Mit Maschinendaten können sich Unternehmen gegen unbekannte Sicherheitsrisiken schützen

Mit Splunk dem Datendieb auf der Spur

Bei einem der größten Finanzkunden von Splunk hatte sich ein interner Benutzer mit dem Universalnamen “Administrator” an einem Windows-Endgerät angemeldet. Da aber alle Benutzer einen eindeutigen Namen haben und nicht in der Lage sein sollten, sich als “Root” oder “Administrator” anzumelden, löste dieser Vorgang einen Alarm in der Sicherheitsabteilung aus.

Gleichzeitig erkannte die Anti-Malware-Anwendung, dass auf demselben Endgerät ein bei Hackern sehr beliebtes Schadprogramm ausgeführt wurde. Mit einem Spezialwerkzeug für die Vermeidung von Datenverlust konnte schließlich festgestellt werden, dass von dem “Administrator”-PC unverschlüsselte Kreditkartendaten an einen verdächtigen Command & Control-Server übermittelt wurden.

Alles deutete auf einen Hackerangriff hin – drei verdächtige Ereignisse, die sich innerhalb kürzester Zeit auf einem einzigen Gerät abspielten. Der Angreifer konnte sich über die gefälschten Anmeldedaten eingeloggen und vermutlich Malware sowie eine Hintertür für den Remote Access installieren, um so an die Kreditkartendaten zu gelangen.

Das Unternehmen reagierte, indem es das Ereignismuster ermittelte und durch Korrelation auf drei verschiedene Datenquellen anwendete. Sollte es erneut auftreten, konnte es automatisch und in Echtzeit erkannt und danach ein entsprechender Alarm ausgelöst werden. Darüber hinaus verknüpfte es den Alarm mit einem einfachen Script, das alle externen Verbindungen eines infizierten Geräts automatisch blockiert und einen künftigen Datendiebstahl sofort identifizieren und verhindern kann. Anhand einer historischen Mustersuche ließen sich weitere infizierte Geräte finden und anschließend säubern.

Indem die Gefahr sofort erkannt und gebannt wurde, entstanden dem Unternehmen keine Nachteile durch Kreditkartenkosten, Imageverlust, die Abwanderung verunsicherter Kunden, Strafgebühren für die Nichteinhaltung von PCI-Vorschriften oder ähnliches.