Bedrohungsanalyse

So wird man zum Sherlock Holmes der IT-Security

| Autor / Redakteur: Egon Kando / Peter Schmitz

False Negatives, Fehlalarme und Phantom-Mitarbeiter: So können Security-Teams die wirklich kniffligen Bedrohungsfälle lösen.
False Negatives, Fehlalarme und Phantom-Mitarbeiter: So können Security-Teams die wirklich kniffligen Bedrohungsfälle lösen. (Bild: Pixabay / CC0)

Security-Teams benötigen oft den Instinkt und die Intuition eines Sherlock Holmes, um Angriffe auf ihr Unternehmen zu entlarven. Während sich Holmes jedoch selten auf mehr als einen Fall gleichzeitig konzentrieren musste, sind heutige IT-Experten täglich mit tausenden Bedrohungsfällen konfrontiert und müssen herausfinden, ob es sich um eine echten Sicherheitsverstoß, eine Reihe von Zufällen oder einen Fehlalarm handelt.

Neben viel Erfahrung und einem geübten Auge, benötigen Security-Teams die entsprechende Technologie, um die wirklichen Bedrohungen inmitten des Dickichts an Vorfällen zu erkennen. Im Folgenden drei schwierige Cybersecurity-Fälle, für dessen Lösung auch ein Sherlock Holmes der IT-Sicherheit sich gern auf eine moderne Sicherheitslösung gestützt hätte.

1. Der Fall vom Schaf im Wolfspelz: False Positives

Das Sicherheitssystem, das das Nutzerverhalten im Unternehmen überwacht, schlägt Alarm: Ein unbekannter Nutzer versucht fünfzig Mal pro Minute auf einen bestimmen Server zuzugreifen – ein Verhalten, das nicht charakteristisch ist und somit untersucht werden muss. Die Sicherheitsanalysten des Unternehmens vermuten, dass eine Form von Malwareangriff im Gange sein muss. Bei einer näheren Betrachtung stellt sich jedoch heraus, dass der Systemadministrator ein neues Softwareverteilungs-Skript testete. Ein Angriffsszenario stellt sich ähnlich dar und daher ist der Alarm erstmal legitim, auch wenn sich die Aktivität später als ungefährlich herausstellt.

2. Der Fall des gesichtslosen Phishers: False Negatives

Viele Mitarbeiter einer Organisation erhalten Phishing-E-Mails, die sie dazu auffordern, ihre Zugangsdaten in eine gefälschte Outlook-Web-Access-Seite einzugeben. Sobald Sie dies tun, erlangen die Hacker Zugriff auf die echten E-Mail-Konten der Mitarbeiter. Damit ausgestattet können die Hacker massenhaft Spearphishing-E-Mails an hinterlegte Kontakte außerhalb des Unternehmens versenden. Die Empfänger schöpfen keinen Verdacht, da es sich um eine vertraute E-Mail-Adresse handelt und werden schnell zum Opfer. Das veraltete SIEM System des Unternehmens konnte diese Art von Angriff nicht aufdecken. Nur eine detaillierte und aufwendige Analyse konnte den gesichtslosen Phisher bloßstellen.

3. Der Fall des Phantom-Mitarbeiters: Der gefährliche Insider

Ein Angestellter der Personalabteilung greift auf Dateien zu, die personenbezogene Informationen der Mitarbeiter enthalten. Soweit nichts Ungewöhnliches. Am gleichen Tag greift zudem ein Datenbankadministrator auf die Gehaltsabrechnungsdatenbank mit sensiblen Mitarbeiterinformationen wie Geburtsdaten, Adressen und Kontodaten zu. Beide Zugriffe scheinen nicht miteinander in Verbindung zu stehen und auch die IT-Security schlägt nicht Alarm. Tiefergehende Untersuchungen ergeben jedoch, daß der DBA-Account vom Computer des Personalers genutzt wurde. Detaillierte Analytik zeigt auf, dass dieser Mitarbeiter auch noch nie zuvor den Datenbank-Account benutzt hatte. Auch hatte das noch nie zuvor ein Kollege aus dem Personalwesen getan. Die Sichtweise auf diese vermeintlich normale Aktivität änderte sich rasant und es stellte sich heraus, dass der Personaler Opfer eines Identitätsdiebstahls geworden war. Seine Login-Daten wurden mittels einer Malware gestohlen, und während er sich im Urlaub befand, konnte der Angreifer auf sensitive Daten zugreifen indem er die Identität des Personalers vortäuschte.

Security Information and Event Management (SIEM): Dr. Watson für Cybersecurity-Detektive

Wenn Unternehmen beginnen komplexe Angriffe zu verstehen, rechtfertigen sich Securityteams oft mit Aussagen wie: „das kann bei uns nicht passieren, weil wir 2-Faktor-Authentisierung nutzen“, „das könnte bei uns nicht passieren, weil wir unsere Daten verschlüsseln“, oder „ der DBA darf das tun und hatte bestimmt einen guten Grund“. Nun, wie Scherlock Holmes schon sagte: Wenn man das Unmögliche ausschließt, bleibt immer noch das Unwahrscheinliche!

Sherlock Holmes konnte sich bei der Lösung schwieriger Fälle auf seinen Assistenten Dr. Watson stützen. Neue Sicherheitslösung helfen Security-Experten dabei, ein komplettes Bild des Nutzer- und Entitätsverhaltens in einem Unternehmen zu erhalten und somit auch knifflige Bedrohungen schnell zu enttarnen. Technologien wie moderne KI-basierte SIEM-Lösungen (Security Information and Event Management) können in allen oben genannten Fällen IT-Teams bei der Analyse unterstützen, indem sie Fehlalarme vermeiden und bei Sicherheitsverstößen bereits im Vorfeld Alarm schlagen. Moderne SIEM-Tools arbeiten mit Automatisierung und Maschinellem Lernen um im Zeitalter von Big Data die richtigen Informationen mit dem relevanten Kontext anzureichern und somit das gesamte Bild intuitiv zu präsentieren. Die Arbeit der Security Teams wird in eine andere, schnellere Dimension versetzt, sodass sich ein gut überlegtes Investment schnell auszahlt.

Über den Autor: Egon Kando ist Regional Sales Director DACH bei Exabeam.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45628434 / Monitoring und KI)