[Video] Der Feind in Ihrem Netzwerk

Wenn Unternehmen es schaffen würden einen Sicherheitsvorfall innerhalb von Minuten oder Stunden (anstatt Monaten) zu erkennen, würden die Angreifer nicht genügend Zeit haben, an die Daten zu kommen, hinter denen sie her sind. Was sind die Ziele und durchgeführten Aktionen eines Angreifers innerhalb eines Unternehmensnetzwerks und wie kann man sie entdecken?

Verfasser: F-Secure Deutschland
Datum: 29. Mai 2018
Lesedauer: 6 Minuten

Es dauert durchschnittlich 191 Tage, bis Unternehmen überhaupt merken, dass sie kompromittiert wurden.* Wie schaffen es die Angreifer, sich so eine lange Zeit zu verstecken? Was geht im Kopf eines Cyber-Kriminellen vor?

F-Secures ethischer Hacker Tom Van de Wiele hilft dabei, diese Fragen mit seinem einzigartigen Wissen um die Arbeitsweise von Angreifern zu beantworten. Tom ist ein Profi in Sachen Red Teaming. Ziel eines Red Team Tests ist es, die fortschrittlichsten Angriffe zu simulieren und den Verteidigern dabei zu helfen, in Zukunft perfekt auf eine solche Situation vorbereitet zu sein.

„Die Angreifer müssen nur eine Möglichkeit finden, wie sie ins System eindringen können während die Verteidiger alles verteidigen müssen. Aber dabei müssen die Angreifer alles richtig machen und die Verteidiger müssen nur einen Teil der Attacke erkennen“, so Tom.

Lassen Sie uns gemeinsam herausfinden, was nach dem ersten Eindringen passieren kann.

Tom Van de Wieles umfassende Erfahrung im Red Teaming hilft dabei zu verstehen, was während einer Cyberattacke geschieht.

 

Schnelle Siege kontra langfristiges und anhaltendes Fußfassen im Unternehmensnetzwerk

 

Phishing-Angriffe per E-Mail oder Telefon und WiFi-Phishing sind übliche Beispiele für Angriffsvektoren. Das Ziel des Angreifers ist es, Zugangsdaten der Zielperson zu erhalten, die gleichen Services wie ihre Opfer zu nutzen und damit erst einmal Fuß im Unternehmensnetzwerk zu fassen.

„Sobald eine gewisse Zugriffsstufe erreicht ist, müssen einige verschiedene Aspekte in Einklang gebracht werden: Persistenz, Unsichtbarkeit und Bewegungsfreiheit gegen den Verlust des Zugangs, Entdeckung und Eindämmung. Der Angreifer könnte sich dazu entschließen, das Ziel so schnell wie möglich zu erreichen oder langfristigen Zugang innerhalb des Netzwerks vorziehen, um so viele Informationen wie möglich für weitere Angriffe zu erhalten. Die konstante Überlegung eines Angreifers ist, wie schnell er sich im Netzwerk bewegt im Gegensatz zu der Möglichkeit, entdeckt, eingedämmt oder komplett gestoppt zu werden“, erklärt Tom.

Seitliche Bewegung um mehr Systeme zu kompromittieren

 

Als nächstes will der Angreifer Zugang zu weiteren Systemen erlangen, indem er den Zugang zu bestimmten Services ausnutzt: E-Mail-Systeme, Fernwartungs- und andere Remote Services wie Helpdesk-Software etc., das VPN des Unternehmens oder Virtualisierungssysteme. Wenn der Angreifer darauf aus ist, langfristigen Zugang zu erhalten, wird er die internen Netzwerkstrukturen untersuchen, um sich seitlich durch die Systeme zu bewegen.

„Der Angreifer könnte sich anpassen und einen Account ins System einschleusen, der genau wie ein normaler Mitarbeiteraccount aussieht. Wenn keine guten Prüfungsmechanismen greifen, wird es dann sehr schwer ihn zu entdecken. Dann könnte der Angreifer Passwörter und private Schlüssel bekommen und diese gegen andere Systeme benutzen, um dann intern weiteren Zugang zu bekommen oder Cloud-Services außerhalb der Firma anzugreifen“, so Tom.

Der Angreifer kann sich monatelang verstecken und dabei Informationen über den Datentransfer innerhalb des Netzwerks – wie Infrastruktur, Broadcast- und Multicasttransfers – verschaffen. Das sich als jemand anderes Ausgeben, also Spoofing, kann genutzt werden, um andere Systeme dazu zu bringen, wichtige Informationen wie Authentizierungstoken wie Passwort Hashes, preiszugeben. Diese können dann gegen andere Systeme wiederverwendet werden. Sollte der Angreifer riskieren entdeckt zu werden, könnte er Port Scanning nutzen, um andere Systeme oder Services zu finden.

Tom gibt zu Bedenken: „Die Nutzung von jedweder Standardtechnik oder -methode ist der sichere Weg, entdeckt zu werden.“

Das Ziel des Angreifers zu diesem Zeitpunkt ist, die eigenen Privilegien zu einer Administratorrolle auszubauen, um weitreichenden Zugang innerhalb des Netzwerks zu erhalten. Wenn Administratorzugang vorhanden ist, kann der Angreifer sich frei innerhalb des Netzwerks bewegen.

Seien Sie dem Angreifer durch verhaltensbasierte Erkennung einen Schritt voraus

 

Die meisten Unternehmen schaffen es nicht, einen Angriff schnell genug zu erkennen. Je länger es dauert bis der Einbruch erkannt wird, desto schlimmer wird der Schaden, so höher die Kosten und desto komplexer wird die Aufarbeitung.

Der einzige Weg, wie Sie dem Angreifer einen Schritt voraus sein können, ist die Nutzung von verhaltensbasierter Erkennung. Die Aktivitäten des Eindringlings können durchaus so aussehen, als kämen sie von einem authorisierten Nutzer, was das Erkennen dieser Aktivitäten sehr schwierig machen kann.

„Mechanismen zur Erkennung von Sicherheitsproblemen basieren normalerweise darauf, Anomalien im Netzwerk, System oder des Verhaltens einer Applikation zu finden und alles zu suchen, was nicht normal ist“, so Tom. „Um sicherzustellen, dass Sie nicht als Angreifer wahrgenommen werden, sollten Sie von dem „leben, das das Land Ihnen bietet“ und die gleichen Infrastrukturen nutzen wie das betreffende Unternehmen. Das bedeutet, keine Technologien oder Services ins System zu bringen, die von den Verteidigern als Fremdkörper identifiziert werden können.“

Wenn Sie nach Anomalien oder Schadverhalten suchen, sollten Sie nach ungewöhnlichen Mustern im Userverhaltens suchen. Wenn zum Beispiel ein einzelner User, der kein Administrator ist, versucht in mehrere Server gleichzeitig einzuloggen, ein Computer versucht sich in einen Server mit verschiedenen Accounts einzuloggen, Brute Force Methoden genutzt werden, die innerhalb kurzer Zeit tausende Loginversuche abschießen, Aktivitäten, die zu ungewöhnlichen Zeitpunkten stattfinden oder eine SSH Verbindung von einem Computer eines Users ohne technische Aufgaben aufgebaut wird, sollte Ihnen das verdächtig vorkommen.

Fortschrittliche Angreifer wissen ganz genau, wie sie gängigen Erkennungsmethoden ausweichen. Nur durch die Kombination gut konfigurierter Analysetools und den wachen und trainierten Augen menschlicher Experten kommt man diesen Angreifern auf die Schliche.

Auf der Suche nach dem Unbekannten

Die Experten im Rapid Detection Center von F-Secure sind darauf spezialisiert, Angriffe früh zu erkennen. Ihr Hauptversprechen ist es, den Kunden innerhalb von 30 Minuten nach der Erkennung zu informieren. Kamil Donarski vom Rapid Detection Center sagt dazu:

„Wir können einen Angriff schon zu einem sehr frühen Zeitpunkt erkennen. Das Komplizierteste, wonach man suchen kann, ist das Unbekannte. Es gibt jeden Tag neue Gefahren. Deshalb braucht es eine ständige Entwicklung, um herauszufinden, wie wir solches Verhalten erkennen können und wie wir unsere Kunden schützen können.“

Der menschliche Faktor ist sehr wichtig, denn egal wie fortschrittlich das Machine Learning ist, das wir nutzen, nur Menschen können wirklich ein Unternehmen verstehen und daraus normales Verhalten ableiten. Nur sehr erfahrene Analysten können endgültig entscheiden, ob eine Aktivität normal ist oder nicht.

Linda Liukas, Host unserer Dokumentarreihe Abenteuer im Cyberland, hat das Rapid Detection Center besucht, um herauszufinden, wie man Vorfälle erkennt und wie das Center arbeitet:

Effektive Cyber Security basiert auf Geschwindigkeit

Wenn es um Sicherheitsvorfälle geht, ist Geschwindigkeit immens wichtig. Da man nicht jeden Einbruch in den Perimeter verhindern kann, muss der Fokus darauf liegen, die eigene Reaktionsgeschwindigkeit zu verbessern. Wenn Unternehmen Einbrüche innerhalb von Minuten oder Stunden (anstatt Monaten) erkennen würden, hätten die Eindringlinge nicht genügend Zeit, die Daten zu extrahieren, die sie haben wollen. Geschwindigkeit beinhaltet ebenfalls, dass man die erkannten Löcher stopft bevor ein Eindringling es nochmals versucht.

Das mag wie eine unmögliche Aufgabe klingen, aber es gibt Hoffnung in diesem Rennen gegen die bösen Jungs. Sie sind hinter etwas her – wir müssen sie nur fangen, bevor sie es finden.

 

In der neuen Videoserie von F-Secure begibt sich Linda Liukas auf eine Reise, um Antworten auf die brennendensten Fragen in der Cyber Security zu finden. Linda trifft sich mit den besten Experten in der Cyber Security, um zu lernen was für Cybergefahren es gibt und warum moderne Angriffe so schwer zu stoppen sind. Sie erlaubt unseren Cyber Security Experten sie zu hacken, findet heraus wie man Attacken erkennt und auf sie reagiert und außerdem, wie moderne Cyber Security von künstlicher Intelligenz und Machine Learning profitiert. Sie können die vorherigen Episoden hier anschauen.

 

* 2017 Cost of Data Breach Study, Ponemon Institute LLC (sponsored by IBM Security)


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s