Insider-Bedrohungen erkennen und Hacker aufspüren: Ein Praxisbeispiel

Die Gefahr durch Datenlecks aus dem Inneren einer Organisation ist mindestens genauso groß wie durch Hackerangriffe, die von außen stattfinden. [...]

Unter dem Titel „ART – Die Kunst, Licht ins Dunkel zu bringen“ veranschaulichte Werner Lugschitz, Inhaber von EDV-Notruf, diesen Praxisfall jüngst auf der diesjährigen Panda Security Roadshow, die im vergangenen Monat in vier Ländern und elf Städten über 350 Partner sowie IT-Verantwortliche begeisterte. (c) Panda Security

Laut aktuellem Insider Threat Index sollen in Europa Insider-Bedrohungen zwar leicht gesunken sein, aber immer noch sind 38 Prozent der Sicherheitsvorfälle auf die direkte Bedrohung durch böswillige oder unachtsame Mitarbeiter zurückzuführen. Entsprechend wichtig ist es, Daten gegen Bedrohungen von innen abzusichern. Da in diesen Fällen in der Regel keine Schadsoftware zum Einsatz kommt, können traditionelle Antivirenprogramme keinen Schutz bieten. Doch auch Insider hinterlassen Spuren und eben diese gilt es aufzuspüren – wie im Fall einer Berufsschule für angehende Informatiker in Österreich. Gerufen wegen einer unerklärlichen Störung, deckte die Firma EDV-Notruf live einen Angriff auf die Schulserver auf und konnte den Aufenthaltsort des Angreifers straßengenau bestimmen.

Auf frischer Tat ertappt

Was ist geschehen? Die Schule ist IT-seitig gut aufgestellt – die 300 Computer und mobilen Geräte im Netzwerk über mehrere Firewalls geschützt. Den IT-Verantwortlichen ist aufgefallen, dass diverse DNS-Auflösungen (Domain Name System) innerhalb des Schulnetzwerkes nicht mehr zugelassen wurden. Um der Ursache auf den Grund zu gehen, engagieren die Verantwortlichen einen externen Notfall-Service, der noch am selben Abend zur späten Stunde, zu der keine Rechner aktiv sein sollten, mit der Analyse beginnt. Grundlage dafür bildet die IT-Security-Lösung „Adaptive Defense 360“ (AD 360) inklusive des „Advanced Reporting Tool“ (ART), ein Modul, das mit wenigen Klicks detaillierte Rückschlüsse aus dem IT- und Sicherheitsmanagement einer Organisation zieht.

Die Experten spielten AD 360 auf einen Administrationsrechner, um einen Überblick zu laufenden Prozessen und ungewöhnlichen Verhaltensmustern zu erhalten. Denn die Panda-Lösung bietet eine Echtzeitüberwachung und Klassifizierung aller Prozesse von allen Endpoints; gleichzeitig ermöglicht das integrierte ART-Modul einen automatisierten Abgleich aller gewonnenen Telemetriedaten. So können Angriffe und ungewöhnliche Aktivitäten erkannt werden. Nach nur 15 Minuten hatte das Team über die Analyse von Log-Files feststellen können, dass ein Server permanent mit einem Schülerübungs-PC im Labor kommuniziert. Zudem offenbarten die weitreichenden Analysemöglichkeiten von ART, dass sich ein zusätzlicher DNS-Server im Netzwerk befindet, der nicht zur Schule gehört, mit dem auf diverse Systeme, Rechner und Umgebungen zugegriffen wurde – unter anderem auf das Notensystem der Schule.

Offensichtlich hatte der Angreifer ein sogenanntes goldenes Ticket gelöst – verkürzt bedeutet das, dass ein Hacker umfassenden und vollständigen Zugriff auf das gesamte Netzwerk hat, selbst dann, wenn Passwörter geändert werden. Viele IT-Security-Lösungen sind in so einem Fall machtlos, da der Angriff nicht als solcher erkannt wird. Das „Advanced Reporting Tool“ hingegen wertet alle Prozessdaten aus, also nicht nur als böswillig kategorisierte Angriffe, sondern auch Whitelisted-Vorgänge, die – wie in diesem Praxisfall – den ausschlaggebenden Hinweis auf illegale Vorgänge geben können.

Lokalisierung des Täters

Letztlich konnte das EDV-Notruf-Team live beobachten, wie der Angreifer auf das Schulsystem zugreift. So kam ein weiteres Feature von Pandas ART zum Einsatz: Lokalisierung der Prozesse. Da auf Wunsch alle Prozessaktivitäten und die Kommunikation von Endpoints untereinander auf einer Karte angezeigt werden, konnte das Team schnell den Server ausfindig machen, der auf das Schulnetzwerk Zugriff hat und ihn straßengenau ausfindig machen. Bei der Überprüfung der Adresse wurde dann schnell klar: Es handelt sich um einen Schüler, der Prüfungsunterlagen von den Servern kopiert und Noten verbessert hat. In diesem Fall hat die Schule von einer Anzeige abgesehen, um dem Schüler die Möglichkeit zu geben, sich mit seinem Können für die „gute“ Seite einzusetzen und nicht als Hacker einen illegalen Weg einzuschlagen.

Dieses Beispiel zeigt, dass die Zeiten, in denen allein eine fortschrittliche Antiviren-Software ausreicht, vorbei sind. Gerade in Organisationen, in denen viele Mitarbeiter Zugang zu persönlichen und sensiblen Daten haben, muss die Bekämpfung von Bedrohungen durch Insider in die IT-Sicherheitsstrategie implementiert sein. Das im Fall der Berufsschule eingesetzte „Advanced Reporting Tool“ von Panda Security bietet umfangreiche Analysemöglichkeiten, denen kaum Grenzen gesetzt sind. Während andere Programme ausschließlich Blacklisted-Informationen für Auswertungen heranziehen, kann Panda auf sämtliche gewonnenen Prozessdaten zugreifen. Es enthält viele standardisierte Auswertungsmöglichkeiten zum Auffinden von Problemen oder Risiken – gerade in den Bereichen Compliance und Datenschutz. Integriert in Pandas umfassende Cyber-Sicherheitslösung „Adaptive Defense 360“, stellt das ART-Modul IT-Administratoren auf Knopfdruck ausführliche Sicherheitsinformationen auf Abruf bereit. So können eben nicht nur Angriffe von außen festgestellt werden, sondern eben auch ungewöhnliche Verhaltensmuster sowie ein interner Missbrauch der Firmennetzwerke und -systeme.

Es stehen diverse Dashboards mit Schlüsselindikatoren, Suchoptionen und individuell anpassbare Warnmeldeoptionen zur Verfügung. Dabei lassen sich Suchvorgänge und Alerts spielend leicht an die eigenen Gegebenheiten des Unternehmens anpassen. Das können beispielsweise die Kontrolle von Remote-Tools, die gegen Compliance-Richtlinien verstoßen, Ausführungen von Programmen mit Sicherheitslücken, unerlaubte Zugriffe auf Verzeichnisse oder Exfiltrationen besonderer Dokumente sein.

Doch das ART-Modul dient nicht nur als Kontrollebene und zeigt den Zugriff auf vertrauliche Dateien sowie Datenlecks im Netzwerk. Als flexibler, Cloud-basierter Big Data Service, der ausgefeilte und individuell konfigurierbare Analysemöglichkeiten in übersichtlichen Dashboards bietet, hilft es, den Workflow von IT-Administratoren zu optimieren und die Effizienz zu steigern. Ganz nebenbei haben Unternehmen und Organisationen über das Tool zusätzlich die Option, die Nutzungsmuster ihrer IT-Ressourcen zu analysieren, um Kostensenkungspotenziale zu definieren und umzusetzen. Beispielsweise erhalten sie die volle Kontrolle über die im Unternehmen genutzten RDP-Verbindungen oder können Anwendungen mit hoher Bandbreitennutzung anzeigen lassen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*