:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wie Alert Triage bei einem Ransomware-Angriff helfen kann Tipps zum Aufsetzen eines Alert Triage-Prozesses
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Mittlerweile vergeht keine Woche, in der nicht irgendein deutsches Unternehmen Opfer einer Infektion wurde und erpresst wird. Die dringlichste Frage für Firmen rund um den Globus sollte also sein, wie sich Ransomware-Attacken erkennen lassen.
Ransomware-Infektionen greifen um sich, im Sommer hat der Bitkom eine Befragung seiner Mitglieder veröffentlicht und festgestellt, dass 9 von 10 deutschen Unternehmen bereits Opfer von Erpressung, Datendiebstahl oder Ausfällen der IT-Systeme wurden. Nach Einschätzung des Kaseya-CEO sind allein durch den Supply-Chain-Angriff auf den Hersteller weltweit mehr als 1.500 Unternehmen von Ransomware betroffen, die über die kompromittierte Software angegriffen wurden.
Längst vergeht kaum ein Tag, an dem nicht irgendein deutsches Unternehmen Opfer einer Ransomware-Attacke wurde und erpresst wird. Die dringlichste Frage sollte also sein: Wie lassen sich Ransomware-Attacken erkennen? Eine Möglichkeit besteht in der Detektion der gefährlichen Phishing-E-Mails durch entsprechende Software. Allerdings wirken viele dieser bösartigen Mails inzwischen derart authentisch, dass sie von echten E-Mails kaum noch zu unterscheiden sind. Das erhört die Gefahr von fehlgeleiteten Klicks und außerdem ist die Phishing-Mail nur einer von mehreren Infektionswegen für die Cybererpresser und ihre Schadsoftware. Es gibt noch viele weitere Möglichkeiten, Phishing ist lediglich die Einfachste.
Unternehmen weltweit bleibt daher nichts weiter übrig, als sich zu wappnen, und zwar nicht nur gegen aktuelle Angriffswege, sondern auch jene, an die sie aktuell noch nicht denken. Nicht zuletzt aus diesem Grund sollten sie in entsprechende Erkennungstechnologien und -Prozesse investieren. Ein Weg, den Security Analysten, so es sie denn in den Unternehmen gibt, gehen, ist ein SIEM (Security Information and Event Management), zu implementieren. Im besten Fall nutzen sie auch SOAR, XDR und andere Technologien. Was neben dem Einsatz dieser Sicherheitsmechaniken vielleicht noch wichtiger ist, sind die Prozesse. Prozesse wie das Filtern einer Vielzahl von Alarmen über Vorgänge im Firmennetzwerk. Ein solcher Prozess ist die „Alert Triage“. Der Begriff beschreibt einen Prozess, bei dem Alarme effizient und genau durchlaufen und untersucht werden, um die Schwere der Bedrohung zu bestimmen und festzustellen, ob der Alarm zur Reaktion auf den Vorfall eskaliert werden sollte oder nicht.
Zu viele Bäume im Wald
Security Analysten werden von der Anzahl der Alarme regelrecht überflutet, die manuelle Aufmerksamkeit erfordern und die durch ungenaue SIEM-Regeln und eine Standard-Verteidigungsinfrastruktur erzeugt werden. In dem Versuch, die Menge von Sicherheitswarnungen zu reduzieren, mit denen sie sich täglich auseinandersetzen müssen, senden Analysten Threat Intelligence Feeds aus externen Quellen direkt an SIEM-Tools – aber die Herausforderungen bleiben aus zwei Hauptgründen weiterhin bestehen. Erstens ist die Menge der Daten aus externen Quellen unüberschaubar. Wenn all diese Daten zur Korrelation direkt an das SIEM gesendet werden, führt dies zu einer großen Menge von kontextunabhängigen Alarmen, die jeweils erhebliche Nachforschung und Analyse von einem Analytiker erfordern. Zweitens mangelt es in den derzeitigen Tools an Hilfen zur Entscheidungsfindung, um zusätzlichen Kontext zur Bestimmung der Relevanz bereitzustellen, bevor Threat Intelligence Feeds an das SIEM gesendet werden. Eine Priorisierung ist unerlässlich, um sich nur auf die wesentlichen Alarme zu konzentrieren und die geeigneten nächsten Maßnahmen zu bestimmen.
Drei Tipps für das Aufsetzen des Alert Triage-Prozesses
Nach einer Studie von ESG sind Analysten von der Menge der Sicherheitswarnungen so überwältigt, dass 42 Prozent der Befragten angeben, dass ihr Unternehmen eine beträchtliche Anzahl ignoriert. Mehr als 30 Prozent sagen, dass sie sogar mehr als die Hälfte ignorieren. Um dieses Rauschen zu reduzieren, versuchen Analysten externe Bedrohungsdaten und Informationen mit Protokollen und Ereignissen aus internen Quellen wie dem SIEM-System dem Log-Management Repository, Ticketing- und Case Management-Systemen für Untersuchungen und andere Aktivitäten manuell zu korrelieren. Dieser manuelle Ansatz für die Alarmtriage erfordert jedoch einen erheblichen Arbeitsaufwand für die Analysten und kann zu mehr Rauschen in Form von False Positives führen. Die folgenden drei Tipps helfen beim Implementieren der Alert Triage:
Tipp 1: Prioritäten setzen
Viele Anbieter von Bedrohungsdaten veröffentlichen globale Risikobewertungen, die auf ihren eigenen Untersuchungen, ihrer Sichtbarkeit und ihren eigenen Methoden beruhen. Doch was für ein Unternehmen relevant ist, ist möglicherweise nicht für ein anderes erforderlich. Um die Einstufung von Warnungen zu verbessern, müssen die Security Analysten in der Lage sein, Prioritäten auf der Grundlage der Relevanz für ihre jeweilige Umgebung zu setzen. Mit einer benutzerdefinierten Risikoeinstufung lassen sich Warnmeldungen auf der Grundlage der eigenen Einstufungsparameter nach Priorität ordnen.
Tipp 2: Kollaboration
Bei der Bearbeitung von Warnmeldungen, die sich in der Grauzone der Wichtigkeit bewegen und solchen, die hohe Priorität haben, benötigen Security Analysten Zugang zu zusätzlichen Tools und Sicherheitspersonal, damit sie schneller die richtigen Maßnahmen ergreifen können. Verschiedene Technologien ermöglichen die Visualisierung und Zusammenarbeit, so dass tiefergehende Analysen durchgeführt werden können, die Einstufung von Warnmeldungen vereinfacht und bei Bedarf mit anderen Teams zusammengearbeitet wird, um die Untersuchungen zu beschleunigen.
Tipp 3: Lernen
Wenn ein falsch positiver Alarm durchrutscht, brauchen Security Analysten eine kontinuierliche Feedbackschleife, damit sie daraus lernen und die Qualität der Warnmeldungen im Laufe der Zeit verbessern können. Wenn neue Daten eingehen und Erkenntnisse weitergegeben werden, setzen selbstoptimierende Bedrohungsbibliotheken automatisch neue Prioritäten, um Fehlalarme in der Zukunft zu reduzieren und die Alert Triage zu verbessern.
Security Analysten sollten nutzlose Alarme stoppen, bevor sie entstehen, indem sie nur die Bedrohungsdaten, die für das Unternehmen relevant sind, zur Korrelation in das SIEM einspeisen. Die Maschine-zu-Maschine-Kommunikation ermöglicht es dem SOC-Analysten, mit dem von ihm gewählten Tool zu arbeiten und dennoch Einfluss auf die kontinuierliche Optimierung der Unternehmensdaten zu nehmen. Für graue Alarme und Alarme mit in der Wichtigkeit mittlerer, aber nicht höherer oder sehr hoher Priorität, vereinfachen sie die Triage mit Tools, die Visualisierung und Zusammenarbeit ermöglichen. Bei Warnmeldungen mit hoher Priorität sollte die Möglichkeit bestehen, diese in eine Untersuchung zu importieren, um visuelle Assoziationen und ein besseres Verständnis zu ermöglichen, Analysen durchzuführen und bei Bedarf mit verschiedenen Mitarbeitern zusammenzuarbeiten.
Fazit
Security Analysten sollten die Möglichkeit erhalten, hochrelevante Alarme in ein SIEM zu importieren. Die meisten SIEMs erlauben drei bis fünf zusätzliche Kontextinformationen zu einem Indicator of Compromise (IoC). Durch die Einbeziehung von Bedrohungsbewertung, IoC-Quellen, bestehenden Ticket-Nummern und dem Ergebnis, Attribution des Gegners usw. kann ein Analyst sehr schnelle und genaue Triage-Entscheidungen treffen. Security Analysten können dann aus Fehlalarmen lernen und diese automatisch reduzieren sowie die Qualität der Alarmmeldungen verbessern. Wenn ein Fehlalarm auftritt, kann er durch einfaches Feedback das Bedrohungs-Repository automatisch angepasst werden. Die Alert Triage verbessert die Möglichkeit, genauere SIEM-Regeln auf der Grundlage von Bedrohungsdaten zu erstellen und direkt die Qualität künftiger Warnmeldungen zu erhöhen und die Security Analysten letztlich zu entlasten.
Wenn Unternehmen sich vor Ransomware aber auch anderen bislang unbekannten Bedrohungen schützen wollen, müssen Security Analysten ihre Erkennungsstrategien verbessern. Ein Weg dorthin kann über den Prozess der Alert Triage erfolgen. Wichtig ist hier den Prozess klar aufzusetzen und mit entsprechenden Technologien wie z.B. einer Threat Intelligence-Plattform zu unterstützen.
Über den Autor: Markus Auer ist Regional Sales Manager Central Europe bei ThreatQuotient.
(ID:47812784)
:quality(80)/p7i.vogel.de/wcms/a7/9d/a79d53792a14b7789ed084b0b1063726/0107266753.jpeg "Der ständige reaktive Modus der Brandbekämpfung, wenn bereits Sicherheitsvorfälle schwelen, schafft einen Teufelskreis. IT-Teams sollten niemals zu überlastet sein, um innovative Ansätze zugunsten der eigenen Entlastung zu bewerten. (Bild: Gudellaphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9c/d4/9cd47aba89f43f3c74f4bd2571701770/0110151900.jpeg "Wir stellen zehn OSINT-Tools vor, die auch für die Herausforderungen in 2023 eine wertvolle Hilfe sein können. (Bild: Who is Danny - stock.adobe.com)")