2018-06-13 05:29:22

Warum Entdecken die Unternehmen Zwischenfälle so schwer?

Digitale Zwischenfälle lassen sich nicht immer zuverlässig erkennen. Der aktuelle Incident-Report-Bericht von F-Secure zeigt auf, wie kriminelle Firmen und andere Organisationen Unternehmen attackieren. Zudem Hintergründe, warum eine Zuordnung von Zwischenfällen so schwer ist sowie einige Tipps, wie sich Attacken eher entdecken lassen.

80 Prozent aller Untersuchungen beginnen erst, wenn ein Angreifer bereits die Sicherheitsmaßnahmen einer Firma umgehen konnte.  Die häufigste Schwachstelle, die dabei ausgenutzt wird, sind Lücken in Softwareangeboten, die vom Internet aus zugänglich sind. In 21 Prozent der von F-Secure untersuchten Fälle konnten Angreifer solche Schwachstellen nutzen, um in die Firmeninfrastruktur einzudringen. In 34 Prozent aller Fälle war allerdings keine Lücke notwendig, hier erfolgte der Angriff über Phishing und bösartige Anhänge in E-Mails. Laut Tom Van de Wiele, Principal Security Consultant bei F-Secure, sind diese Arten von Angriffe für Unternehmen viel schwerer in den Griff zu bekommen. „Wer die Schwachstelle einer Software quasi im Vorbeigehen ausnutzt, der setzt eher auf Glück als auf präzise ausgewählte Ziele. Der digitale Einbruch über die E-Mail ist dagegen gut vorbereitet. Es gibt viele verschiedene Wege, wie Angreifer E-Mails nutzen können. Diese Attacken sind auch deswegen so populär, weil sich jede Firma auf E-Mails zur Kommunikation verlässt“, sagt Van de Wiele. „Die Nutzer müssen nachdenken bevor sie auf Links oder Anhänge klicken. Doch der Stress in vielen Jobs überschreibt diese Logik. Angreifer wissen das und nutzen es gezielt aus.“

Weitere signifikante Erkenntnisse des Reports:

  • Unternehmen sind sowohl von opportunistischen wie auch gezielten Attacken betroffen, beide Arten halten sich in etwa die Waage.
  • Bösartige Insider sind an einem Fünftel aller Zwischenfälle beteiligt.
  • In mehr als 80 Prozent der Fälle wurden die Verantwortlichen für Zwischenfälle kontaktiert, nachdem eine Infektion erfolgte.
  • Nach einem Ausbruch verbreiten die meisten Angreifer Malware. Ziele dieser Malware können sowohl finanzieller Natur sein, wie auch das Thema Spionage oder die Sicherung des Zugangs zum Unternehmensnetzwerk für die Kriminellen.
  • 13 Prozent aller Untersuchungen erweisen sich als falscher Alarm.

Warum ist eine Zuordnung digitaler Zwischenfälle so schwer

Es ist ein bekanntes Problem, dass sich echte Attacken nur schwer aus dem Hintergrundrauschen der alltäglichen IT herausfiltern lassen. Erka Koivunen, Chief Security Officer bei F-Secure, beschrieb in einem Blogpost, dass Studien ganz unterschiedliche Ergebnisse auf die Frage „Wie schnell werden digitale Einbrecher erkannt“ liefern. Mehrere bekannte Einbrüche waren über Jahren unentdeckt. In vielen Fällen ist es so, dass Firmen nur durch Externe erfahren, dass sie kompromittiert wurden.

Die Preisfrage lautet also: Was können Firmen tun, um Einbrüchen schneller auf die Spur zu kommen? Das Entdecken von Zwischenfällen braucht speziell geschultes Personal, gute Werkzeuge und solide Prozesse. Das kann die Ressourcen einer internen IT-Abteilung deutlich unter Druck setzen. Sieht man diese Kosten, ist es verständlich, warum viele Firmen bei der Umsetzung zögern.

Allerdings ist Aussitzen auch keine Lösung. Die sich ständig wandelnde Bedrohungslandschaft sowie neue gesetzliche Vorgaben wie die DSGVO bestrafen Firmen, die bei IT-Sicherheit sparen und potenziellen Einbrüchen nicht auf die Spur kommen. Unternehmen können es sich nicht leisten, nicht auf potenzielle Zwischenfälle zu reagieren.

Das Thema ist komplex, dennoch gibt es grundlegende Probleme und Tipps, wie sich diese angehen lassen:

Beweise sind in den Daten

Das Aufspüren digitaler Einbrecher ist kein Ratespiel. Sie benötigen Beweise, die auf Probleme hinweisen. Und Unternehmen sollten  weder auf Berichte in der Zeitung noch auf einen Erpresserbrief der Kriminellen warten.

Log-Dateien sind wertvolle Grundlagen und werden bei Untersuchungen oft und ausführlich verwendet. Entsprechend sollten Sie einen systematischen Ansatz fahren, der die Log-Daten aus unterschiedlichen Quellen bereinigt und zusammenführt – und das über die gesamte Organisationsstruktur. Welche zusätzlichen Beweise es zu sammeln gilt, hängt von den spezifischen Gegebenheiten des Unternehmens,  der Infrastruktur, dem Bedrohungsmodell und anderen Faktoren ab.

Allerdings gilt es auch zu vermeiden, zu viele Daten anzuhäufen. Wer ständig alle Informationen speichert, den überwältigen bald enorme Datenberge.

Datenfilterung ist aufwändig aber notwendig

Was also soll mit den ganzen Informationen geschehen? Sie müssen gefiltert werden, bevor sie ein relevantes Bild liefern können.

Wenn genügend Daten gesammelt sind, um das komplette Unternehmensnetzwerk abzubilden, dann landet man schnell bei mehreren Millionen von einzelnen Ereignissen. Das“ F-Secure Rapid Detection Center“ beispielsweise, verantwortlich für den Rapid-Detection-Service (RDS), hat bei einem Kunden nach einem Monat mehr als zwei Millionen Einträge gesammelt, über 1300 Netzwerksensoren hinweg.

Nachdem die offensichtlich unnötigen Einträge entfernt wurden, blieben immer noch 900 000 Ereignisse übrig. Diese wurden in einem umfangreichen Prozess angereichert, korreliert und analysiert, am Ende blieben 25 verdächtige Einträge übrig. Eine manuelle Analyse dieser Daten ergab, dass hinter 15 dieser 25 Ereignissen echte Bedrohungen standen.

Wichtig dabei ist zu erwähnen, dass der RDS von F-Secure eine dedizierte Lösung zum Entdecken und Antworten auf Zwischenfälle ist. Sie wird von F-Secure so konfiguriert, dass es Ereignisse zu potenziellen Bedrohungen sammelt. Unternehmen, die nicht über die notwendigen In-House-Ressourcen verfügen, können von den verfügbaren Daten schnell überwältigt werden. Vor allem, wenn die richtigen Tools oder die notwendige Expertise nicht vorhanden ist.

Wenn so eine Analyse aber effektiv durchgeführt wird, erhält man aus den riesigen Datenmengen eine kleine Menge an wirklich relevanten Zwischenfällen, zu denen man aktiv werden kann.

Anomalien sind nur Hinweise

Wonach sollten verantwortliche also Ausschau halten? Grundsätzlich sind alle Ereignisse, die außerhalb der Norm liegen, Grund zur Sorge. Anomalien, die auf einen Angriff hinweisen, können etwa ein Nicht-Admin-Nutzer sein, der auf verschiedene Server zugreifen möchte, eine große Anzahl von Login-Versuchen in kurzer Zeit, Aktivitäten, die zu seltsamen Zeiten ablaufen und mehr. Verantwortliche sollten ihre Log-Dateien gegen Threat-Intelligence-Feeds abgleichen, um Hinweise auf potenzielle Einbrüche zu finden.

In einer perfekten Welt lassen sich viele dieser Ereignisse als harmlos abstempeln. So könnte etwa ein Nutzer noch spät arbeiten, sein Passwort vergessen haben oder Zwischenfälle durch ein Fehler beim letzten Update ausgelöst werden.

In der Realität ist es aber so, dass einige dieser Events echte Zwischenfälle darstellen. Und auch, wenn die Reaktion auf solche Zwischenfälle als separate Aufgaben angesehen werden kann, rät Tom Van de Wiele zu einer einheitlichen Herangehensweise. Denn ein effektives Erkennen von Zwischenfällen und die passende Antwort darauf das gesamte Unternehmen stärken. Wenn eine Krise eintritt, profitieren davon nicht nur IT-Admins, sondern auch CEOs, CISOs und Mitglieder des Aufsichtsrats.

„Jede Reaktion beginnt mit der gleichen Frage: War dies ein Zwischenfall? Die Kosten für diese Antwort sind abhängig davon, wie schnell ein Unternehmen diese Frage beantworten kann, wie schnell und effizient Prozesse und Prozeduren sind, wie qualifiziert die Forensik arbeitet und wie gut das Personal trainiert ist,“ sagt Tom Van der Wiele. „Sobald ein Unternehmen eine Entscheidung basierend auf Fakten treffen kann – statt sich auf Gerüchte und Annahmen verlassen zu müssen – kann die Bedrohung im nächsten Schritt eingedämmt und behoben werden.“

mat

Druckversion

Zum Thema

  • © quelle SEC-Consult_T.-Weilguny
    2018-06-13

    Internationale Zusammenarbeit im Kampf gegen Cyberkriminalität

    Das einhellige Fazit der ersten Konferenz "Globale Cyberkriminalität - Trends & Gegenmaßnahmen", am 22. Februar in Wien: Cyberkriminelle interessieren sich nicht für nationale Grenzen und niemand, der auf das Internet zugreift - Unternehmen, Behörden oder Verbraucher - sollte den Cyberspace als sicheren Ort betrachten. Auch die aktuellen Ereignisse in Deutschland zeigen, dass kein Weg an globaler Kooperation vorbeiführt.  mehr

  • 2018-06-13

    Sofacy-Gruppe greift Regierungsbehörden an

    Die Sofacy-Gruppe, auch bekannt unter den Namen APT28, Fancy Bear, STRONTIUM, Sednit, Zarenteam und Pawn Storm, wird auch 2018 sehr aktiv bleiben, so die jüngste Einschätzung von Palo Alto Networks.  mehr

  • 2018-06-06

    Die letzte Verteidigungslinie

    Endpoint-Detection and Response (EDR) verspricht die Entdeckung von ausgefeilten Angriffen, die IT-Security-Lösungen nicht verhindern konnten. Mit einem neu entwickelten Ansatz der Verbindung von EDR mit Endpoint-Security können Unternehmen gegen "das letzte Prozent" möglicher IT-Bedrohungen vorgehen.  mehr

  • 2018-06-13

    Bisher größter DDoS Angriff abgewehrt

    Das Security Intelligence Response Team (SIRT) von Akamai berichtet in einem aktuellen Blogpost über eine neue Distributed-Denial-of-Service-(DDoS-) Angriffswelle, die auf der neuartigen Angriffstechnik „Memcached Reflection“ beruht. Sie greift Memcached Server an und missbraucht diese für Attacken auf ausgewählte Ziele. Memcached Server puffern dynamische Web-Applikationen im Hauptspeicher des Servers, um den Zugriff zu beschleunigen und so das Datenbank-Backend zu entlasten.  mehr

  • 2018-06-09

    Trendwende bei Hackern

    Palo Alto Networks, hat die weltweite Nutzung des Exploit-Kits „Rig“ (Rig EK) ausgewertet und leitet daraus neue Entwicklungen ab. Die Veränderungen sind deutlich: Rig EK ist das bedeutendste Exploit-Kit und für den Großteil des EK-Verkehrs verantwortlich. Die gesamte Exploit-Kit-Aktivität ging im Jahr 2017 zurück, zudem veränderten sich die Anwendung: Weg von Ransomware und hin zu Coin-Miner- und Information-Stealer-Malware.  mehr

  • 2018-06-08

    Malware versteckt sich in verschlüsseltem Traffic

    Der Cisco Annual Cybersecurity Report 2018 (ACR) zeigt, dass sich die verschlüsselte Netzwerk-Kommunikation innerhalb von 12 Monaten mehr als verdreifacht hat. Dies gilt insbesondere für Malware. Zudem nutzen Cyberkriminelle zunehmend Cloud-Services und IoT-Botnetze für ihre Angriffe. Security-Verantwortliche sind gefordert, bestehende Systeme umfassender abzusichern. Dafür setzen schon heute mehr als ein Drittel der Befragten auf Automation, Künstliche Intelligenz (KI) und Maschinelles Lernen (ML) – das Vertrauen sowie die Investitionsbereitschaft wächst.  mehr

  • 2018-06-08

    Regierungswebsite für illegales Mining gekapert

    Ausgerechnet die Website des „Information Comissioner´s Office“ (ICO) der britischen Regierung wurde Opfer einer illegalen Crypto-Cash-Kampagne. Nach Hinweisen, dass Hacker die Rechner von Besuchern der Website angreifen um illegales Mining von Kryptogeld zu starten, wurde der Internetauftritt des ICO vom Netz genommen.  mehr

  • 2018-06-09

    Management von SSH-Schlüssel

    Wie implementieren und verwalten Handelsunternehmen Secure Shell (SSH)? Mehr als 100 IT-Sicherheitsspezialisten aus der Handelsbranche haben bei der Umfrage von Venafi mitgemacht, die eine mangelnde Kenntnis der SSH Security Controls enthüllt.  mehr

  • 2018-06-06

    Top 10 Sicherheitstipps für die Public Cloud

    Kostenfokussierte Abteilungen in Unternehmen fordern die Verlagerung in die öffentliche Cloud, während das IT-Sicherheitsteam potenzielle Sicherheitsrisiken sieht und versucht, die Kontrolle nicht zu verlieren.  mehr

  • 2018-06-13

    Check Point warnt vor „Karius“ Banking Trojaner

    Check Point veröffentlichte die Ergebnisse einer technischen Untersuchung der Karius-Malware. Der neue Banking Trojaner befindet sich noch im Entwicklungsstatus und ist darauf ausgelegt, Zugangsdaten der Opfer beim Login zu entwenden. Dabei sollen nach einer Infektion durch Web Injections die Daten von Banking-Seiten und Apps abgegriffen werden.  mehr