:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/c2/4f/c24fa71856579436103293b63bbd631a/0112178358.jpeg "Die Kommunikationsschnittstelle MOVEit war kompromittiert. Die AOK hat deswegen die Verbindung vorläufig getrennt. Auch Verbraucherdaten waren möglicherweise offen zugänglich. (© Sven Krautwald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wenn der Angriff passiert ist Bedrohungserkennung nach einem Cyberangriff
Exploits und Angriffsmethoden werden ständig weiterentwickelt, zum Beispiel für E-Mails, Drive-by-Downloads und Sicherheitslücken in Anwendungen sowie BYOD-Geräte und Smartphones, die mit WLAN oder sozialen Netzwerken verbunden sind. Das bringt für die Netzwerksicherheit immer neue Herausforderungen mit sich, die ältere Abwehr-Strategien für Angriffe nicht mehr bewältigen können.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Annahme, dass Sicherheitsteams das Eindringen sämtlicher Angreifer in das Unternehmensnetzwerk verhindern können, ist einfach nicht mehr realistisch und zeitgemäß. Daher überarbeiten viele Unternehmen ihre Cybersicherheitsstrategien. Sie verlassen sich nicht mehr auf Abwehrmaßnahmen am Netzwerkrand, sondern konzentrieren sich vielmehr auf die Bedrohungserkennung und die Fehlerbehebung nach einem Angriff.
Dabei ist es wichtig, dass die Unternehmen nicht auf inzwischen veraltete Strategien vertrauen, sondern in neuere Technologien investieren, zum Beispiel automatisiertes maschinelles Lernen und Täuschungstechniken. Das Hauptproblem einiger Lösungen ist, dass die Sicherheitsteams alle Warnmeldungen manuell überprüfen müssen. Das ist jedoch häufig reine Zeitverschwendung, denn viele Abwehrsysteme generieren zahlreiche Fehlalarme.
:quality(80)/images.vogel.de/vogelonline/bdb/1383800/1383836/original.jpg "Kali Linux bietet zahlreiche Werkzeuge, mit denen sich Speichermedien und Daten forensisch untersuchen lassen. (Offensive Security)")
Kali Linux Workshop, Teil 4
IT-Forensik mit Kali Linux
Forensische Analysen erfolgreicher Cyberangriffe zeigen, dass die sogenannte Verweildauer, also die Zeitspanne zwischen den ersten Aktionen bei einem Angriff (Infektionen) und der Erkennung, viel zu lang ist und häufig sogar Monate beträgt. Bis ein Unternehmen feststellt, dass es Opfer eines Angriffs wurde, und die ersten Untersuchungen und Risikoanalysen abgeschlossen sind, hat der Hacker bereits zahlreiche wertvolle Ressourcen ausgeschleust. Ohne die automatische Analyse von Warnmeldungen droht zudem die sogenannte „Warnungsmüdigkeit“, das heißt, das Sicherheitsteam beginnt, verschiedene Warnmeldungen zu ignorieren, und riskiert damit, wirklich wichtige Warnungen zu verpassen. Der Diebstahl wertvoller Ressourcen oder der Ausfall der Systeme kann für Unternehmen äußerst kostspielig werden.
Die Vorteile der Automatisierung und Täuschungstechnologien
Es gibt inzwischen verschiedene Tools, mit denen Sicherheitsteams Probleme bei der Bedrohungserkennung nach einem Angriff vermeiden können. Dabei hilft insbesondere, wenn die Fehlalarme des Erkennungssystems aussortiert werden. Einige Systeme können Warnmeldungen automatisch analysieren und leiten dann nur diejenigen an die Sicherheitsexperten weiter, die sofort von einem Menschen überprüft werden müssen.
Moderne Erkennungssysteme können auch automatisch und unmittelbar alle wichtigen Informationen zu einem Angriff in einer einzigen Konsole zusammenfassen. Das erspart den Sicherheitsexperten das langwierige Durchsuchen aller Warnmeldungen, sodass sie sich auf die wichtigen Warnmeldungen konzentrieren und bei akuten Sicherheitsvorfällen schneller die erforderlichen Maßnahmen ergreifen können.
Eine weitere Methode zur Verbesserung der Bedrohungserkennung nach einem Angriff sind intelligente Täuschungstechniken. Richtig eingesetzt können Täuschungstechniken äußerst effizient sein – sowohl für die Bedrohungserkennung als auch für die proaktive Abwehr, da Cyberkriminelle bereits in der ersten Angriffsphase abgelenkt werden können. Mithilfe von Täuschungstechniken wie Ködern oder Honeypots können Cyberkriminelle dazu verleitet werden, ihre Deckung schneller aufzugeben. Sicherheitsteams können dann gezielt gegen sie vorgehen, bevor die Angreifer auf wertvolle Ressourcen zugreifen. Da die Angreifer viel schneller erkannt und gefasst werden können, wird die Verweildauer reduziert und die Unternehmen sparen nicht nur Zeit, sondern auch Geld.
Moderne Täuschungstechniken haben vor allem diese Ziele:
- 1. Erkennung von Angreifern im internen Netzwerk
- 2. Unterbindung und Verzögerung eines akuten Angriffs und Ablenkung der Angreifer
- 3. Überblick über die Aktivitäten, Ziele und Taktiken der Angreifer
Nachdem sie sich Zugriff verschafft haben, beginnen die Angreifer mit dem Ausspähen des Netzwerks. Sie suchen nach wertvollen Informationen und Hinweisen auf den Speicherort der gewünschten Daten. Dazu überprüfen sie Endpunkte, Netzwerke und verschiedene Geräte, um sich in der Umgebung auszubreiten. In dieser Phase greift die Täuschungstechnologie. Sie lockt Angreifer in bestimmte Bereiche, erkennt die Aktivitäten bereits sehr früh und kann so Schäden und den Zugriff auf wichtige Ressourcen verhindern.
Wenn Täuschungstechniken richtig eingesetzt werden, bieten sie die folgenden Vorteile:
- Keine Fehlalarme: Da keine Fehlalarme auftreten, verschwendet das Sicherheitsteam keine Zeit mit unnötigen Analysen. Bei einem Täuschungssystem ist jede Warnmeldung wichtig und muss sofort untersucht werden.
- Automatische Bedrohungserkennung und -abwehr: Da die Täuschungstechniken sehr präzise sind, können verschiedene Maßnahmen automatisiert werden. Das Sicherheitsteam kann so darauf vertrauen, dass legitime Aktivitäten der Nutzer im Unternehmen auch weiterhin möglich sind und nicht gestört werden. Mithilfe dieser Techniken lassen sich die Betriebskosten senken und die Effizienz des Sicherheitsteams steigern.
- Erkennung von Insider-Bedrohungen: Während kommerzielle ATD und IPS/IDS auf die Suche und Meldung von Malware ausgerichtet sind, erfassen Täuschungstechniken auch Insider-Bedrohungen. Mitarbeiter können die Täuschungssysteme nicht sehen. Löst also ein autorisierter Nutzer eine Warnmeldung auf entsprechenden Nodes, Ködern oder anderen präparierten Systemen aus, muss diese Aktion sofort untersucht werden.
Bereitstellung und Verwaltung automatischer Täuschungssysteme
Bei der Implementierung von Täuschungstechnologien sind bestimmte Faktoren zu beachten:
- Erstellung authentischer Täuschungselemente
- Abstimmung der Köder auf die Komponenten im Netzwerk, einschließlich Ressourcen und Anwendungen
- Einfache Konfiguration und automatische Bereitstellung. Die Köder müssen einfach zu konfigurieren und zu verwalten sein sowie an Änderungen der Umgebung angepasst werden können.
Die wichtigsten Fragen, die sich Unternehmen bei der Wahl eines effektiven Täuschungssystems stellen müssen, sind unten aufgelistet. Diese Punkte muss jedes Unternehmen berücksichtigen, das ein solches System implementieren und pflegen möchte. Nur eine integrierte Lösung für die automatische Bedrohungserkennung und -abwehr in Kombination mit einer Täuschungstechnologie bietet zuverlässige und effiziente Sicherheit.
- Wie sind die Netzwerke aufgebaut und welche Ressourcen, Betriebssysteme, Anwendungen und Daten sollten für die Täuschung verwendet werden?
- An welchen Stellen sollten die verschiedenen Täuschungstechniken eingesetzt werden?
- Wie lassen sich Änderungen an den Netzwerken und Ressourcen nachverfolgen, damit die Täuschungstechniken entsprechend angepasst werden können?
- Welche Infrastruktur wird für Täuschungstechnologien benötigt?
- Was können Täuschungstechnologien alles abdecken? Funktioniert die Täuschung auch erwartungsgemäß?
- Verfügt das Unternehmen über die erforderlichen Ressourcen und Kenntnisse, um Täuschungstechnologien zu implementieren und zu verwalten?
Diese Herausforderungen lassen sich nur meistern, wenn eine der diversen verfügbaren Täuschungstechnologien automatisch implementiert und verwaltet wird. Keine andere Methode kann diese Probleme lösen. Entscheidet sich ein Unternehmen für Täuschungstechniken, muss es seine Umgebung im Detail kennen und einen umfassenden Überblick darüber haben. In vielen Fällen fehlen dem Sicherheitsteam relevante Informationen. Das ist besonders dann problematisch, wenn die Umgebung häufig verändert wird.
Automatische Übersicht und Analyse der Umgebung
Zuerst werden die Netzwerke, Ressourcen, Anwendungen und anderen Komponenten der Umgebung automatisch identifiziert und analysiert. Diese Informationen müssen analysiert und die diversen Kriterien ermittelt werden, um die Täuschungstechniken für die jeweiligen Unternehmensressourcen festzulegen. Auf diese Weise können überzeugende Köder zur Ablenkung der Angreifer erstellt werden.
Automatische Erstellung von Ködern
Anschließend werden automatisch die Komponenten für die Täuschung erstellt, der richtige Ort im Netzwerk ausgewählt und die Köder mit möglichst geringem Aufwand im Netzwerk verteilt. So kann beispielsweise eine Appliance mehrere Köder in verschiedenen Subnetzen unterstützen, auf denen verschiedene Betriebssysteme und Anwendungen ausgeführt werden.
Da die Netzwerke und Ressourcen eines Unternehmens gelegentlich verändert werden, überprüft die Täuschungstechnologie fortlaufend die Bedingungen und passt ihre Techniken an die jeweiligen Änderungen an.
:quality(80)/images.vogel.de/vogelonline/bdb/1388600/1388628/original.jpg "The Sleuth Kit ist ein extrem nützliches Forensik-Tool. Mit dem Webfrontend Autopsy wird das Open-Source-Tool auch für Einsteiger nutzbar. (Daniel Berkmann - stock.adobe.com)")
Tool-Tipp: The Sleuth Kit und Autopsy
Forensische Analyse von Datenträgern
Automatische Bereitstellung
Dieser Bereitstellungsprozess bietet dem Sicherheitsteam umfassende Sicherheit und Transparenz und unterstützt zudem die Spurensuche und forensische Analysen. Administratoren können genau sehen, wie die Täuschungstechniken die Unternehmensressourcen schützen, das heißt, über welche Ressourcen das Unternehmen verfügt und wie gut diese von der Täuschungstechnologie abgedeckt werden. Das Sicherheitsteam muss feststellen können, ob die eingesetzten Täuschungstechniken für das Unternehmen geeignet sind und welche weiteren Maßnahmen erforderlich sind.
Die komplexen Angriffe der Cyberkriminellen lassen den Sicherheitsteams keine andere Möglichkeit, als Strategien für die Bedrohungserkennung nach einem Angriff zu implementieren. Dadurch wird zwar der Sicherheitsstatus der Unternehmen insgesamt verbessert, doch die Sicherheitsexperten müssen sich der Probleme bewusst sein, die diese Lösungen mit sich bringen. Wenn die Teams informiert sind und unterstützende Tools wie intelligente Täuschungstechnologien einsetzen, lassen sich diese Herausforderungen durchaus bewältigen. Die Unternehmen müssen daher sorgfältig abwägen, welche Strategie für die Bedrohungserkennung nach einem Angriff sie verfolgen sollten, und potenzielle Herausforderungen unmittelbar und effizient angehen.
Über den Autor: Roland Messmer ist Central Europe Director bei Fidelis Cybersecurity.
(ID:45713276)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934668/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937629/original.jpg "Wenn Cyberkriminelle ungepatchte Schwachstellen finden, können sie mit Ransomware den SAP-Systemen vieler Unternehmen empfindlichen Schaden zufügen. (yingyaipumi - stock.adobe.com)")