Die Angriffe von Datendieben sind heute ausgefeilter denn je und für Unternehmen extrem schwer zu identifizieren. Der "Fort-Knox-Ansatz", bei dem kritische Daten möglichst sicher verschanzt werden, reicht nicht, um ein Netzwerk umfassend zu schützen. Eine Kombination statischer Sicherheitsstrategien mit Methoden für rasche Reaktionen ist nötig, wie etwa eine kontinuierliche Netzwerküberwachung. Ziel ist eine intelligente Analyse aller verfügbaren Maschinendaten. So lassen sich Bedrohungen zum frühestmöglichen Zeitpunkt erkennen und bekämpfen. [...]
Unternehmen erzeugen jeden Tag Terabytes an sicherheitsrelevanten Daten – etwa von Firewalls, Anti-Malware-Tools oder IDS-Systemen. Dazu kommen Log-Files, Anwendungsdaten sowie Web- und E-Mail-Protokolle. Um ein umfassendes Bild zu erhalten, sollten möglichst viele dieser Informationen gesammelt und miteinander korreliert werden. Das macht es einfacher, Muster und vor allem Abweichungen vom Normalzustand zu erkennen. Operational-Intelligence-Plattformen ermöglichen genau das: Sie führen extrem große Mengen unstrukturierter Daten zusammen und indexieren die Informationen. Unternehmen können so ähnlich wie bei einer Suchmaschine im Internet ihre Daten zu verschiedenen Themen „befragen“ und miteinander verknüpfen. In Echtzeit entsteht so ein Gesamtbild der Bedrohungslage, das auch winzigste Spuren von Manipulationen in einem Meer scheinbar unverdächtiger Ereignisse aufdeckt. Warnmeldungen und Berichte in Echtzeit erleichtern es Sicherheitsverantwortlichen, potenzielle Gefahren sofort auszumachen.
Aber wie sehen Anomalien bei Maschinendaten aus? Leider existiert keine einheitliche Liste, auf der sich fragliche Punkte einfach abhaken lassen. Sicherheitsexperten müssen stattdessen kreativ sein und sich in Angreifer hineinversetzen. Nur so lassen sich die richtigen Daten miteinander verbinden und Unregelmäßigkeiten aufdecken. Das Unternehmen Splunk, ein Anbieter von Operational-Intelligence-Plattformen, hat als Illustration dessen einige erfolgreiche Anwendungsfälle aus der Praxis gesammelt.
MUSTER ERKENNEN UND VORBEUGEN
Bei einem großen Finanzunternehmen hatte sich ein interner Anwender mit dem Benutzernamen „Administrator“ an einem Windows-Endgerät angemeldet. Da aber alle Benutzer ein individuelles Login haben und somit nicht in der Lage sind, sich als „Root“ oder „Administrator“ anzumelden, löste dieser Vorgang einen Alarm in der Sicherheitsabteilung aus. Gleichzeitig erkannte die Anti-Malware-Anwendung, dass auf demselben Endgerät ein Schadprogramm ausgeführt wurde. Mit einem Spezialwerkzeug für die Vermeidung von Datenverlusten konnte schließlich festgestellt werden, dass von dem „Administrator“-PC unverschlüsselte Kreditkarteninformationen an einen verdächtigen Command- und Control-Server übermittelt wurden.
Alles deutete auf einen Hackerangriff hin – drei verdächtige Ereignisse, die sich innerhalb kürzester Zeit auf einem einzigen Gerät abspielten. Der Angreifer konnte sich über die gefälschten Anmeldedaten einloggen und vermutlich Malware sowie eine Hintertür für den remoten Zugriff installieren, um so an die Kreditkartendaten zu gelangen.
Das Unternehmen reagierte, indem es das Ereignismuster ermittelte und auf drei verschiedene Datenquellen anwendete. Sollte ein ähnlicher Vorgang erneut auftreten, wird er automatisch erkannt und ein entsprechender Alarm ausgelöst. Darüber hinaus ist der Alarm mit einem einfachen Script verknüpft, das alle externen Verbindungen eines infizierten Geräts automatisch blockiert und einen künftigen Datendiebstahl sofort identifizieren und verhindern kann. Anhand einer Mustersuche in alten Daten ließen sich weitere infizierte Geräte finden und anschließend säubern.
Indem die Gefahr sofort erkannt und beseitigt wurde, entstanden dem Unternehmen keine Nachteile durch Kreditkartenkosten, Imageverlust oder Strafgebühren für die Nichteinhaltung von PCI-Standards (Payment Card Industry Data Security Standard).
SPEARPHISHING AUFDECKEN
Ein anderes Unternehmen nutzte Operational Intelligence, um Spearfishing-Attacken auf seine Mitarbeiter aufzuklären und zukünftig zu verhindern. Die Sicherheitsverantwortlichen analysierten dafür alle externen E-Mail-Domains, von denen aus Nachrichten in das Unternehmen gelangten und alle externen Webseiten, die von Mitarbeitern aufgerufen wurden. Zusätzlich wurden auch noch Dienste und ausführbare Dateien, unter die Lupe genommen, die auf internen Maschinen liefen.
Dadurch konnte das Unternehmen die genaue Abfolge der Ereignisse nachvollziehen, die zur Entwendung vertraulicher Daten geführt hatte. Ein Mitarbeiter erhielt eine ihm unbekannte Nachricht von einer externen E-Mail-Domain und besuchte anschließend eine Webseite, die innerhalb des Unternehmens nur selten aufgerufen wird. Durch den Aufruf der Seite wurde der PC mit Malware – vermutlich einem Toolkit für den Fernzugriff – verseucht. Um solche Angriffe zukünftig zu verhindern, definierten die Sicherheitsexperten im Unternehmen eine maßgeschneiderte Suche über die Operational Intelligence Plattform und verknüpften sie mit einer Alarmfunktion. Falls eine ähnliche Verkettung von Ereignissen erneut auftreten sollte, warnt das System jetzt in Echtzeit.
Auch wenn es keinen hundertprozentigen Schutz gegen komplexe Bedrohungen gibt, können Maschinendaten entscheidend dazu beitragen, Unternehmen effektiv vor Hackern zu schützen. Die beschleunigte Reaktionszeit bei der Aufdeckung von Risiken hilft dabei, größere Schäden zu vermeiden. Damit sind Operational Intelligence-Plattformen eine unverzichtbare Waffe, um ausgefeilte Cyber-Angriffe auf Unternehmen zu erkennen und abzuwehren. (pi)
Be the first to comment