{"id":17711,"date":"2020-12-08T11:09:00","date_gmt":"2020-12-08T10:09:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=17711"},"modified":"2020-12-01T11:22:24","modified_gmt":"2020-12-01T10:22:24","slug":"angriffserkennung-mit-geschlossenen-augen-funktioniert-nicht","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=17711","title":{"rendered":"Angriffserkennung mit geschlossenen Augen funktioniert nicht"},"content":{"rendered":"\n

Autor\/Redakteur: Gregor Krah, Strategic Business Manager SOC Services bei FERNAO Networks<\/a>\/gg<\/p>\n\n\n\n

\u201cIst der Schutzwall erst einmal aufgebaut, haben Unternehmen nichts mehr zu bef\u00fcrchten.\u201d So einfach funktioniert Cybersicherheit heute nicht mehr: Dieser Beitrag befasst sich mit der Frage, warum IT-Verantwortliche ihren Ma\u00dfnahmen zur Pr\u00e4vention nicht blind vertrauen sollten und wie sie Angriffe erkennen, noch bevor diese Schaden anrichten.<\/p>\n\n\n\n

\"\"
Bild: FERNAO Networks<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Auch in Zukunft kann IT-Sicherheit nicht auf Pr\u00e4vention verzichten. Es ist nicht so, dass ein proaktives Vulnerability Management oder auch klassische Segmentierungsl\u00f6sungen wie Firewalls und Intrusion Prevention Systeme (IPS) ihre Daseinsberechtigungen verlieren. Sie alle sind definitiv eine wichtige Basis von Sicherheitskonzepten. Doch sie sch\u00fctzen letztendlich nur den Perimeter oder einzelne Netzwerkbereiche. Angesichts der wachsenden heterogenen Strukturen rund um Hybrid Cloud, Virtualisierung und untereinander vernetzte IoT-Ger\u00e4te ist es notwendig, die Systeme nach \u201eau\u00dfen\u201c und \u201einnen\u201c ganzheitlich abzusichern und den gesamten Pool an Applikationen, Datenbanken und Netzen permanent auf sch\u00e4dliche Aktivit\u00e4ten zu untersuchen. <\/p>\n\n\n\n

Pr\u00e4vention und Detektion <\/strong><\/p>\n\n\n\n

In der Sicherheitspraxis hinkt die Detektion allerdings im Vergleich zur Pr\u00e4vention hinterher. Dies liegt an der noch geringen Awareness f\u00fcr deren tats\u00e4chliche Relevanz im Security-Konzept. Daraus resultiert nat\u00fcrlich auch eine mangelhafte Investitionsbereitschaft. Doch verlassen sich Unternehmen zu sehr nur auf pr\u00e4ventive Tools, hat Malware \u2013 sobald sie einmal den Perimeterschutz durchbrochen hat \u2013 leichtes Spiel. Denn gibt es keine detektiven L\u00f6sungen, um sie fr\u00fchzeitig aufzusp\u00fcren, kann sie lange unentdeckt im Netzwerk agieren. Man spricht hier von Lateral Movement: Bedrohungsakteure bewegen sich seitw\u00e4rts und v\u00f6llig inkognito im Netzwerk, um dort kontinuierlich Informationen f\u00fcr ihr Angriffsziel zu sammeln.<\/p>\n\n\n\n

Wird der Sicherheitsvorfall sp\u00e4ter doch bemerkt, sind die Folgen meist gravierend: CISOs m\u00fcssen sich nicht nur vor der Gesch\u00e4ftsf\u00fchrung f\u00fcr lange vers\u00e4umte Handlungen rechtfertigen. Je nach Auspr\u00e4gung und betroffenen Datens\u00e4tzen kann es sogar zu rechtlichen Konsequenzen im Zusammenhang mit Datenschutzbeh\u00f6rden kommen. Vor allem steigt der Response-Aufwand, je mehr die Visibilit\u00e4t im Netzwerk zuvor vernachl\u00e4ssigt wurde. Umfassende forensische Analysen sind notwendig, um den Angriffsverlauf zu rekonstruieren und Schwachstellen nachtr\u00e4glich aufzudecken und zu beheben.<\/p>\n\n\n\n

Die Balance ist entscheidend <\/strong><\/p>\n\n\n\n

Es kann sich als \u00e4u\u00dferst m\u00fchseliger und kostenintensiver Prozess erweisen, die gesamte Infrastruktur wieder zu bereinigen. Deshalb sollten Pr\u00e4vention und Detektion von vornherein ausbalanciert sein, das hei\u00dft innerhalb einer Sicherheitsstrategie gleiche Aufmerksamkeit erhalten. Ein zentrales Tool im Bereich Detektion ist eine SIEM-L\u00f6sung (Security Information and Event Management). Sie sammelt permanent Log-Daten von unterschiedlichen Netzwerk- und Sicherheitskomponenten, wertet diese mithilfe von Use Cases und Korrelationen aus, um dadurch potenzielle Cyberangriffe zu erkennen und Alarmmeldungen zu generieren. Doch viele Unternehmen schrecken vor dem Einsatz eines eigenen SIEM zur\u00fcck. Denn die individuelle Entwicklung und Anpassung an die jeweilige Infrastruktur kann Monate oder sogar Jahre in Anspruch nehmen.\u00a0 Entscheidend ist auch: Die Flutwelle an Alarmierungen alleine bringt noch keine IT-Sicherheit. Es kommt dar\u00fcber hinaus auf das Fachwissen an, die sicherheitsrelevanten Daten zusammen mit dem Kontext, in dem sie stehen, interpretieren zu k\u00f6nnen.\u00a0<\/p>\n\n\n\n\n\n\n\n

Managed Threat Detection & Alerting (MTDA)<\/strong><\/p>\n\n\n\n

Vielen Unternehmen fehlen allerdings die entsprechenden Spezialisten, um von den vorhandenen IT-Security-Produkten nachhaltig Gebrauch zu machen. In solchen F\u00e4llen ist es eine gute Alternative, Managed-Services-Anbieter als Unterst\u00fctzung f\u00fcr interne Sicherheitsteams hinzuzuziehen. Durch ein unterbrechungsfreies Monitoring und ihre Expertise liefern sie Unternehmen einen klaren Mehrwert f\u00fcr die IT-Sicherheit: Die Spezialisten \u00fcberpr\u00fcfen die Aktivit\u00e4tsdaten, korrelieren die Informationen und qualifizieren so jeden Alarm. Dadurch ist gew\u00e4hrleistet, dass auf kritische IT-Sicherheitsvorf\u00e4lle sofort reagiert werden kann. Au\u00dferdem lassen sich aus den Sicherheitswarnungen False Positives herausfiltern. <\/p>\n\n\n\n

Sichtbarkeit und Sicherheit<\/strong><\/p>\n\n\n\n

Nur durch den 24\/7-Blick auf s\u00e4mtliche Netzwerkaktivit\u00e4ten l\u00e4sst sich eine potenzielle Bedrohung so fr\u00fch wie m\u00f6glich erkennen, die darauf folgende Handlung von IT-Mitarbeitern beschleunigen und das Risiko minimieren, dass Sicherheitsverantwortliche auf Warnungen nicht oder nicht angemessen reagieren. Idealerweise wird ein Angriff dadurch direkt im Keim erstickt. Ist ein Sicherheitsvorfall bereits eingetreten, k\u00f6nnen sich Unternehmen bei einem Dienstleister zudem Hilfe im Bereich Incident Response holen. Managed-SIEM-Partner bieten auch oft erweiterte Sicherheitsleistungen an, beispielsweise rund um den Betrieb von Firewall, Secure E-Mail Gateway (SEG) oder Endpoint Protection. Abgerundet wird ein professioneller MTDA-Service durch ein l\u00fcckenloses Reporting an den Auftraggeber und die Einhaltung der Compliance-Vorgaben, was den internen CISOs R\u00fcckendeckung bei ihrer Arbeit liefert.<\/p>\n\n\n\n

Wie lassen sich Angriffswege abbilden? <\/strong><\/p>\n\n\n\n

F\u00fcr die Detektion von Cyberattacken stehen verschiedene Ans\u00e4tze zur Verf\u00fcgung. Eine besonders effektive Methode ist das Unified Kill Chain Modell. Dieses Modell zur Angriffserkennung basiert auf drei Phasen. Es zeigt, wie Cyberkriminelle klassischerweise vorgehen, wenn sie in ein Netzwerk eindringen. Die erste Stufe \u201aInitial Foothold\u2018 umfasst die Vorgeschichte, mit der die meisten Attacken beginnen: Angreifer pr\u00fcfen zuerst die Rahmenbedingungen, die bei ihrem anvisierten Opfer gelten. Wie sieht die Infrastruktur aus? Wer arbeitet dort? Wo befinden sich Einfallstore? <\/p>\n\n\n\n

Dementsprechend w\u00e4hlen sie ihre Angriffstaktik und Werkzeuge aus. Diese reichen von Social Engineering der Mitarbeiter \u00fcber die Ausnutzung von Schwachstellen, wie sie beispielsweise bei fehlenden Patches und mangelhaften Konfigurationen entstehen, bis hin zur indirekten Infiltration \u00fcber Gesch\u00e4ftspartner des Opfers. Ziel ist es, m\u00f6glichst schnell die Kontrolle \u00fcber vorhandene Systeme zu erlangen, um Daten abflie\u00dfen zu lassen oder Manipulationen an den Systemen durchzuf\u00fchren.<\/p>\n\n\n\n

Gelingt dies, k\u00f6nnen sich die Akteure in der zweiten Phase immer weiter horizontal im Netzwerk ausbreiten, in die Rechteverwaltung zu ihren Gunsten eingreifen und sich somit Zugriff auf hochsensible Ressourcen verschaffen. Alle diese Aktivit\u00e4ten finden unterhalb der \u00e4u\u00dferen Segmentierungsschicht des Netzwerks statt. Den Perimeter haben die Cyberkriminellen also bereits durchdrungen. In diesem Stadium greift die Pr\u00e4vention nicht mehr; demgegen\u00fcber steigt die Relevanz von detektiven Sicherheitsma\u00dfnahmen, um ungew\u00f6hnliche Aktivit\u00e4ten innerhalb der Infrastruktur aufzusp\u00fcren. Ohne Detektionsl\u00f6sungen k\u00f6nnen solche kriminellen Handlungen sehr lange unbemerkt bleiben. <\/p>\n\n\n\n

In der dritten Phase geht es dann allerdings schnell: Haben die Angreifer ausreichende Kontrolle \u00fcber das Netzwerk erlangt, m\u00f6chten sie meist rasch ihr eigentliches Ziel in die Tat umsetzen, beispielsweise den Diebstahl sensibler Unternehmensdaten.  <\/p>\n\n\n\n

Vorteile des Unified Kill Chain Modells<\/strong><\/p>\n\n\n\n

Das Unified Kill Chain Modell kombiniert verschiedene bekannte Modelle zur Detektion, zum Beispiel den klassischen Cyber-Kill-Chain-Ansatz mit MITRE ATT&CK. Es verbindet die St\u00e4rken der einzelnen Modelle \u2013 in diesem Fall die Analyse der Eindringungstiefe und die Erforschung der inneren Ausbreitung \u2013 und sorgt daf\u00fcr, dass Managed Services Provider Bedrohungen pr\u00e4zise untersuchen und Angriffsschritte realit\u00e4tsnah abbilden k\u00f6nnen. So lassen sich auch Zero Day Threats oder komplexe Schadprogramme fr\u00fchzeitig entdecken und Response-Ma\u00dfnahmen zielgerichtet steuern.<\/p>\n","protected":false},"excerpt":{"rendered":"

\u201cIst der Schutzwall erst einmal aufgebaut, haben Unternehmen nichts mehr zu bef\u00fcrchten.\u201d So einfach funktioniert Cybersicherheit heute nicht mehr: Dieser Beitrag befasst sich mit der Frage, warum IT-Verantwortliche ihren Ma\u00dfnahmen zur Pr\u00e4vention nicht blind vertrauen sollten und wie sie Angriffe erkennen, noch bevor diese Schaden anrichten.<\/p>\n","protected":false},"author":3,"featured_media":17712,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[11554,14410,705,6257,13328,825,231,14408,2828,14409,1426],"class_list":["post-17711","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-angriffserkennung","tag-attck","tag-ciso","tag-cloud","tag-fernao-networks","tag-firewall","tag-ips","tag-managed-service-2","tag-mitre","tag-mtda","tag-siem"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17711","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=17711"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17711\/revisions"}],"predecessor-version":[{"id":17713,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17711\/revisions\/17713"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/17712"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=17711"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=17711"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=17711"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}