Intel Security-Bericht: „When Minutes Count“

Ein neuer Report von McAfee, ein Geschäftsbereich von Intel Security, „When Minutes Count“, untersucht die Fähigkeiten von Unternehmen zur gezielten Angriffserkennung und -abwehr. Er enthüllt die acht wichtigsten Angriffsindikatoren und präsentiert Best Practices für den aktiven Umgang mit sicherheitsrelevanten Vorfällen. Dem Report zufolge sind Unternehmen deutlich effektiver, wenn sie subtile Angriffsaktivitäten in Echtzeit multi-variabel analysieren. Außerdem zeigt der Bericht auf, wie wichtig der Faktor Zeit sowie das Wissen über aktuelle Bedrohungen sind für die Risikoeinschätzung und die Priorisierung von Reaktionen.

In Verbindung mit dem Report „When Minutes Count“ hat Intel Security eine Studie bei Evalueserve in Auftrag gegeben. Deren Ergebnisse deuten darauf hin, dass ein Großteil der Unternehmen nicht auf seine eigenen Fähigkeiten vertraut, gezielte Angriffe frühzeitig zu erkennen. Selbst Unternehmen, die bestens gegen gezielte Angriffe gewappnet sind, verwenden viel Zeit, um große Mengen an Ereignissen zu untersuchen. Das führt zu einem Gefühl der Dringlichkeit und einem Fokus der Organisation auf kreative Ansätze zur Früherkennung und effektiven Schadensminimierung.

Die Studienergebnisse auf einen Blick

Insgesamt wurden 473 Unternehmen in Deutschland, UK, Frankreich und Australien befragt, davon 79 in Deutschland. Die wichtigsten Ergebnisse für Deutschland:

59 Prozent der befragten deutschen Unternehmen gaben an, dass gezielte Angriffe ein zentrales Thema für sie sind – 15 Prozent weniger als der weltweite Durchschnitt der Umfrage.
Ebenfalls 59 Prozent der deutschen Unternehmen untersuchten zehn oder mehr Angriffe im vergangenen Jahr.
Nur 38 Prozent der Unternehmen sind zuversichtlich, mit ihren Fähigkeiten einen Angriff innerhalb von Minuten erkennen zu können.
Über die Hälfte (59 Prozent) sagt, dass es Tage, Wochen oder sogar Monate dauert, bis sie verdächtiges Verhalten bemerkt.
57 Prozent der Befragten in Deutschland, die in der Lage sind, Angriffe innerhalb von Minuten zu erkennen, setzen ein proaktives Echtzeit-SIEM-System (Security Information und Event Management) ein. Zum Vergleich: In Frankreich sind es 95 Prozent und in UK 71 Prozent, die ein SIEM-System im Einsatz haben.
Nur 30 Prozent der befragten deutschen Unternehmen gaben an, dass sie über angemessene Instrumente und Technologien verfügen, um schnell auf Vorfälle reagieren zu können. Das sind 20 Prozent weniger als im weltweiten Durchschnitt. Entscheidende Angriffsindikatoren in Unternehmen mit SIEM im Einsatz werden selten isoliert von der Masse der Meldungen betrachtet, weshalb IT-Teams mit großem Aufwand sämtliche Bedrohungsmeldungen sichten müssten.

„Unternehmen können nur dann die Oberhand gegen die Angreifer gewinnen, wenn sie die Zeit zwischen Angriff und Entdeckung drastisch verkürzen“, sagt Hans-Peter Bauer, Vice President Central Europe bei Intel Security. „Wenn sie die riesige Flut von Warnungen und Hinweisen mit Hilfe von Echtzeit-Intelligenz und -Analyse vereinfachen, erhalten sie schnell ein besseres Verständnis der relevanten Ereignisse, können Maßnahmen ergreifen und so Angriffe schneller eingrenzen und abwehren.“

When Minutes Count-Report: Acht Indikatoren für einen Angriff

Der Report von Intel Security zeigt die Top acht Indikatoren für einen Angriff, die Unternehmen im Blick behalten müssen, um gezielte Angriffe entdecken und abzuwehren zu können. Davon beziehen sich fünf auf Events im Zeitverlauf, was die Bedeutung der kontextbezogenen Korrelation zeigt:

Interne Hosts kommunizieren mit bekannten bösartigen Zieladressen oder mit Zielen in anderen Ländern, in denen die Organisation keine Geschäfte betreibt.
Interne Hosts kommunizieren mit externen Hosts über Nicht-Standard-Ports oder Protokoll/Port-Fehlanpassungen, beispielsweise senden sie Command Shells (SSH) anstatt HTTP-Verkehr über Port 80, dem Standard-Web-Port.
Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts. „Huckepack“ können Hacker so in das Unternehmen gelangen und Daten herausschleusen oder Zugriff auf Vermögenswerte erhalten. Das hebt den Wert der DMZ auf.
Warnungen zur Malware-Erkennung außerhalb der Geschäftszeiten (in der Nacht oder am Wochenende) können auf einen gefährdeten Host hindeuten.
Netzwerk-Scans von internen Hosts, die mit mehreren Hosts in einem kurzen Zeitraum kommunizieren, könnten auf einen Angreifer hindeuten, der sich quer durchs Netzwerk bewegt. Die Netzwerkabwehr, wie Firewall und IPS, ist selten so konfiguriert, dass sie Verkehr im internen Netzwerk überwacht – könnte es aber.
Mehrere Alarmereignisse von einem einzelnen Host oder duplizierte Ereignisse auf mehreren Maschinen im gleichen Subnet über einen Zeitraum von 24 Stunden, zum Beispiel wiederholte Authentifizierungsfehler.
Nach der Reinigung wird ein System innerhalb von fünf Minuten erneut von Malware befallen – wiederholte Infektionen deuten auf ein Rootkit oder eine anhaltende Gefährdung hin.
Ein Benutzerkonto versucht sich innerhalb von wenigen Minuten in mehrere Ressourcen in verschiedenen Regionen oder aus verschiedenen Regionen heraus einzuloggen. Das kann ein Zeichen dafür sein, dass die Anmeldeinformationen des Benutzers gestohlen wurden oder dass ein Benutzer etwas im Schilde führt.

„Uns ist eine Workstation aufgefallen, die eigenartige Authentifizierungsanfragen um zwei Uhr nachts an den Domain Controller geschickt hat. Das könnte eine normale Aktivität sein – es könnte aber auch ein Zeichen für einen bösartigen Angriff sein“, so Lance Wright, Senior Manager für Informationssicherheit und Compliance bei Volusion, einem Commerce Solution Provider, der an der Studie teilgenommen hat. „Nach diesem Vorfall haben wir die Regel eingeführt, dass wir informiert werden, wenn eine Workstation mehr als fünf Authentifizierungsanfragen außerhalb der Geschäftszeiten erhält. Dies hilft uns, den Angriff frühzeitig zu identifizieren, bevor irgendwelche Daten gefährdet sind.“

Intelligente SIEM-Technologien in Echtzeit minimieren die Zeit bis zur Entdeckung und verhindern so aktiv Datenlecks. Das geschieht durch Kontextualisierung von Indikatoren während der Analyse sowie automatisierte Policy-gesteuerte Reaktionen. Organisationen können ihre Erkennungsfähigkeit beschleunigen, schneller reagieren und aus vergangenen Ereignissen lernen. So werden sie vom Gejagten zum Jäger.