Traditionelle Security-Ansätze nach dem Prinzip "Spray-and-Pray" sind nicht mehr zeitgemäß. Es gilt heute, Erkenntnisse aus erfolgten Angriffen zu siehen. Je mehr Details zu Sicherheitszwischenfällen sich extrahieren lassen, desto besser kann die Verteidigung aufgebaut werden, um ähnliche Attacken zu verhindern. [...]
Traditionelle Ansätze zur Sicherheit folgen in der Regel dem Prinzip „Spray-and-Pray“: Sie bieten Steuerelemente, die bekannte bösartige Aktivitäten blockieren, meist mit begrenztem Follow-up oder einer zusätzlichen Untersuchung einer Sicherheitsverletzung. Etwas anspruchsvollere Unternehmen setzen Technologien wie Sandboxing ein, um unbekannte Angriffe, die zuvor noch nicht beobachtet wurden, zu erkennen und zu blockieren. In den ersten Momenten nach einem Vorfall konzentrieren sich Sicherheitsteams oft auf das Ereignis selbst, aber versuchen nicht, zusätzliche Erkenntnisse aus dem Angriff zu ziehen, oder die Ereignisse um sie herum zu analysieren.
Diese Ansätze lassen eine grundlegende Realität von fortgeschrittenen Angriffen vermissen: Es sind keine „Point-in-Time“-Aktivitäten, sondern Abfolgen von Ereignissen, die über Wochen, Monate oder sogar Jahre auftreten können, oder möglicherweise bereits passiert sind. Fortschrittliche Angreifer werden eine breite Palette von Aktivitäten durchführen. Diese können mit ersten Probeläufen und kleinen Infektionen beginnen, um dann auf der zweiten oder dritten Stufe Malware einzuschleusen. Die eigentliche Verletzung selbst ist der Höhepunkt einer kontinuierlichen Reihe von Aktivitäten, die über einen längeren Zeitraum durchgeführt werden. Jeder Schritt in diesem Prozess, oft als der Cyberangriffs-Lebenszyklus bezeichnet, stellt eine weitere Chance dar, den Gegner zu erkennen und abzuwehren.
WER, WIE UND WARUM?
Oft wird einfach versucht, die Ergebnisse eines erfolgreichen Angriffs zu sanieren oder diese spezifische Aktivität zu blockieren, falls sie in Zukunft noch einmal auftritt. Dadurch fehlen möglicherweise aber wertvolle Hinweise, um den Rahmen dieses Vorfalls zu rekonstruieren, also das „Wer“, „Wie“ und „Warum“. Je mehr Informationen also aus diesen Ereignissen extrahiert werden, desto besser kann die Sicherheitsarchitektur ausgerichtet werden, um ein ähnliches Ereignis in Zukunft zu vermeiden. Böswillige Akteure können die verwendete Malware leicht ändern, aber es ist viel schwieriger für sie, ihre Werkzeuge, Taktiken und Verfahren (Tools, Tactics, Procedures; TGP) zu erweitern. Genau diese können aber ausgenutzt werden, um Aktivitäten von dieser Gruppe zukünftig zu erkennen.
Beispielhaft lassen sich zwei Szenarien vergleichen:
- In einem Unternehmen wird entdeckt, dass ein unbekanntes Stück Malware eine der Maschinen infiziert hat. Es folgt ein Re-Imaging des Geräts und wird dafür gesorgt, dass eine Signatur für die Malware in der Zukunft existiert.
- Das unbekannte Stück Malware wird erfasst und es folgt eine weitere Untersuchung, um weitere Puzzlestücke einer Serie von Ereignissen zusammenzufügen, die zu dieser Infektion führte. Schließlich stellt sich heraus, dass die bei diesem Angriff eingesetzten Methoden ähnlich denen einer gut finanzierten und anhaltend aktiven Gruppe sind, die aus dem Ausland operiert.
Be the first to comment