Wie Alert Triage bei einem Ransomware-Angriff helfen kann Tipps zum Aufsetzen eines Alert Triage-Prozesses

Von Markus Auer

Mittlerweile vergeht keine Woche, in der nicht irgendein deutsches Unternehmen Opfer einer Infektion wurde und erpresst wird. Die dringlichste Frage für Firmen rund um den Globus sollte also sein, wie sich Ransomware-Attacken erkennen lassen.

Firmen zum Thema

Security Analysten werden oft von der Anzahl der Alarme regelrecht überflutet. Viele davon werden durch ungenaue SIEM-Regeln und eine Standard-Verteidigungsinfrastruktur erzeugt.
Security Analysten werden oft von der Anzahl der Alarme regelrecht überflutet. Viele davon werden durch ungenaue SIEM-Regeln und eine Standard-Verteidigungsinfrastruktur erzeugt.
(© zephyr_p - stock.adobe.com)

Ransomware-Infektionen greifen um sich, im Sommer hat der Bitkom eine Befragung seiner Mitglieder veröffentlicht und festgestellt, dass 9 von 10 deutschen Unternehmen bereits Opfer von Erpressung, Datendiebstahl oder Ausfällen der IT-Systeme wurden. Nach Einschätzung des Kaseya-CEO sind allein durch den Supply-Chain-Angriff auf den Hersteller weltweit mehr als 1.500 Unternehmen von Ransomware betroffen, die über die kompromittierte Software angegriffen wurden.

Längst vergeht kaum ein Tag, an dem nicht irgendein deutsches Unternehmen Opfer einer Ransomware-Attacke wurde und erpresst wird. Die dringlichste Frage sollte also sein: Wie lassen sich Ransomware-Attacken erkennen? Eine Möglichkeit besteht in der Detektion der gefährlichen Phishing-E-Mails durch entsprechende Software. Allerdings wirken viele dieser bösartigen Mails inzwischen derart authentisch, dass sie von echten E-Mails kaum noch zu unterscheiden sind. Das erhört die Gefahr von fehlgeleiteten Klicks und außerdem ist die Phishing-Mail nur einer von mehreren Infektionswegen für die Cybererpresser und ihre Schadsoftware. Es gibt noch viele weitere Möglichkeiten, Phishing ist lediglich die Einfachste.

Unternehmen weltweit bleibt daher nichts weiter übrig, als sich zu wappnen, und zwar nicht nur gegen aktuelle Angriffswege, sondern auch jene, an die sie aktuell noch nicht denken. Nicht zuletzt aus diesem Grund sollten sie in entsprechende Erkennungstechnologien und -Prozesse investieren. Ein Weg, den Security Analysten, so es sie denn in den Unternehmen gibt, gehen, ist ein SIEM (Security Information and Event Management), zu implementieren. Im besten Fall nutzen sie auch SOAR, XDR und andere Technologien. Was neben dem Einsatz dieser Sicherheitsmechaniken vielleicht noch wichtiger ist, sind die Prozesse. Prozesse wie das Filtern einer Vielzahl von Alarmen über Vorgänge im Firmennetzwerk. Ein solcher Prozess ist die „Alert Triage“. Der Begriff beschreibt einen Prozess, bei dem Alarme effizient und genau durchlaufen und untersucht werden, um die Schwere der Bedrohung zu bestimmen und festzustellen, ob der Alarm zur Reaktion auf den Vorfall eskaliert werden sollte oder nicht.

Zu viele Bäume im Wald

Security Analysten werden von der Anzahl der Alarme regelrecht überflutet, die manuelle Aufmerksamkeit erfordern und die durch ungenaue SIEM-Regeln und eine Standard-Verteidigungsinfrastruktur erzeugt werden. In dem Versuch, die Menge von Sicherheitswarnungen zu reduzieren, mit denen sie sich täglich auseinandersetzen müssen, senden Analysten Threat Intelligence Feeds aus externen Quellen direkt an SIEM-Tools – aber die Herausforderungen bleiben aus zwei Hauptgründen weiterhin bestehen. Erstens ist die Menge der Daten aus externen Quellen unüberschaubar. Wenn all diese Daten zur Korrelation direkt an das SIEM gesendet werden, führt dies zu einer großen Menge von kontextunabhängigen Alarmen, die jeweils erhebliche Nachforschung und Analyse von einem Analytiker erfordern. Zweitens mangelt es in den derzeitigen Tools an Hilfen zur Entscheidungsfindung, um zusätzlichen Kontext zur Bestimmung der Relevanz bereitzustellen, bevor Threat Intelligence Feeds an das SIEM gesendet werden. Eine Priorisierung ist unerlässlich, um sich nur auf die wesentlichen Alarme zu konzentrieren und die geeigneten nächsten Maßnahmen zu bestimmen.

Drei Tipps für das Aufsetzen des Alert Triage-Prozesses

Nach einer Studie von ESG sind Analysten von der Menge der Sicherheitswarnungen so überwältigt, dass 42 Prozent der Befragten angeben, dass ihr Unternehmen eine beträchtliche Anzahl ignoriert. Mehr als 30 Prozent sagen, dass sie sogar mehr als die Hälfte ignorieren. Um dieses Rauschen zu reduzieren, versuchen Analysten externe Bedrohungsdaten und Informationen mit Protokollen und Ereignissen aus internen Quellen wie dem SIEM-System dem Log-Management Repository, Ticketing- und Case Management-Systemen für Untersuchungen und andere Aktivitäten manuell zu korrelieren. Dieser manuelle Ansatz für die Alarmtriage erfordert jedoch einen erheblichen Arbeitsaufwand für die Analysten und kann zu mehr Rauschen in Form von False Positives führen. Die folgenden drei Tipps helfen beim Implementieren der Alert Triage:

Tipp 1: Prioritäten setzen

Viele Anbieter von Bedrohungsdaten veröffentlichen globale Risikobewertungen, die auf ihren eigenen Untersuchungen, ihrer Sichtbarkeit und ihren eigenen Methoden beruhen. Doch was für ein Unternehmen relevant ist, ist möglicherweise nicht für ein anderes erforderlich. Um die Einstufung von Warnungen zu verbessern, müssen die Security Analysten in der Lage sein, Prioritäten auf der Grundlage der Relevanz für ihre jeweilige Umgebung zu setzen. Mit einer benutzerdefinierten Risikoeinstufung lassen sich Warnmeldungen auf der Grundlage der eigenen Einstufungsparameter nach Priorität ordnen.

Tipp 2: Kollaboration

Bei der Bearbeitung von Warnmeldungen, die sich in der Grauzone der Wichtigkeit bewegen und solchen, die hohe Priorität haben, benötigen Security Analysten Zugang zu zusätzlichen Tools und Sicherheitspersonal, damit sie schneller die richtigen Maßnahmen ergreifen können. Verschiedene Technologien ermöglichen die Visualisierung und Zusammenarbeit, so dass tiefergehende Analysen durchgeführt werden können, die Einstufung von Warnmeldungen vereinfacht und bei Bedarf mit anderen Teams zusammengearbeitet wird, um die Untersuchungen zu beschleunigen.

Tipp 3: Lernen

Wenn ein falsch positiver Alarm durchrutscht, brauchen Security Analysten eine kontinuierliche Feedbackschleife, damit sie daraus lernen und die Qualität der Warnmeldungen im Laufe der Zeit verbessern können. Wenn neue Daten eingehen und Erkenntnisse weitergegeben werden, setzen selbstoptimierende Bedrohungsbibliotheken automatisch neue Prioritäten, um Fehlalarme in der Zukunft zu reduzieren und die Alert Triage zu verbessern.

Security Analysten sollten nutzlose Alarme stoppen, bevor sie entstehen, indem sie nur die Bedrohungsdaten, die für das Unternehmen relevant sind, zur Korrelation in das SIEM einspeisen. Die Maschine-zu-Maschine-Kommunikation ermöglicht es dem SOC-Analysten, mit dem von ihm gewählten Tool zu arbeiten und dennoch Einfluss auf die kontinuierliche Optimierung der Unternehmensdaten zu nehmen. Für graue Alarme und Alarme mit in der Wichtigkeit mittlerer, aber nicht höherer oder sehr hoher Priorität, vereinfachen sie die Triage mit Tools, die Visualisierung und Zusammenarbeit ermöglichen. Bei Warnmeldungen mit hoher Priorität sollte die Möglichkeit bestehen, diese in eine Untersuchung zu importieren, um visuelle Assoziationen und ein besseres Verständnis zu ermöglichen, Analysen durchzuführen und bei Bedarf mit verschiedenen Mitarbeitern zusammenzuarbeiten.

Fazit

Security Analysten sollten die Möglichkeit erhalten, hochrelevante Alarme in ein SIEM zu importieren. Die meisten SIEMs erlauben drei bis fünf zusätzliche Kontextinformationen zu einem Indicator of Compromise (IoC). Durch die Einbeziehung von Bedrohungsbewertung, IoC-Quellen, bestehenden Ticket-Nummern und dem Ergebnis, Attribution des Gegners usw. kann ein Analyst sehr schnelle und genaue Triage-Entscheidungen treffen. Security Analysten können dann aus Fehlalarmen lernen und diese automatisch reduzieren sowie die Qualität der Alarmmeldungen verbessern. Wenn ein Fehlalarm auftritt, kann er durch einfaches Feedback das Bedrohungs-Repository automatisch angepasst werden. Die Alert Triage verbessert die Möglichkeit, genauere SIEM-Regeln auf der Grundlage von Bedrohungsdaten zu erstellen und direkt die Qualität künftiger Warnmeldungen zu erhöhen und die Security Analysten letztlich zu entlasten.

Wenn Unternehmen sich vor Ransomware aber auch anderen bislang unbekannten Bedrohungen schützen wollen, müssen Security Analysten ihre Erkennungsstrategien verbessern. Ein Weg dorthin kann über den Prozess der Alert Triage erfolgen. Wichtig ist hier den Prozess klar aufzusetzen und mit entsprechenden Technologien wie z.B. einer Threat Intelligence-Plattform zu unterstützen.

Über den Autor: Markus Auer ist Regional Sales Manager Central Europe bei ThreatQuotient.

(ID:47812784)