Aktueller Channel Fokus:

Komponenten & Peripherie

IT-Security Management & Technology Conference 2019

Unternehmen im Visier von Angreifern

| Autor / Redakteur: Florian Kellermann / Peter Schmitz

Die Frage ist nicht mehr ob und warum Unternehmen gehackt werden, sondern ob man den Hack dann auch bemerkt.
Die Frage ist nicht mehr ob und warum Unternehmen gehackt werden, sondern ob man den Hack dann auch bemerkt. (Bild: gemeinfrei / Pixabay)

Die Frage, warum ein Unternehmen gehackt wird, stellen sich viele Security-Verantwortliche oft gar nicht. Unternehmen gehen davon aus, dass sie zu klein seien um ein lohnendes Ziel für Angreifer zu sein. Das zeigt, dass viele Verantwortliche die Risiken für ihr eigenes Unternehmen nicht sehen oder gar nicht kennen, meist sogar ein falsches Verständnis davon haben, was kriminelle Hacker motiviert.

Die Welt der Cybersicherheit hat sich in den letzten Jahren sehr weiterentwickelt. Die unschuldigen Zeiten, in denen Viren aus Spaß von Jugendlichen auf Floppydisks verbreitet wurden, oder Bildungseinrichtungen sich gegenseitig Computer-Würmer schickten, sind vorbei. Heutzutage sind Angreifer hochgradig begabt und ausgebildet. Sie werden durch finanzielle Anreize motiviert sowie durch die Möglichkeit, Informationen zu stehlen oder einer Marke zu schaden. Bei einigen Hackern stecken auch ideologische Motive hinter ihren Attacken. Was als eine Art Hobby begann, hat sich in Kriminalität gewandelt – mit ernsthaften Konsequenzen.

Die traditionell genutzten Verteidigungsmittel wie Firewalls und Endpunktschutz machen einen guten Job bei dem, für was sie entwickelt wurden – also das Erkennen und Blocken von bekannten Gefahren. Leider können sie nicht alle der heutigen Angriffe nicht erkennen und dieser kleine Prozentsatz beinhaltet die gefährlichsten Attacken sowie richten den größten volkswirtschaftlichen Schaden an.

Heutzutage ist jedes Unternehmen ein Ziel

Die Evolution von Cybergefahren wurde durch große finanzielle Anreize innerhalb der letzten zehn Jahre stark vorangetrieben. Unternehmenswerte sind viel wert, egal ob es Kundendaten, persönliche Daten, intellektuelle Erfindungen oder der Zugang zu Unternehmensinfrastrukturen ist. Irgendjemand wird immer da sein, um diese Geschenke anzunehmen.

Datenlecks und Cyberattacken sind kostspielig, sowohl in den direkten als auch den indirekten Kosten und dem möglichen Verlust der Reputation von Marken und Unternehmen.

Es gehört nicht viel dazu, heutzutage von Cybergefahren bedroht zu sein. Die Mehrzahl der Gefahren ist leicht und überall für jeden verfügbar und nutzen Schwachstellen, die durchaus bekannt sind. Zusätzlich wird die Gefahr, Opfer einer zielgerichteten Attacke oder fortschrittlicher Gefahren zu werden, immer größer und bedroht auch immer mehr kleinere und mittlere Unternehmen. In einer Welt, in der weltweit zusammengearbeitet wird, kann die Firma, mit der Sie zusammenarbeiten, bereits angegriffen worden sein und von den Angreifern als Schlüssel zu Ihrem Unternehmen genutzt werden – oder andersrum. Es muss nicht mehr ein global operierendes Unternehmen mit einer zielgerichteten Attacke angegriffen werden, jeder kann zum Ziel werden.

Die Nadel im Heuhaufen

Gut ausgebildete und fortschrittliche Angreifer nutzen sehr selten (wenn überhaupt) Malware. Das erste Ziel dieser Angreifer ist, potenzielle Ziele für ihre Mission zu identifizieren. Dafür sammelt der Angreifer meist Informationen über das Zielunternehmen, baut eine falsche Identität auf, baut Domains und gefälschte Profile auf, um Social Engineering bestmöglich nutzen zu können.

Sobald der Angreifer weiß, welche Verteidigungsmaßnahmen vorhanden sind, wählt er seine Waffen. Der angegriffene Vektor ist oftmals unmöglich zu erkennen oder zu verhindern. Das können Zero-Day-Exploits, Spear-Phishing-Kampagnen oder das Bestechen eines Angestellten sein.

Social Engineering ist dabei so effektiv, weil es Vertrauen untergräbt. Deshalb ist der menschliche Faktor oft das schwächste Glied in der Kette der Cyber Security. Sobald der Angreifer sich dann Zutrifft in die Netzwerkumgebung verschafft hat, kann er sich innerhalb des Netzwerk unverdächtig ausbreiten, ohne Aufsehen zu erregen.

Wie kann man solche gezielten Attacken erkennen?

In einer Netzwerkumgebung geschehen Milliarden Events zu jeder Zeit. Diese Events umfassen alles, was an einem Computer so geschieht: Logins, Klicks oder Downloads. Die größte Herausforderung ist dabei herauszufinden, was schadhaftes und was normales Verhalten ist. Das ist dann ein bisschen wie die Nadel im Heuhaufen zu finden. Und dort kommt künstliche Intelligenz und Machine Learning zum Zug.

Es ist schlicht nicht möglich für einen Menschen, Milliarden Events zu verarbeiten. Deshalb wird Machine Learning genutzt, um die Daten zu analysieren und verdächtige Vorfälle zu finden. Machine Learning ist eine Basiskomponente für effektive Erkennungs- und Reaktionslösungen. Es hilft Menschen bei der Erkennung, ob ein Login böswillig oder normal ist.

Ergänzendes zum Thema
 
Der Prozess der Cybersicherheit

Den Gesamtkontext erkennen

Um die Schwere und das Ausmaß einer gezielten Attacke erkennen zu können, muss man das Gesamtbild betrachten. Gezielte Angriffe starten bei einem Computer und verteilen sich dann über das ganze Netzwerk. Das bedeutet, dass man sich nicht auf die Erkennung einer Maschine beschränken darf. F-Secure hat die so genannte Broad Context Detection entwickelt, um eine Übersicht über alle wichtigen Events innerhalb eines Unternehmensnetzwerks zu schaffen.

Wird problematisches Verhalten auf einem Computer gefunden, wird versucht Spuren ähnlichen Verhaltens zu finden, wie zum Beispiel eine ähnliche oder gleiche Datei auf anderen Maschinen. Wird ähnliches Verhalten auf anderen Maschinen gefunden, wird nach mehr Erkennungen dieser Art gesucht und auch diese verbunden. Anstatt nach punktuellen Erkennungen wird nach einem Gesamtkontext gesucht.

In einer Kundenumgebung mit 325 Knoten erfassten die Sensoren von F-Secure über einen Zeitraum von einem Monat rund 500 Millionen Ereignisse. Bei der Rohdatenanalyse durch die Backend-Systeme wurde diese Anzahl auf 225.000 verdächtige Ereignisse reduziert. Diese verdächtigen Ereignisse wurden durch die Broad Context Detection-Mechanismen weiter analysiert. Die Anzahl der Erkennungen ließ sich so auf nur 24 reduzieren. Schließlich wurden diese 24 Erkennungen von menschlichen Experten im Detail überprüft. Davon stellten sich wiederum nur 7 als echte Bedrohungen heraus. Durch die Konzentration auf weniger und hochzuverlässige Erkennungen ist im Angriffsfall eine schnellere und effektivere Reaktion möglich.
In einer Kundenumgebung mit 325 Knoten erfassten die Sensoren von F-Secure über einen Zeitraum von einem Monat rund 500 Millionen Ereignisse. Bei der Rohdatenanalyse durch die Backend-Systeme wurde diese Anzahl auf 225.000 verdächtige Ereignisse reduziert. Diese verdächtigen Ereignisse wurden durch die Broad Context Detection-Mechanismen weiter analysiert. Die Anzahl der Erkennungen ließ sich so auf nur 24 reduzieren. Schließlich wurden diese 24 Erkennungen von menschlichen Experten im Detail überprüft. Davon stellten sich wiederum nur 7 als echte Bedrohungen heraus. Durch die Konzentration auf weniger und hochzuverlässige Erkennungen ist im Angriffsfall eine schnellere und effektivere Reaktion möglich. (Bild: F-Secure)

Broad Context Detection ist ein perfektes Beispiel für den Ansatz “Mensch und Maschine” von F-Secure in Aktion. Mit solchen Technologien können Unternehmen Attacken schnell und effektiv erkennen und stoppen. Die Technologie erlaubt es Unternehmen, Attacken zu priorisieren und dann zu reagieren. Wenn man den Risikograd versteht, die relative Wichtigkeit der betroffenen Maschinen und die generelle Gefahrenumgebung, kann man bessere Entscheidungen über den Umfang der Reaktion fällen.

Hundertprozentige Sicherheit gibt es nicht!

Unternehmen investieren viel in Sicherheitslösungen, um sich vor Cyberangriffen zu schützen. Aber Unternehmen wissen auch, dass keine Lösung hundertprozentigen Schutz bieten kann – die Angreifer werden immer einen Weg finden, die Sicherheitsvorkehrungen zu überwinden. Vor diesem Hintergrund stellt sich die Frage: “Wenn ich gehackt werde, würde ich es wissen?” Mit guter Erkennung und den richtigen Tools zur Reaktion würde man es.

Über den Autor: Florian Kellermann betreut als Sales Engineer beim finnischen Cyber Security Anbieter F-Secure Unternehmen und Partner in Fragen der IT-Sicherheit. Neben der Vorstellung und technischen Inbetriebnahme des F-Secure Portfolios gehört auch die generelle Beratung hinsichtlich Endpoint- und Netzwerk-Sicherheit, IT Forensik, Schwachstellenmanagement und Risk Management zu seinem Aufgabengebiet. Seine mehrjährige Cyber Security Erfahrung sammelte Kellermann neben F-Secure in verschiedenen technischen Positionen bei IT-Security Dienstleistern.“ F-Secure ist Premium-Partner bei der IT-Security Management & Technology Conference 2019. Florian Kellermann hält dort den Vortrag „Heute schon gehackt worden?“.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45901889 / Summits & Exclusives)