Malware nachgeladen wird, sondern die Malware erst einmal „schläft“ und zu einem deutlich späteren Zeitpunkt „aufwacht“ oder von „außen geweckt“ wird. SIEM-Lösungen, also Sicherheits-Monitoring-Lösungen, die bislang den Netzwerkverkehr nach Auffälligkeiten durchsuchen, können in Verbindung mit diesen verhaltensbasierten Analysen die Netzwerksicherheit auf ein neues Niveau heben.

Abnormale Aktivitäten in der Active Directory, unautorisierter Datentransfer oder Missbrauch von Nutzerkonten werden dann aufgrund der vordefinierten Alarme als Log-Dateien im SIEM-System ausgelöst. Diese Warnungen werden nicht nur in Echtzeit gesendet, sondern werden auch durch sogenannte „Risk Scores“ bewertet.

Einige Beispiele für abnormales Verhalten:

  • Änderungen in der Active Directory von unautorisierten Accounts
  • Manipulation am Nutzerstatus sensibler Accounts
  • Plötzlich werden Privilegien für Nutzer gewährt, die bislang nicht über entsprechende Rechte verfügt haben oder verfügen durften
  • Berechtigungen für den Zugriff auf sensible Dokumente werden gewährt
  • Dateien werden auf einmal massenweise gelöscht
  • Massen von Daten werden auf ein bestimmtes Dateisystem verschoben oder verschickt
  • Nutzer versuchen wiederholt auf die gleichen Dateien zuzugreifen
  • Darüber hinaus können auch verdächtige Log-Einträge auf Druckern (Anzahl und Art der gedruckten Dokumente, Zeitraum, etc.) auf Täter aus dem Inneren hinweisen.

 

Fazit

Unternehmen müssen sich stärker vor zielgerichteten Angriffen schützen, denn die Vorgehensweisen der Cyberkriminellen werden immer ausgefeilter. Die Hintermänner gehen bei solchen Angriffen nicht sofort nach einer Kompromittierung dazu über, die eingeschleuste Schadsoftware zu aktivieren. 

Weiterer Schadcode wird erst nach einiger Zeit nachgeladen, um die Kontrolle über das Netzwerk oder auf Servern gespeicherte Daten zu übernehmen. Die Malware wird erst zu einem späteren Zeitpunkt aktiviert, um so unter dem Radar der traditionellen Sicherheitslösungen zu fliegen, die zumeist nur signaturbasiert suchen oder aber die Malware nur nach aktivem Verhalten scannen.

Verhaltensbasiertes Sicherheits-Monitoring in Verbindung mit SIEM unterstützt die Sicherheitsverantwortlichen dabei, die bösartige Software aufzuspüren, auch wenn sich diese noch im Schlaf befindet. Darüber hinaus können auch interne Gefahren oder unbemerkter Datenabfluss automatisiert aufgespürt und erkannt werden, denn nicht nur das Verhalten von Software, sondern auch von Accounts wird erfasst.

 

Publiziert auf der Webseite Searchsecurity.de