Verhaltensmuster analysieren

Wenn der Angreifer bereits im Netzwerk ist

| Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Wer das Verhalten der Anwender-Accounts durchleuchtet, kann Angreifer im Netzwerk leichter identifizieren.
Wer das Verhalten der Anwender-Accounts durchleuchtet, kann Angreifer im Netzwerk leichter identifizieren. (Bild: Archiv)

Bei Attacken auf die Netzwerke großer Unternehmen bewegen sich die Angreifer gerne einige Zeit im Netz, bevor sie wirklich zuschlagen. Die Verhaltensanalyse kann dabei helfen, potenzielle Eindringlinge zu identifizieren. Denn oft greifen die Kriminellen über ein kompromittiertes Benutzerkonto auf wichtige Daten zu.

Martin Kuppinger: „IT-Sicherheit muss heute auch auf die Veränderung der Verhaltensmuster von Benutzern reagieren.“
Martin Kuppinger: „IT-Sicherheit muss heute auch auf die Veränderung der Verhaltensmuster von Benutzern reagieren.“ (Bild: KuppingerCole)

Der bekannt geworden Angriff auf Sony Pictures ist nur eine Meldung in einer langen Reihe von Berichten über schwere „Cyber-Attacken“, also Angriffe über das Internet auf die IT-Systeme von Unternehmen. Den Angreifern gelang es mutmaßlich, über 100 Terabyte (TB) an Daten zu stehlen. Wie viel Datenmaterial es wirklich war, bleibt noch abzuwarten.

Nachweislich scheinen aber Gehaltsinformationen und diverse andere personenbezogene Daten aus den HR-Systemen in die Hände der Angreifer gelangt zu sein. Sony Pictures hat aber beispielsweise selbst seine Kassensysteme in der Cafeteria und die E-Mail-Systeme außer Betrieb genommen, weil befürchtet wird, dass auch diese von der Netzwerk-Attacke betroffen sind.

Ein Angriff in einer solchen Größenordnung erfolgt nicht zufällig. Und er dauert nicht nur ein paar Sekunden oder Minuten. Das Beispiel Sony Pictures zeigt einerseits, dass die Angreifer längst professionell arbeiten und gezielt Unternehmen und andere Organisationen anvisieren – mit welcher Motivation auch immer.

Das Beispiel zeigt andererseits aber auch, dass immer mehr Angriffe lange dauern und tief in die IT-Infrastruktur von Unternehmen vordringen. Die Angreifer nisten sich regelrecht im Netzwerk ein und arbeiten sich von dort aus schrittweise vor, um immer mehr Systeme zu übernehmen. Das zeigt aber auch, dass unsere Schutzmechanismen oft nicht mehr ausreichen.

Ist das Netz erst kompromittiert, …

Gelingt es den Angreifern, einen regulär erscheinenden Kommunikationskanal über die Firewall aufzubauen, bemerkt letztere das überhaupt nicht. Wurde beispielsweise Malware über infizierte E-Mail-Anhänge auf einzelnen Rechnern im Unternehmen platziert, dann kann diese Malware aus dem Netzwerk heraus die Server der Angreifer kontaktieren. Die Firewall wird diese von innen initiierte Kommunikation anders bewerten als den systematischen Versuch, von außen ungesicherte Ports zu identifizieren und zu nutzen.

Haben es die Angreifer erst einmal geschafft, einen Account zu übernehmen und in dessen Kontext zu agieren, dann wird es problematisch. Unter Umständen führen sie mit dem Benutzerkonto nur Aktivitäten durch, die dem Benutzer gestattet sind. Es muss also nicht einmal zu Fehlern kommen, weil der Zugriff verweigert wird – insbesondere wenn die Angreifer ein hoch privilegiertes Konto übernommen haben.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43168139 / Zugangs- und Zutrittskontrolle)