Support

Komplexe Gefahren und Schutz vor Malware

Frühzeitige Erkennung von Malware und komplexen Bedrohungen verhindert Imageschäden und Einschränkungen bei der Verfügbarkeit von Geschäftsanwendungen.

Warum kann es auch in einem Netzwerk mit gestaffeltem Sicherheitskonzept (Defense-in-Depth) zu Sicherheitsvorfällen kommen?

Sowohl die University of Maryland als auch einige der dortigen kommunalen Kliniken hatten 2014 schwerwiegende Sicherheitsvorfälle zu verzeichnen. Obwohl in diesen Organisationen mehrstufige Schutzmechanismen aus Sicherheitstechnologien und Warnsystemen implementiert waren, gelang es den Angreifern, den Geschäftsbetrieb zu beeinträchtigen und sich unbemerkt im Netzwerk zu bewegen und Daten zu stehlen.

Die Größe und Komplexität heutiger Unternehmensnetzwerke schafft eine große „Angriffsfläche“, die es unmöglich macht, jede Attacke und Bedrohung abzuwehren. Hinzu kommt, dass die Angreifer sehr zielgerichtete Angriffsstrategien entwickeln, bei denen es sich um eine Kombination mehrerer Attacken sowie Umgehungs- und Verschleierungstechniken handelt, die genau auf das jeweilige Netzwerk abgestimmt sind.

Warum wird einer effizienten Notfallstrategie (Incident Response, kurz IR) eine so hohe Bedeutung zugemessen und wofür ist diese erforderlich?

Die IR umfasst das Erkennen und die Analyse von Sicherheitsverletzungen sowie die Reaktion auf Vorfälle, die die Geschäftsabläufe beeinträchtigen. Hierzu gehören DDoS-Angriffe (Distributed Denial of Service Attacks), Verstöße gegen die Datensicherheit, Netzwerkmanipulationen oder sogar der Verlust von Daten.

IR (oder zumindest die Tools und Prozesse für eine effiziente IR) bietet weit mehr Einsatzmöglichkeiten als lediglich die Reaktion „nach einem Vorfall“. Durch die Implementierung von Tools, die zulässige Netzwerkaktivitäten definieren, können Sicherheitsteams das Netzwerk nach Aktivitäten durchsuchen, die darauf hinweisen, dass bestimmte Ressourcen manipuliert wurden (z. B. durch Botnets).

Wenn mögliche Gefahren im Netzwerk aufgespürt und spezifische Attribute dieser Bedrohungen analysiert werden, können die Teams Maßnahmen ergreifen, um die Auswirkungen des Sicherheitsvorfalls zu minimieren. Hierzu gehört das Stoppen der Botnet-Kommunikation, bevor weitere Malware installiert werden kann, oder die Unterbindung des Datendiebstahls. Darüber hinaus können die Detailinformationen zu den Angriffen auch genutzt werden, um die Sicherheitsmaßnahmen zu verstärken und damit zukünftigen Angriffen vorzubeugen.

Was ist der Unterschied zwischen einem „komplexen Angriff“ und Malware?

Bei Malware handelt es sich um Software, die dafür ausgelegt ist, böswillige Aktivitäten auszuführen. Ein „komplexer Angriff“ (auch APT, Advanced Persistent Threat) ist dagegen eine Kombination aus Angriffsaktivitäten (DDoS, Botnets, Malware, Phishing), die alle zu unterschiedlichen Zeiten ausgeführt werden und gegen unterschiedliche Bereiche des Netzwerk gerichtet sind. Dahinter steht die Idee, eine Reihe von Angriffen zu starten, die alle exponierten Schwachstellen des Netzwerks ausnutzen. Wie bereits oben beschrieben, bietet die Komplexität heutiger Unternehmensnetzwerke eine große Angriffsfläche, die viel schwieriger zu überwachen (und zu schützen) ist. Die Angreifer arbeiten nach einem festgelegten Schema aus geplanten Events, Angriffstypen, Umgehungstechniken und „Bereinigungs“-Tools, die gezielt auf die jeweilige Organisation bzw. das angestrebte Ergebnis zugeschnitten sind.

Komplexe Angriffe sind so ausgelegt, dass sie die aktuellen Schutztechnologien blockieren oder die Aufmerksamkeit von einem Bereich des Netzwerks bewusst auf einen anderen lenken. Kurz gesagt, sie werden wie jedes andere Produkt sorgfältig entwickelt und getestet, haben eine spezifische Zielsetzung, spezifische Käufer und klar definierte Ergebnisse.

Ist es möglich, dass mein Netzwerk bereits angegriffen wurde?

Höchstwahrscheinlich ja. Wie oben beschrieben, werden Angriffe und Angriffstools wie jedes andere Produkt entwickelt und gekauft, verkauft oder gehandelt. Angriffe, die „neu“ sind oder andere Techniken verwenden, die mit traditionellen Erkennungstools nicht identifiziert werden können, erzielen dabei höhere Preise. Angriffstools mit einfach einsetzbarer Schadsoftware (Malware oder andere Angriffe, die Schwachstellen im Netzwerk ausnutzen) stehen ebenfalls hoch im Kurs. Und es gibt jede Menge Käufer für diese Art von Angriffen wie Unternehmen, die an Informationen von Mitbewerbern gelangen möchten, Länder, die sich gegenseitig behindern und lähmen möchten, oder Angreifer, die eine Art Statement zu einer Angelegenheit abgeben möchten, bei der es sich ihrer Meinung nach um ein Fehlverhalten handelt. Die vorstellbaren Szenarien sind unbegrenzt und in Anbetracht der Motivationen und unterschiedlichen Angriffsarten ist die Wahrscheinlichkeit relativ groß, dass auch Ihr Netzwerk bereits manipuliert wurde – selbst wenn es sich nur um etwas „Harmloses“ handelt wie die Tatsache, dass Ihre Netzwerkbenutzer bei einem DDoS-Angriff als Hosts einer Botnet-Armee fungieren.

Angriffe, die Social-Engineering-Techniken (Phishing) einsetzen, Anmeldeinformationen ausspähen oder andere Verschleierungstechniken einsetzen, können bereits in Ihrem Netzwerk vorhanden sein. Sie sind unter Umständen schwer aufzuspüren, da einige zunächst für einen längeren Zeitraum unbemerkt in Ihrem Netzwerk schlummern. Auch Angreifer, die gestohlene Anmeldeinformationen verwenden, können nur sehr schwer entdeckt werden.

Wie werden die Ergebnisse von IR-Technologien gemessen?

Messbare Ergebnisse, die den Wert der Investitionen in eine Technologie zeigen, sind ein wesentlicher Faktor bei der Suche nach der maßgeschneiderten Lösung. Der erste Schritt um herauszufinden, „wie“ gemessen werden kann, besteht darin festzulegen, „was“ gemessen werden soll. Hierfür müssen zunächst die Schwerpunkte festgelegt werden. Unter Umständen empfiehlt es sich, sich auf die Vermögenswerte und Ressourcen zu konzentrieren, die für das Unternehmen höchste Priorität haben, oder für die Compliance relevant sind.

Es ist auch wichtig zu wissen, welche Art von Leistungsmetriken gemessen werden sollen. Eine effiziente IR, Sicherheitsanalysen und forensische Technologien sind für Sicherheitsteams meist eine große Herausforderung, da nicht gemessen werden kann, „was verhindert wurde“. Für eine effektive Leistungsmessung sind die folgenden Schlüsselindikatoren entscheidend:

  • Zeit
    • zwischen Vorfall und Entdeckung
    • zwischen Entdeckung und CERT-Bericht
    • bis zum Schließen eines Vorfalls durch CERT
  • Kosten
    • Arbeitszeit, Produktivitätsverlust, Benachrichtigungen über Vorfall, zusätzliche Software usw.