Free

Wissen schafft Sicherheit

IT-Sicherheitsverantwortliche, die sich gegen die komplexen Cyberangriffe von heute wehren wollen, müssen diese frühzeitig erkennen. Dabei geht es aber nicht nur um Signatur-Vokabeln, die lediglich vor bekannten Gefahren schützen

Lesezeit 6 Min.

Sensoren an neuralgischen Punkten liefern die relevanten Daten zur Prävention, Erkennung und Abwehr weitreichender Cyberattacken. Sie schaffen so die Grundlage, sicherheitsrelevante Ereignisse über die klassischen Endpunkte PC und System hinaus zu bewerten.

Die heutigen professionellen und individuellen Angriffe auf die immer komplexer werdende Unternehmens-IT erfordern von der IT-Abwehr eine umfassende Sicht auf das Geschehen im Netzwerk. Mit der steigenden Anzahl unterschiedlicher Endpunkte ist es für IT-Administratoren jedoch nicht mehr möglich, das vielfältige Geschehen im Auge zu behalten. Technologische Ansätze wie Extended Detection and Response (XDR) verschaffen den IT-Verantwortlichen eine bessere und notwendige Perspektive. Die Sensoren einer XDR-Plattform erweitern den Informationsstand einer traditionellen EDR-Telemetrie um weitere Datenquellen aus Cloud-basierten, On-Premise- und hybriden Umgebungen einschließlich aller physischen und konnektiven Geräte und der jeweiligen Workloads. Eine XDR-Plattform aggregiert diese Informationen in einem zentralen Dashboard, um entsprechende Maßnahmen auszulösen zu können.

Überblick über die klassischen Endpunkte hinaus

Nur eine umfassende Gesamtsicht erlaubt es, Anomalien im Verhalten der IT rechtzeitig zu erkennen und ein vollständiges Bild zu liefern, wie sich die Angriffe entwickeln. Denn häufig starten Attacken mit einer unerkannten und unauffälligen Phishing-E-Mail, aus der sich ein persistenter Zugang zu den Opfersystemen ergibt. Der weitere Lebenszyklus des Hackerzugriffs kann sich dann in die Länge ziehen. In vielen Phasen ist der Eindringling nicht aktiv tätig oder nicht zu erkennen. IT-Administrationen oder Experten im Security-Operations-Center eines Managed-Detection-and-Response-(MDR)-Dienstes sind bei Living-on-the-land- und Fileless-Attacken daher auf Hilfe angewiesen, um auffälliges Verhalten wie Seitwärtsbewegungen zu erkennen und im Gesamtkontext abzubilden. Aufgrund der XDR-Informationen können sie die Hacker nun bei drohender unmittelbarer Ausführung oder bereits vorab stoppen. Wenn ein Angriff im Entstehen ist, haben sie alternativ die Wahl, das Geschehen in einer cloudbasierten Sandbox weiter zu beobachten, um eventuell weitere Hinweise zu gewinnen und dann effiziente Abwehrmaßnahmen zu ergreifen. Außerdem spielt die Qualität einer forensischen Root-Cause-Analyse für die Prävention von Folgeangriffen eine bedeutende Rolle.

Standortwahl für Sensoren

Die entscheidende Prämisse einer ganzheitlichen IT-Sicherheitsarchitektur ist die Verteilung der Sensoren in den entscheidenden Bereichen des Netzes, zum Beispiel:

  • On-Premises- und Cloud-Endpunkte sowie Server,
  • produktive Applikationen von Microsoft Office 365 mitsamt Outlook,
  • Cloud-Workloads wie Dienste von Amazon oder anderen Cloud-Service-Providern,
  • Microsoft Active Directory für das Identitätsmanagement im Netzwerk.

Über die klassischen Sensoren an Endpunkten hinaus spielen vier Sensortypen eine wichtige Rolle für eine effiziente Abwehr komplexer Cyberattacken:

1. Sensoren für produktive Applikationen

Ein strategisches Ziel der Cyberkriminellen ist es, die Kontrolle über Nutzerkonten für Microsoft Office 365 zu erlangen. Das Mittel der Wahl sind Phishing-E-Mails, um die Zugangsdaten zu erfahren. XDR-Sensoren erkennen Angriffe auf die Nutzerkonten oder Angriffe, die von gekaperten Konten ausgehen. Im Zuge dessen beobachten sie folgende verdächtige Prozesse in Microsoft Office 365 wie:

  • ein fragwürdiges Anlegen von Nutzern – etwa ein neu erstellter Benutzer, der von der per Richtlinie geforderten Multi-Faktor-Authentifikation ausgeschlossen ist,
  • das Hochladen von Dokumenten mit verdächtigen Makros auf SharePoint und OneDrive,
  • das Hochladen von ausführbaren Dateien auf Office-365-Konten,
  • oder verdächtige Zugriffsanfragen, zum Beispiel ein mehrfach in kurzer Zeit erlaubter Zugriff auf mehrere Dateien oder Verzeichnisse auf verschiedenen SharePoint-Websites.

Der Sensor entdeckt auch Anomalien im Nutzerverhalten. Eine erhöhte Zahl administrativer Aktivitäten oder Vorgänge zum Bearbeiten von Dokumenten an einem Tag sind ein Beispiel für auffälliges Verhalten im Nutzerkonto.

Auch gekaperte Microsoft-Exchange-Konten zeichnen sich durch verdächtiges Verhalten aus, die ein Sensor beobachtet:

  • Exfiltrations-E-Mails zum Herunterladen von Dateien aus dem Konto eines kompromittierten Nutzers,
  • Spear-Phishing-E-Mails, um den Anwender dazu zu bringen, seine Zugangsdaten preiszugeben
  • Erlaubnis zum Zugriff auf mehrere verschiedene Mailboxen innerhalb kurzer Zeit
  • sowie das Löschen einer großen Menge von E-Mails durch ein Benutzerkonto in einem Postfach, das dem Benutzer nicht gehört.

Abzuleitende Abwehrmaßnahmen aus einer XDR-Dashboard sind das Löschen von E-Mails oder von Office-365-Accounts über das gesamte Unternehmen hinweg.

2. Cloud-Sensoren

Diese Sensoren zeigen an, wenn die Sicherheit einer Cloud-Umgebung, wie etwa von Amazon Web Services oder Microsoft Azure, kompromittiert ist, und überwacht verschiedene Angriffsindikatoren.

Ein solcher Cloud-Sensor definiert zunächst die Baseline des normalen IT-Verhaltens, um dann verdächtige Anomalien zu erkennen. Hier kann es sich um den Upload einer Datei mit verdächtiger Namenserweiterung handeln, die nicht zum normalen Nutzerverhalten passt. Auch das ungewöhnliche Verhalten von Cloud-Funktionen gehört dazu. Ein Cloud-Sensor überwacht auch verdächtige, möglicherweise von Angreifern ausgelöste Aktivitäten in einzelnen Cloud-Diensten wie etwa Amazon Web Services Lambda.

Zu verdächtigen und beobachtbaren Aktionen auf Cloud-Endpunkten gehören insbesondere:

  • die automatisierte Exekution von Code,
  • das Anlegen eines Zugangsschlüssels als Backdoor zu einem Nutzer des Amazon-Web-Services-Identity-and-Access-Management (IAM)-Dienstes,
  • das Update einer Sicherheitsgruppe, um einen Port-Zugang zu gewähren – als möglicher Zugang zu einer Cloud-Instanz für Hacker,
  • das Entfernen der Default-Verschlüsselung eines AWS-Simple-Cloud-Storage-(S3)-Buckets durch einen unbekannten Nutzer oder Host. Damit sind alle serverseitig verschlüsselten Objekte in den angegriffenen Buckets exponiert,
  • Reconnaissance-Events in einem S3-Bucket,
  • das Abschalten des Logging-Dienstes Amazon Web Services CloudTrail oder das Löschen von Logs aus dem Monitoring-Dienst CloudWatch,
  • oder der gleichzeitige mehrfache Log-In eines Nutzers aus verschiedenen Regionen – ein typisches Symptom für einen kompromittierten Account.

3. Identitätssensoren

Der Schutz und die Kontrolle von Identitäten ist eine kritische Komponente, um die Resilienz einer IT-Infrastruktur zu erhöhen. Wer verdächtige Authentifikationsvorgänge für Applikationen, DevOps-Tools, Datenbanken, Systeme, Cloud-Umgebungen oder andere kritische IT-Ressourcen identifiziert, minimiert den denkbaren Schaden eines möglichen Angriffs. Ein Identitätssensor ist verbunden mit der Active Directory und zeigt die Aktivitäten von Hackern, die kompromittierte Anwenderkonten, Token und Objekte für sich nutzen wollen. Dazu gehören nicht nur die Accounts eines Endanwenders, sondern auch System- oder API-Konten.

Der Identitätssensor entdeckt Attacken auf das Kerberos-Protokoll zur Netzwerk-Authentifikation. Er erkennt:

  • wenn Hacker einen Kerberos-Login für eine Brute-Force-Attacke mithilfe in schneller Folge generierter Passwörter oder Verschlüsselungs-Keys gegen ein System durchführen wollen,
  • wenn sie ein gestohlenes Kerberos-Ticket nutzen wollen, um sich lateral in einem Netzwerk zu bewegen,
  • die Bitte um ein Ticket mit einer schwachen Verschlüsselung – die ein verbreitetes Indiz für einen bösartigen Angriff darstellt
  • sowie sogenannte Replay-Attacks, also das Weiterleiten gestohlener Datenpakete aus dem Netzwerk an einen Service oder eine Applikation.

Ebenso erkennt ein solcher Sensor verdächtige Logins, nachdem er eine Brute-Force-Attacke entdeckt hat. IT-Sicherheitsverantwortliche sehen nun, wenn ein Angreifer einen bösartigen Active Directory Domain-Controller registriert, um gefährliche Objekte in andere Domain-Controller innerhalb derselben Active-Directory-Infrastruktur zu injizieren. Er identifiziert auch verschiedene Aktivitäten auf einem Active-Directory-Objekt und Authentifikationen in Remote-Systemen mit gestohlenen Zugangsdaten. IT-Sicherheitsteams können einen Active-Directory-Account deaktivieren oder einen Passwort-Reset erzwingen.

4. Netzwerksensoren

Eine virtuelle Appliance überwacht den Verkehr im Datennetzwerk und sucht nach Anzeichen eines Hacks. Bösartige Urheber versuchen, ihre Angriffe auszuweiten und bewegen sich zu diesem Zweck im Unternehmensnetzwerk von einem zum nächsten System. IT-Sicherheitsverantwortliche können die sich seitwärts bewegenden Angreifer identifizieren und beobachten. Außerdem erfahren sie von Versuchen zur Exfiltration von Daten. Der Sensor registriert auch Port-Scanning-Techniken und Brute-Force-Attacken aus dem Netzwerk heraus.

Wer umfassende Sicherheit in komplexen Infrastrukturen erreichen will, braucht die Gesamtsicht auf das IT-Geschehen über den klassischen Endpunkt hinaus. Ein Server oder ein PC-System sind nur ein winziger Ausschnitt und der letzte Schauplatz der finalen Exekution einer Attacke, etwa das Verschlüsseln oder die Exfiltration von Informationen. Eine Prävention, frühzeitige Erkennung und eine effektive Abwehr ist erst möglich, wenn auffällige Vorgänge über die ganze IT-Architektur hinweg sichtbar sind und gleichzeitig Administratoren oder Sicherheitsexperten einer Managed Detection and Response eine zentrale Abwehr aus einem zentralen Dashboard steuern.

 

Martin Zugec ist Technical Solutions Director bei Bitdefender.