Mit <kes>+ lesen

Quellen der Erkenntnis : Der Weg zur ganzheitlichen, zukunftssicheren Cybersecurity am Beispiel der Angriffserkennung

Sicherheit ist letztlich eine Investition, um Geschäftschancen zu ermöglichen und abzusichern – ideale Security-Lösungen und -Services sind dementsprechend langlebig und werthaltig, was angesichts der schnelllebigen IT-Landschaften keine leichte Anforderung darstellt. Unser Autor diskutiert in diesem Spannungsfeld, woran man das Erkennen von Angriffen künftig ausrichten sollte, um dessen nachhaltige Implementierung zu unterstützen.

Von Björn-C. Bösch, Bonn

Die Welt verändert sich rasant – gerade in der IT. Der Gartner Hype-Cycle beobachtet aufkommende Technologien und benennt die vermutete Zeit bis zur allgemeinen Marktakzeptanz (Stichwort „anerkannter Stand der Technik“). Die generative künstliche Intelligenz (genAI) sahen die Analysten im August 2023 [1] beispielsweise kurz vor dem Höhepunkt inflationärer Erwartungen und prognostizierten weitere zwei bis fünf Jahre bis zum stabil hohen Niveau geschäftlicher Nutzung (Plateau of Productivity). Demgegenüber hat das 2022 von Gartner skizzierte Konzept einer Cybersecurity-Mesh-Architecture (CSMA [2]) gerade erst die erste Stufe des Hype-Cycle (Innovation-Trigger) betreten und benötigt den aktuellen Annahmen zufolge noch mehr als zehn Jahre bis zum (hoch-)produktiven Einsatz.

 

Alles im Fluss

Gerade in der virtuellen Welt steigt die Innovationsfrequenz kontinuierlich, wodurch die Lebenszyklen von Produkten und Services immer kürzer werden – was heute das Neuste auf dem Markt ist, kann bereits in Kürze von neuer Technologie verdrängt werden und nicht mehr angemessen sein. Darüber hinaus verändern moderne Kommunikationsprotokolle (z. B. IPv6) die Kommunikation und Architektur von IT-Infrastrukturen. Die veränderte IT-Nutzung beeinflusst zusätzlich Nutzungsverhalten und Kommunikationsströme [3].

Die zu schützenden IT-Umgebungen verändern sich kontinuierlich und stellen hierdurch gleichzeitig besondere Anforderungen an die sie überwachenden Sicherheitslösungen, da beide stark miteinander interagieren. Gerade bei längerfristigen und umfangreichen Implementierungsprojekten von Sicherheitslösungen stellt sich am Anfang immer häufiger die Frage, ob Investitionen und Aufwand nicht nur angemessen und wirtschaftlich, sondern auch zukunftsorientiert sind – schließlich sollten zu leistende Arbeit und Investitionen sinnvoll sein und möglichst langfristig einen Mehrwert bieten.

Hieraus ergeben sich folgende Fragestellungen: Wie lassen sich in einem solchen dynamischen Umfeld längerfristige und umfangreiche Implementierungs- und Migrationsprojekte erfolgreich durchführen und abschließen? Wie kann man Projekte nachhaltig gestalten, sodass bei Projektabschluss nicht bereits eine Migration auf die nächste Technologie erforderlich wird?

Ein Kernziel der Informationssicherheit ist es, die Sichtbarkeit von sicherheitsrelevanten Ereignissen zu erhöhen und zu verbessern, um Bedrohungen zu erkennen und diesen entgegenzuwirken. Das basiert auf dem kontinuierlichen und automatischen Erfassen und Auswerten von Informationen aus unterschiedlichen Quellen [4]. Das Einbeziehen notwendiger Informationen verschiedenen Urpsrungs beeinflusst sowohl die Qualität der Sichtbarkeit als auch die Fähigkeit zum zuverlässigen Erkennen von Angriffen.

Heutige Herausforderungen

Welche unterschiedlichen Quellen sinnvoll und auch nutzbar sind, ergibt sich aus der jeweiligen Nutzungs- und Kommunikationssituation: Server und Applikationen verlagern sich in die Cloud mit gemeinsam genutzten Plattformen. Der umfassende Zugriff auf bisherige Informationsquellen wird dabei durch ein Shared-Responsibility-Konzept stark eingeschränkt – abhängig vom Cloud-Service-Modell liegen etliche Informationen im Verantwortungsbereich des Dienstleisters und somit
außerhalb des eigenen Zugriffs. Folglich sind diese Plattform-Informationen nicht (mehr) nutzbar oder die Quellen verlieren inhaltlich an Qualität – für Detektionsansätze fehlen entsprechende Sicherheits- und Ereignisinformationen. Um die entstandene Informationslücke zu schließen, sind andere Detektionsmethoden und/oder Quellen sind erforderlich.

Gleichzeitig sind heutige Arbeitsplätze hochgradig mobil. Der Ansatz geschützter und vertrauenswürdiger Geräte in einem kontrollierten Unternehmensnetz hat ausgedient. Moderne Endpunkte (Server, Arbeitsplätze etc.) sind überall und von überall zu erreichen. Daher sind Endpunkte zuverlässig vor Nutzung und Veränderungen durch Dritte zu schützen und stehen immer stärker im Zentrum von Absicherung und Angriffsdetektion.

SIEM am Limit

Durch die geänderten Nutzungsstrukturen und damit verbunden dem zunehmenden Wegfall wesentlicher erforderlicher Informationsquellen stoßen bisherige Ansätze des Security-Information- and -Event-Managements (SIEM) an ihre Leistungsgrenzen. Das betrifft vor allem den Umfang an erforderlichen Datensätzen, die Qualität der enthaltenen Informationen sowie deren Vorhalten (Archivieren).

Für SIEM-Analysen werden Informationen aus unterschiedlichen Quellen zusammengetragen und korreliert. Je vielfältiger diese sind, desto wahrscheinlicher lassen sich darin Angriffsspuren erkennen. Dieser Ansatz hat jedoch erhebliche Nachteile: Zum Erfassungszeitpunkt ist noch nicht absehbar, welche Datensätze später relevant sind, um einen Vorfall zu erkennen oder diesen mit Kontextinformationen sinnvoll anzureichern. Es ist sehr individuell, welche Art von Daten man benötigt und wie weit ein Vorfall zeitlich zurück analysiert werden soll oder muss (Analyse der Aufklärungsphase, erstes Eindringen und Festsetzen etc.). All das führt im Allgemeinen zu einer umfangreichen anlasslosen Speicherung von Informationen und resultiert in hohem Speichervolumen. Speziell bei sehr spät erkannten Angriffen sind Informationen zum Nachvollziehen des ursprünglichen Infiltrationszeitpunkts und -weges trotzdem oft nicht mehr vorhanden.

Ein weiterer Nachteil ergibt sich daraus, dass Nutzungsinformationen und Protokolldaten von gemeinsam genutzten Diensten (speziell Cloud-Services) plattformorientiert generiert werden und nicht mehr auf einzelne Mandanten separierbar sind. Diese erforderlichen Informationen zum Erkennen von Angriffsspuren liegen daher außerhalb des eigenen Gewahrsams/Zugriffs und stehen somit nicht zur Verfügung.

Die nächste Generation

Veränderte Nutzung und Architekturen erfordern somit ein grundlegendes Anpassen der Informationsgewinnung, um die Fähigkeit zu erhalten, Angriffsspuren sichtbar zu machen. Statt der Korrelation von „historischen“ Sicherheits- und Ereignisinformationen sind nun neue Analyseansätze basierend auf alternativen Informationsquellen zur Vorfallserkennung erforderlich. Künftig werden daher kontrollierbare Endpunkte (Client bzw. Server/ Applikation) sowie die Identitätsprüfung im Fokus der Informationsgewinnung stehen.

Innovative Verfahren zur Angriffsdetektion auf Endpunkten werden stark an Bedeutung gewinnen. Die clientbasierte Endpunkt-Absicherung mittels Verhaltensanalyse von Prozessen und Identitäten inklusive deren Kommunikationsverhaltens auf Basis von Large Language-Models (LLMs) wird zunehmen. Das Verhalten von Identitäten wird man dann nicht mehr direkt in der Applikation oder dem System, sondern in zentralen Authentifizierungsdatenbanken analysieren. Im Fokus dieser Analyse liegen dann nicht länger abgewiesene Login-Versuche, sondern das Login-Verhalten (z. B. von unterschiedlichen Standorten oder Endgeräten).

Gegenüber dem umfangreichen Korrelieren von Sicherheitsinformationen und Systemereignissen lassen sich mit diesem Ansatz hochwertigere Informationen aus den vielfältigen Quellen gewinnen und auswerten: Bewegungen des Angreifers in und über die eigenen Systeme (Lateral Movements) werden zuverlässiger und früher erkannt und sind besser nachvollziehbar – fortgeschrittene, andauernde Bedrohungen (Advanced Persistent Threats, APTs) sind so besser identifizierbar sowie eindämmbar und man kann gezielter dagegen vorgehen.

Es ist jedoch nicht immer möglich, auf derart hochwertige Informationen zurückzugreifen beziehungsweise einen Client/Agent auf wichtigen Systemen zu installieren. In Umgebungen der Operational Technology (OT) sowie des Internet of Things (IoT) ist das Installieren zusätzlicher Software meistens ausgeschlossen – umso mehr bei medizinischen Systemen (mOT/mIoT). Solche Systeme und Umgebungen sind jedoch durch automatisierte und wiederkehrende Kommunikation geprägt: In diesen speziellen Fällen lässt sich daher auf Telemetriedaten aus dem Netzwerk zurückgreifen, um Verhaltensabweichungen in der sich wiederholenden Kommunikation zuverlässig und zeitnah zu erkennen.

Netzwerksicherheitskomponenten wie Intrusion- Detection- und -Prevention-Systeme (IDS/IPS), Firewalls et cetera bleiben weiterhin wichtig für die präventive Sicherheit von IT-Komponenten – ihre Bedeutung zum Erkennen von Angriffsspuren nimmt jedoch ab. Telemetriedaten und Protokollinformationen aus dem Netzwerk ergänzen gewonnene Informationen aus Identitäten- und Prozessanalyse zu einem umfangreicheren Lagebild. Das Positionieren der Erhebungspunkte (Sensoren: Firewalls, IDPS etc.) hat dabei maßgeblichen Einfluss auf die Qualität der Telemetriedaten und die erweiterte Sichtbarkeit.

Auf diese Architektur zum kontinuierlichen Erfassen und automatischer Analyse von Informationen aus unterschiedlichen Quellen sind dann Prozesse zur Vorfallsbehandlung (Incident-Response) aufzusetzen. Neben der personellen Abdeckung eines 24x7x365-Betriebs sind neben organisationsspezifischen Kenntnissen auch Erfahrungen, Routine und umfangreiches Fachwissen erforderlich, um die gemeldeten Ereignisse zu verifizieren und Angriffe einzudämmen.

Gerade bei großen geschäftsbeeinflussenden Ereignissen ist es von Vorteil, auf zusätzliche Kompetenzen und Personal zurückgreifen zu können. Eine temporäre personelle Aufwuchs-Reserve mit speziellen Kompetenzen (z. B. Computer-Forensik, Krisen-Kommunikation etc.) lässt sich in der benötigten Qualität bedarfsgerecht und wirtschaftlicher auf Abruf durch externe Dienstleister [5] leisten. Passende regelmäßige Übungen evaluieren dabei das Zusammenwirken von eigenem Personal mit organisationsspezifischem Kenntnissen und dem ergänzenden Fachwissen und der Routine des Dienstleisters. So lassen sich Abläufe, Verfahren und Leistungsfähigkeit überprüfen und gegebenenfalls an einen veränderten Bedarf anpassen.

Fazit

Das Sammeln und Korrelieren von Protokolldaten (Sicherheitsinformationen und Ereignisse) ist zukünftig nicht mehr der zentrale Punkt der Vorfallserkennung. Das reine Sammeln und Korrelieren von „historischen“ Protokolldaten aus unterschiedlichen Quellen wird zurückgehen, da der Endpunkt immer mehr im Zentrum der Informationssicherheit steht.

Entscheidende Informationen zum Erkennen und Nachvollziehen von Angriffen werden zunehmend aus dem Verhalten von Prozessen und Identitäten gewonnen, um Angriffsspuren frühzeitig und zuverlässiger zu finden. Nur in speziellen Einsatzumgebungen, in denen man nicht vollständig auf die Endpunkte zugreifen kann, sind Abweichungen in wiederkehrenden Kommunikationsmustern auf der Basis von Netzwerk-Telemetriedaten zu erkennen.

Statt der Ereignisinformationen stehen künftig das Verhalten von Prozessen und Identitäten beim Erkennen von Sicherheitsvorfällen sowie deren Analyse im Fokus. Durch das kontinuierliche automatische Erfassen und Auswerten der Informationen aus unterschiedlichen Quellen (Clients, Server, Identitätsprüfung etc.) ist der Betreiber in der Lage, fortgeschrittene andauernde Bedrohungen frühzeitiger zu identifizieren und diesen entgegenzuwirken. Eine umfangreiche, anlasslose und langfristige Speicherung von System-Protokolldaten ist damit weder technisch erforderlich noch wirtschaftlich sinnvoll. Dieser Ansatz unterstützt sowohl eine ökonomische als auch rechtlich eindeutige zulässige Archivierung von Informationen (z. B. Protokolldaten).

Basierend auf diesen technischen Fähigkeiten sind natürlich weiterhin geeignete Beseitigungsmaßnahmen vorzusehen, um eingetretenen Störungen des Geschäftsbetriebs zu begegnen. Abrufverträge und regelmäßige gemeinsame Übungen mit externen Dienstleistern bilden dabei eine gute und wirtschaftliche Ergänzung zu eigenen Kapazitäten.

Björn-C. Bösch ist Technical Sales Consultant bei einem großen Managed-Security-Service-Provider im Bereich Sales Public. Er verfügt über mehr als 25 Jahre Berufserfahrung in der Informationssicherheit und ist unter anderem registrierter ISO-27001-ISMS-Lead-Auditor, CISSP, CISM sowie BSI-ITGrundschutz-Praktiker und hält weitere Zertifizierungen unterschiedlicher Security-Hersteller.

Literatur

Literatur

[1] Lori Perri, What’s New in the 2023 Gartner Hype Cycle for Emerging Technologies, Gartner Article, August 2023, www.gartner.com/en/articles/whats-new-in-the-2023-gartner-hype-cycle-for-emerging-technologies

[2] Ellen Dankworth, Cybersecurity Mesh: Buzzword oder Zukunft der Cloud-Security?, Deloitte Article, www.deloitte.com/de/de/pages/risk/articles/cybersecurity-mesh.html

[3] Björn-C. Bösch, So wirkt sich Digitalisierung auf Cybersecurity aus, CSOonline, April 2023, www.csoonline.com/de/a/so-wirkt-sich-digitalisierung-auf-cybersecurityaus, 3674544

[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung, Version 1.0, September 2022, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/oh-sza.pdf

[5] Bundesamt für Sicherheit in der Informationstechnik (BSI), Liste der qualifizierten APT-Response-Dienstleister (im Sinne § 3 BSIG), März 2024, www.
bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister_APT-Response-Liste.pdf?__blob=publicationFile&v=22

Diesen Beitrag teilen: