Werbung

Compromise Assessment: Angriffe aufspüren, bevor großer Schaden entsteht

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Compromise Assessment: Angriffe aufspüren, bevor großer Schaden entsteht

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Malware, Ransomware oder Phishing: Unternehmen sind zunehmend von Angriffen bedroht, die Schadsoftware einschleusen, um Informationen und Intellectual Property abzugreifen. Traditionelle Schutzmaßnahmen reichen da nicht mehr aus. Mit Compromise Assessment lassen sich Cyberangriffe erkennen.
Compromise Assessment

Die Angriffsversuche auf Unternehmen werden immer ausgeklügelter: Advanced Persistant Threats (APT) setzen keine Standardtools ein, die ein IPS (Intrusion Prevention System) oder IDS (Intrusion Detection System) erkennt, sondern eigene Tools mit unbekannten Signaturen. Ziel dabei ist es, sich in die Infrastruktur des Opfers einzunisten und sich Hintertüren offen zu halten. Dafür werden Konfigurationen in der Registry hinterlegt oder ein Service installiert, der regelmäßig ausgeführt wird. Mit dem Ansatz des Compromise Assessment liegt eine Lösung zur effizienten Abwehr.

Traditionelle Schutzmaßnahmen wie das teilautomatisierte Vulnerability Management oder Penetrations-Tests sind in Unternehmen häufig genutzte IT-Sicherheits-Features gegen Cyberangriffe. Sie decken mögliche Angriffsvektoren auf, zeigen, ob diese in der Infrastruktur ausgenutzt werden können und welche Folgen sie haben: Welche Rechte kann ein Eindringling erlangen und wie groß sind die Sicherheitslücken?

Schwächen traditionelle Security-Maßnahmen umgehen

Die Ergebnisse basieren beim Vulnerability Management überwiegend auf den Datenbeständen und beim Penetrations-Test auf dem Fachwissen der Tester. Mangelt es in beiden Fällen an der Qualität, können die Ursachen von Angriffen nicht ermittelt werden. Darin liegt die größte Schwäche beider Maßnahmen. Bei Penetrations-Tests liegen weitere Herausforderungen in der festgelegten Scope von Systemen und in den Berechtigungen: Diese bestimmen, wie weit ein Tester gehen darf, ohne zusätzlich Schäden an Systemen zu hinterlassen. Denn Penetrations-Tests sind invasiv und greifen in die Systeme ein.

Da es zu Ausfällen und Mehrkosten kommen kann, sind sie mit hohen Risiken verbunden. Dennoch stellen sie nur Momentaufnahmen von der Sicherheit des Systems und der Konfiguration zum Testzeitpunkt dar. Beim Vulnerability Management zeigen hochgeladene CVE-Daten auf Basis der Softwarepakete, die im Unternehmen zum Einsatz kommen, ob Schwachstellen vorhanden sind. Oft ist hier auch das Patch-Management aufgehängt: Sicherheitslücken werden mit neuen Software-Versionen geschlossen.

Compromise Assessment: Unbekannte Sicherheitslücken entdecken

Beide Methoden zeigen nicht auf, ob vorhandene Schwachstellen bereits ausgenutzt wurden. Angriffe werden oft nur erkannt, wenn sich die Systeme anders als gewohnt verhalten. Eine Schwachstelle, die von diesen traditionellen Schutzmaßnahmen ebenfalls oft übersehen wird, sind Zero-Day-Lücken: unbekannte Sicherheitslücken, die neu entdeckt wurden und deswegen von einem Angreifer ausgenutzt werden können, um erheblichen Schaden anzurichten.

Herkömmliche Maßnahmen erkennen diese Lücken nicht, da sie nur auf bekannte abzielen. Auch einfache Konfigurationsfehler können von den traditionellen Maßnahmen übersehen werden – für einen Angreifer sind sie dagegen offensichtlich. Dabei handelt es sich oft um zu großzügige Berechtigungsvergaben: Im Active Directory von Windows finden sich häufig Accounts und sogar Gruppen mit diversen Berechtigungen und schlechten Passwörtern. Im Ernstfall können diese leicht ausgenutzt und die komplette Infrastruktur kompromittiert werden.

Maturity-Level der IT-Security erhöhen

Best Practice ist, Usern so wenig Rechte wie möglich einzuräumen, doch gerade in kleineren Unternehmen mit wenig Manpower in der IT ist das nicht immer der Fall. Mitarbeiter ersetzen sich gegenseitig und benötigen dafür umfangreiche Rechte. Die Konfigurationen sind per se so ausgerichtet, dass die Systeme laufen und die tägliche Arbeit verrichtet werden kann. Der Fokus auf die Sicherheit fehlt.

Kommen nur traditionelle oder präventive Maßnahmen zum Einsatz, ist das Maturity-Level der IT-Security-Infrastruktur meist nicht ausreichend, um Angriffe und akute Bedrohungen zu erkennen, zu reagieren und damit fortlaufende Schädigungen jeglicher Art zu vermeiden: Systemausfälle kosten in der Regel viel Geld und müssen auf ein Minimum reduziert werden.

Mit Compromise Assessment Spuren von Angriffen finden

Traditionelle Maßnahmen können mit sinnvollen Features ergänzt werden: Compromise Assessment ist speziell darauf ausgelegt, Spuren von Angriffen zu finden, die sogenannten IOCs – Indicators of Compromise. Durch die Analyse und Bewertung dieser Indikatoren können zum einen kompromittierte Systeme erkannt werden und zum anderen die zugrunde liegenden Schwachstellen entdeckt und klare Handlungsempfehlungen zur Behebung der Schwachstellen abgeleitet werden. In Form einer Remediationsphase werden die Ursachen behoben und der gewünschte Soll-Zustand hergestellt, um aktuelle Angriffe zu beenden und künftige zu verhindern.

Compromise Assessment ist dabei keine präventive Disziplin in der IT-Security, sondern eine bewertende. Sie betrachtet nicht nur einen Teil, sondern die gesamte Infrastruktur und ermöglicht auch einen Blick in die Vergangenheit. Es handelt sich um eine ressourcenschonende und akkurate Methode um Angriffe, welche trotz präventiver Maßnahmen oftmals erfolgreich sind, schnell zu erkennen und etwaigen Schaden zu minimieren.

Es hat sich gezeigt, dass mit Compromise Assessment das Sicherheitslevel stark erhöht werden kann: Studien verschiedener Unternehmen und Institute belegen, dass es in der Regel zwei bis drei Monate dauert, bis ein Angriff überhaupt entdeckt wird. Somit hat ein Angreifer mehrere Monate Zeit, sein eigentliches Ziel zu erreichen. Der mögliche Schaden, der dabei entsteht, wird mit jedem Tag, an welchem der Angreifer unentdeckt bleibt, größer. Mit Compromise Assessment kann die Zeit zur Erkennung eines erfolgreichen Angriffs im besten Fall auf wenige Tage reduziert werden.

Mit forensischen Methoden den Angreifern auf der Spur

Compromise Assessment nutzt forensische Methoden und Tools, um Spuren von Angriffen zu finden: Es kommt in der Regel ein Agent auf dem Endsystem zum Einsatz, der einen Scan startet, überwacht und die Ergebnisse an ein zentrales System übermittelt. Auf dem Endsystem wird mit forensischer Gründlichkeit gezielt nach Angriffsspuren (IOCs – Indicators of Compromise) gesucht: Betrachtet werden zum Beispiel flüchtige und nicht-flüchtige Daten auf einem System, Konfigurationen, Anmeldungen, Nutzerinteraktionen oder Software, die installiert, ausgeführt oder heruntergeladen wurde. Die Indikatoren eines Angriffs beruhen dabei auf forensischen Artefakten, welche ein Angreifer zwangsläufig hinterlässt.

Allein in Windows gibt es rund 200 dieser Artefakte, Hinterlassenschaften von Angreifern wie Tools in typischen Verzeichnissen oder Konfigurationsschlüssel. Es kann sich auch um ungewöhnliche Netzwerkverbindungen zu verdächtigen Servern, IP-Adressen und Ports handeln oder um Logdateien, die während des Betriebes erzeugt werden, also Interaktionen, Anmeldungen und Prozessstarts. Sie alle werden für die Auswertung herangezogen.

Compromise Assessment erweitert IT-Security-Tools

Das Scannen nach Angriffsspuren (IOCs – Indicators of Compromise) und die Analyse können auch auf wiederkehrender Basis erfolgen. Dies hat den Vorteil, dass nicht nur eine Momentaufnahme entsteht, sondern fortlaufend nach neuen unbekannten Angriffsspuren gesucht wird und ein Angreifer im Idealfall innerhalb kurzer Zeit sehr zuverlässig entdeckt wird. Hierfür steht beispielweise der Service „Continuous Compromise Assessment“ von SecuInfra zur Verfügung. Hierbei wird ein initialer Scan inklusive Auswertung durchgeführt, um eine erste Einschätzung über die generelle Lage beim Kunden zu erhalten. Dies ist meist recht aufwendig, da gegebenenfalls Millionen forensischer Artefakte untersucht werden müssen.

Außerdem benötigen entsprechende Tools für die Untersuchung mehrere Tage. Im Anschluss daran finden regelmäßig weitere Scans und Auswertungen statt, bei welchen nur noch die Änderungen an den für einen Angreifer verräterischen Artefakten analysiert werden müssen. Dies ist bedeutend einfacher und geht somit auch bedeutend schneller. Compromise Assessment stellt ein wertvolles Instrument dar, das die Tools der IT-Security sinnvoll erweitern und ihr Maturity-Level erhöhen kann: Mit Compromise Assessment können die Spuren von Cyber Angriffen entdeckt und im Idealfall hoher Schaden verhindert werden. (sg)

Lesen Sie auch: Cyber-Bedrohungen: Wie Cyber-Angreifer die Corona-Pandemie ausnutzen

Secuinfra
Ramon Weil ist Gründer und Geschäftsführer der Secuinfra GmbH.

Über die Autoren: Christoph Lemke ist Security Consultant bei Secuinfra.
Ramon Weil ist Gründer und Geschäftsführer der Secuinfra.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Top Jobs

Data Visualization App/BI Developer (m/f/d)
Simon-Kucher & Partners, Germany/Bonn or Cologne
› weitere Top Jobs
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Cyber Defense: Wie Unternehmen Hackerangriffe erfolgreich abwehren

Cyber Defense

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.