Open-Source-Lösung zeigt verdächtige Aktivitäten bei Cyberangriffen

Oftmals ist es schwierig zu verstehen, welche Aktivitäten während eines Cyberangriffs stattfinden und was für Auswirkungen diese haben. In die dazugehörige Analyse müssen die IT-Abteilungen sowohl Ressourcen als auch Zeit investieren, die eigentlich viel dringender benötigt würden, um den Schaden zu verringern und den Angriff einzudämmen. Um das genannte Problem zu lösen, steht ab sofort ein kostenloses Open-Source-Werkzeug zur Verfügung, das die verdächtigen Aktionen visualisiert und in Beziehung zueinander stellt.

Screenshot: WithSecure

Detectree, entwickelt von WithSecure (ehemals F-Secure Business), ist ein Visualisierungstool für Cybersicherheitsverantwortliche (auch bekannt als Blue Teams). Laut Tom Barrow, Senior Threat Hunter bei WithSecure Countercept, dem Managed Detection and Response Service von WithSecure, ist es für die Verantwortlichen entscheidend, die Zusammenhänge zwischen den verdächtigen Ereignissen auf einem bestimmten Endpoint besser zu erkennen.

„Im Falle eines Sicherheitsvorfalls läuft die Zeit immer gegen einen. Dann geht es darum, die Daten schnell zu analysieren und die entsprechenden Zusammenhänge zwischen Daten und Aktivitäten herzustellen, um die Reaktion auf den Angriff vorzubereiten. Das kostet Zeit, die nicht mit der eigentlichen Maßnahme verbracht wird, den Cyberangriff zu bekämpfen, und baut zusätzlichen Druck auf.“

Versucht ein Analyst beispielsweise, die Ursache eines verdächtigen Vorgangs zu finden, muss er normalerweise die Protokolldaten durchsehen und die Ereigniskette manuell rekonstruieren. Je länger die Kette ist, desto schwieriger und zeitaufwendiger wird die Analyse. Und angesichts der Menge an Sicherheitswarnungen, mit denen Blue Teams in großen Unternehmen konfrontiert werden können – laut einer aktuellen Studie etwa 11.000 pro Tag – ist dies ein aufwendiger Prozess, der zu Problemen wie Überlastung bis hin zum Burnout führen kann.

Detectree wurde konzipiert, um Blue Teams bei der Vereinfachung der Ermittlungsarbeit zu unterstützen, indem Log-Daten in einer Visualisierung strukturiert werden, die die Zusammenhänge zwischen der erkannten verdächtigen Aktivität und den mit dieser Erkennung verbundenen Prozessen, Zielen im Netzwerk, Dateien oder Registrierungsschlüsseln zeigt. Anstatt die als Text dargestellten Daten manuell zu sortieren, um eine Ereigniskette zu rekonstruieren, können die Sicherheitsverantwortlichen anhand der Visualisierung nicht nur die Zusammenhänge erkennen, sondern auch die Art der Verbindungen, einschließlich Interaktionen, Parent-Child-Beziehungen und Codeausführung durch dritte Prozesse.

Mithilfe der Visualisierung können die Verantwortlichen schnell den Kontext im Falle einer Erkennung herstellen und diese Daten auf einfache und intuitive Weise an die relevanten Beteiligten weitergeben. So wird sichergestellt, dass die Informationen für alle zugänglich sind, die benötigt werden.

„Selbst die erfahrensten und qualifiziertesten Blue Teams benötigen Tools, die ihnen dabei helfen, ihre Arbeit effizient zu erledigen. Detectree ist zwar ein einfaches Tool, doch löst es echte Probleme, die bei der täglichen Arbeit der Sicherheitsverantwortlichen auftreten können“, sagt Barrow.

Weitere Informationen und Download: Github-Seite von WithSecure Countercept