Wie man gezielte Cyberattacken erkennt: Der Kontext ist entscheidend

Cyber Security nimmt einen hohen Stellenwert in unserer Wahrnehmung ein und uns stehen mehr fortschrittliche Technologien zur Verfügung als je zuvor. Dennoch haben Unternehmen oft Probleme damit, Vorfälle zu erkennen.

Verfasser: Berk Kutsal
Datum: 11. Juli 2018
Lesedauer: 3 Minuten

Gezielte Attacken umgehen die präventiven Sicherheitsmaßnahmen, die Unternehmen etablieren. Es dauert im Durchschnitt 100 Tage, bis ein Sicherheitsvorfall überhaupt entdeckt wird. Antivirus-Lösungen sind nicht im Stande, so genannte Fileless-Attacken zu erkennen, bei denen keine schädlichen Programme ausgeführt werden. Fortschrittliche Angreifer wissen ganz genau, wie sie die präventiven Sicherheitsebenen umgehen und solche Attacken können dann nur durch eine Verhaltensanalyse erkannt werden.

Und jetzt kommt der wirklich schwierige Teil: Wie unterscheidet man schädliches Verhalten von normaler Aktivität? 

Wie ein echter gezielter Angriff aussieht: Der Fall Gothic Panda aus dem ATT&CK Framework von Mitre

Das folgende Beispiel demonstriert, wie eine fortschrittliche und gezielte Attacke im wahren Leben aussieht. Der Fall zeichnet sich durch eine Advanced Persistent Threat (APT) Gruppe namens Gothic Panda aus der Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) Datenbank und ein Modell für das Verhalten von Gegnern im Cyberspace von MITRE aus. Das Verhalten dieser Gruppe von APTs ist sehr gut dokumentiert und wird genutzt, um Netzwerksicherheit und Sicherheitsprodukte gegen spezifische Gefahren zu testen.

Die Gegner haben in diesem Fall das Ziel, Betriebsgeheimnisse und Dokumente aus einem industriellen Kontext zu stehlen.

Gothic Pandas Attacke kann in drei Hauptphasen unterteilt werden: Erster Einbruch, Ausbreitung im Netzwerk und Extraktion.

In der ersten Einbruchsphase ist das Ziel der Angreifer, erfolgreich Schadcode einzuschleusen und die Kontrolle über ein System in der Zielumgebung zu erhalten.

In der zweiten Phase, Ausbreitung im Netzwerk, versuchen die Angreifer die Zielsysteme zu identifizieren und dorthin zu gelangen. Ihr endgültiges Ziel ist dabei, Zugangsdaten und Dokumente zu extrahieren.

In the Extraktionsphase sammeln die Angreifer die Daten, die sie benötigen und packen sie in leicht zu sendende Pakete. Sie versuchen die Dokumente zu extrahieren, indem sie sie in anderen, legtitimen Datenströmen verstecken. Je nachdem, wie die Schutzmaßnahmen aufgesetzt sind, kann die Extraktion viel auffälliger sein, als wenn versucht wird, die Aktion in den vorhandenen Tools zu verstecken.

EDR Security erkennt Vorfälle, die von Bedeutung sind

Die wichtigste Phase ist natürlich die erste Phase: bevor der Angreifer es schafft, sich festzusetzen und kritische Systeme angreifen kann. Die meisten Unternehmen nutzen präventive Schutzmaßnahmen wie Endpoint Protection, um normale Malware abzuhalten. Allerdings bleiben fortschrittliche Angreifer unentdeckt, indem sie langsame und unauffällige Attacken nutzen und irgendwann einen Weg finden, diese präventive Schicht zu umgehen.

Das ist der Punkt, an dem Erkennung und Reaktion wichtig werden.

Der Einsatz einer Endpoint Detection & Response (EDR)-Lösung ist ein schneller Weg, Möglichkeiten zur Erkennung und Reaktion auf fortschrittliche und gezielte Attacken zu etablieren. Erkennungstechnologien erkennen sicherlich verdächtige Vorgänge, aber können im Normalfall nicht unwichtige Angriffe von wirklich kritischen Vorfällen unterscheiden.

Laut einer EMA Studie aus dem Jahr 2017 gaben 79% der befragten Sicherheitsteams an, von der immensen Anzahl Alarme überwältigt zu sein. Zum Beispiel hat ein mittelgroßes Unternehmen mit 650 Sensoren jeden Monat über eine Milliarde Alarme, aber nur etwa zehn von diesen Vorfällen müssen aktiv angegangen werden. Eine qualitativ hochwertige EDR-Lösung findet die wenigen Vorfälle, die wirklich von Bedeutung sind.

 

 

Der Kontext verleiht Einzelevents Bedeutung

Künstliche Intelligenz und Machine Learning sind die einzigen skalierbaren Lösungen, die funktionieren. Aber nur KI alleine generiert kaum mehr als noch mehr Falschmeldungen. Was wirklich gebraucht wird, ist die perfekte Kombination von Experten in der Cyber Security und Data Science – Mensch und Maschine.

Wir müssen Technologien entwickeln, die lernen können, was menschliche Experten tun, allerdings in der größtmöglichen Geschwindigkeit – verbinde die Teilchen und ordne die Vorkommnisse in ein umfassendes Bild ein, um das bestmögliche Urteil fällen zu können.

Dieses umfassende Bild ist der Kontext. Fehlalarme stressen Sicherheitsteams und machen es unwahrscheinlicher, dass wichtige Vorfälle entdeckt werden. Das Erreichen von fast keinen Falschmeldungen umfasst das Gruppieren von Alarmen in den Kontext zu den Events, die damit zusammenhängen, damit ein Urteil gefällt werden kann. Ungewöhnliche Vorfälle können sich als ungefährlich herausstellen wenn man das Gesamtbild hat – den Kontext.

In unserem Whitepaper Detecting Targeted Attacks With Broad Context Detection™ erklären wir detailliert, warum der Kontext so entscheidend ist – im Leben und in der Cyber Security – und wie die Broad Context Detection von F-Secure funktioniert:

DOWNLOAD WHITEPAPER

 


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s