:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wie Alert Triage bei einem Ransomware-Angriff helfen kann Tipps zum Aufsetzen eines Alert Triage-Prozesses
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Mittlerweile vergeht keine Woche, in der nicht irgendein deutsches Unternehmen Opfer einer Infektion wurde und erpresst wird. Die dringlichste Frage für Firmen rund um den Globus sollte also sein, wie sich Ransomware-Attacken erkennen lassen.
Ransomware-Infektionen greifen um sich, im Sommer hat der Bitkom eine Befragung seiner Mitglieder veröffentlicht und festgestellt, dass 9 von 10 deutschen Unternehmen bereits Opfer von Erpressung, Datendiebstahl oder Ausfällen der IT-Systeme wurden. Nach Einschätzung des Kaseya-CEO sind allein durch den Supply-Chain-Angriff auf den Hersteller weltweit mehr als 1.500 Unternehmen von Ransomware betroffen, die über die kompromittierte Software angegriffen wurden.
Längst vergeht kaum ein Tag, an dem nicht irgendein deutsches Unternehmen Opfer einer Ransomware-Attacke wurde und erpresst wird. Die dringlichste Frage sollte also sein: Wie lassen sich Ransomware-Attacken erkennen? Eine Möglichkeit besteht in der Detektion der gefährlichen Phishing-E-Mails durch entsprechende Software. Allerdings wirken viele dieser bösartigen Mails inzwischen derart authentisch, dass sie von echten E-Mails kaum noch zu unterscheiden sind. Das erhört die Gefahr von fehlgeleiteten Klicks und außerdem ist die Phishing-Mail nur einer von mehreren Infektionswegen für die Cybererpresser und ihre Schadsoftware. Es gibt noch viele weitere Möglichkeiten, Phishing ist lediglich die Einfachste.
Unternehmen weltweit bleibt daher nichts weiter übrig, als sich zu wappnen, und zwar nicht nur gegen aktuelle Angriffswege, sondern auch jene, an die sie aktuell noch nicht denken. Nicht zuletzt aus diesem Grund sollten sie in entsprechende Erkennungstechnologien und -Prozesse investieren. Ein Weg, den Security Analysten, so es sie denn in den Unternehmen gibt, gehen, ist ein SIEM (Security Information and Event Management), zu implementieren. Im besten Fall nutzen sie auch SOAR, XDR und andere Technologien. Was neben dem Einsatz dieser Sicherheitsmechaniken vielleicht noch wichtiger ist, sind die Prozesse. Prozesse wie das Filtern einer Vielzahl von Alarmen über Vorgänge im Firmennetzwerk. Ein solcher Prozess ist die „Alert Triage“. Der Begriff beschreibt einen Prozess, bei dem Alarme effizient und genau durchlaufen und untersucht werden, um die Schwere der Bedrohung zu bestimmen und festzustellen, ob der Alarm zur Reaktion auf den Vorfall eskaliert werden sollte oder nicht.
Zu viele Bäume im Wald
Security Analysten werden von der Anzahl der Alarme regelrecht überflutet, die manuelle Aufmerksamkeit erfordern und die durch ungenaue SIEM-Regeln und eine Standard-Verteidigungsinfrastruktur erzeugt werden. In dem Versuch, die Menge von Sicherheitswarnungen zu reduzieren, mit denen sie sich täglich auseinandersetzen müssen, senden Analysten Threat Intelligence Feeds aus externen Quellen direkt an SIEM-Tools – aber die Herausforderungen bleiben aus zwei Hauptgründen weiterhin bestehen. Erstens ist die Menge der Daten aus externen Quellen unüberschaubar. Wenn all diese Daten zur Korrelation direkt an das SIEM gesendet werden, führt dies zu einer großen Menge von kontextunabhängigen Alarmen, die jeweils erhebliche Nachforschung und Analyse von einem Analytiker erfordern. Zweitens mangelt es in den derzeitigen Tools an Hilfen zur Entscheidungsfindung, um zusätzlichen Kontext zur Bestimmung der Relevanz bereitzustellen, bevor Threat Intelligence Feeds an das SIEM gesendet werden. Eine Priorisierung ist unerlässlich, um sich nur auf die wesentlichen Alarme zu konzentrieren und die geeigneten nächsten Maßnahmen zu bestimmen.
Drei Tipps für das Aufsetzen des Alert Triage-Prozesses
Nach einer Studie von ESG sind Analysten von der Menge der Sicherheitswarnungen so überwältigt, dass 42 Prozent der Befragten angeben, dass ihr Unternehmen eine beträchtliche Anzahl ignoriert. Mehr als 30 Prozent sagen, dass sie sogar mehr als die Hälfte ignorieren. Um dieses Rauschen zu reduzieren, versuchen Analysten externe Bedrohungsdaten und Informationen mit Protokollen und Ereignissen aus internen Quellen wie dem SIEM-System dem Log-Management Repository, Ticketing- und Case Management-Systemen für Untersuchungen und andere Aktivitäten manuell zu korrelieren. Dieser manuelle Ansatz für die Alarmtriage erfordert jedoch einen erheblichen Arbeitsaufwand für die Analysten und kann zu mehr Rauschen in Form von False Positives führen. Die folgenden drei Tipps helfen beim Implementieren der Alert Triage:
Tipp 1: Prioritäten setzen
Viele Anbieter von Bedrohungsdaten veröffentlichen globale Risikobewertungen, die auf ihren eigenen Untersuchungen, ihrer Sichtbarkeit und ihren eigenen Methoden beruhen. Doch was für ein Unternehmen relevant ist, ist möglicherweise nicht für ein anderes erforderlich. Um die Einstufung von Warnungen zu verbessern, müssen die Security Analysten in der Lage sein, Prioritäten auf der Grundlage der Relevanz für ihre jeweilige Umgebung zu setzen. Mit einer benutzerdefinierten Risikoeinstufung lassen sich Warnmeldungen auf der Grundlage der eigenen Einstufungsparameter nach Priorität ordnen.
Tipp 2: Kollaboration
Bei der Bearbeitung von Warnmeldungen, die sich in der Grauzone der Wichtigkeit bewegen und solchen, die hohe Priorität haben, benötigen Security Analysten Zugang zu zusätzlichen Tools und Sicherheitspersonal, damit sie schneller die richtigen Maßnahmen ergreifen können. Verschiedene Technologien ermöglichen die Visualisierung und Zusammenarbeit, so dass tiefergehende Analysen durchgeführt werden können, die Einstufung von Warnmeldungen vereinfacht und bei Bedarf mit anderen Teams zusammengearbeitet wird, um die Untersuchungen zu beschleunigen.
Tipp 3: Lernen
Wenn ein falsch positiver Alarm durchrutscht, brauchen Security Analysten eine kontinuierliche Feedbackschleife, damit sie daraus lernen und die Qualität der Warnmeldungen im Laufe der Zeit verbessern können. Wenn neue Daten eingehen und Erkenntnisse weitergegeben werden, setzen selbstoptimierende Bedrohungsbibliotheken automatisch neue Prioritäten, um Fehlalarme in der Zukunft zu reduzieren und die Alert Triage zu verbessern.
Security Analysten sollten nutzlose Alarme stoppen, bevor sie entstehen, indem sie nur die Bedrohungsdaten, die für das Unternehmen relevant sind, zur Korrelation in das SIEM einspeisen. Die Maschine-zu-Maschine-Kommunikation ermöglicht es dem SOC-Analysten, mit dem von ihm gewählten Tool zu arbeiten und dennoch Einfluss auf die kontinuierliche Optimierung der Unternehmensdaten zu nehmen. Für graue Alarme und Alarme mit in der Wichtigkeit mittlerer, aber nicht höherer oder sehr hoher Priorität, vereinfachen sie die Triage mit Tools, die Visualisierung und Zusammenarbeit ermöglichen. Bei Warnmeldungen mit hoher Priorität sollte die Möglichkeit bestehen, diese in eine Untersuchung zu importieren, um visuelle Assoziationen und ein besseres Verständnis zu ermöglichen, Analysen durchzuführen und bei Bedarf mit verschiedenen Mitarbeitern zusammenzuarbeiten.
Fazit
Security Analysten sollten die Möglichkeit erhalten, hochrelevante Alarme in ein SIEM zu importieren. Die meisten SIEMs erlauben drei bis fünf zusätzliche Kontextinformationen zu einem Indicator of Compromise (IoC). Durch die Einbeziehung von Bedrohungsbewertung, IoC-Quellen, bestehenden Ticket-Nummern und dem Ergebnis, Attribution des Gegners usw. kann ein Analyst sehr schnelle und genaue Triage-Entscheidungen treffen. Security Analysten können dann aus Fehlalarmen lernen und diese automatisch reduzieren sowie die Qualität der Alarmmeldungen verbessern. Wenn ein Fehlalarm auftritt, kann er durch einfaches Feedback das Bedrohungs-Repository automatisch angepasst werden. Die Alert Triage verbessert die Möglichkeit, genauere SIEM-Regeln auf der Grundlage von Bedrohungsdaten zu erstellen und direkt die Qualität künftiger Warnmeldungen zu erhöhen und die Security Analysten letztlich zu entlasten.
Wenn Unternehmen sich vor Ransomware aber auch anderen bislang unbekannten Bedrohungen schützen wollen, müssen Security Analysten ihre Erkennungsstrategien verbessern. Ein Weg dorthin kann über den Prozess der Alert Triage erfolgen. Wichtig ist hier den Prozess klar aufzusetzen und mit entsprechenden Technologien wie z.B. einer Threat Intelligence-Plattform zu unterstützen.
Über den Autor: Markus Auer ist Regional Sales Manager Central Europe bei ThreatQuotient.
(ID:47812784)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881400/1881492/original.jpg "Eine neue Generation von Incident Response Tools erfüllt den Bedarf an erweiterter, ausgefeilter Erkennung und Abwehr: Extended Detection and Response, kurz XDR. (iStock)")