Verhaltensmuster analysieren Wenn der Angreifer bereits im Netzwerk ist

Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Bei Attacken auf die Netzwerke großer Unternehmen bewegen sich die Angreifer gerne einige Zeit im Netz, bevor sie wirklich zuschlagen. Die Verhaltensanalyse kann dabei helfen, potenzielle Eindringlinge zu identifizieren. Denn oft greifen die Kriminellen über ein kompromittiertes Benutzerkonto auf wichtige Daten zu.

Firma zum Thema

Wer das Verhalten der Anwender-Accounts durchleuchtet, kann Angreifer im Netzwerk leichter identifizieren.
Wer das Verhalten der Anwender-Accounts durchleuchtet, kann Angreifer im Netzwerk leichter identifizieren.
(Bild: Archiv)

Martin Kuppinger: „IT-Sicherheit muss heute auch auf die Veränderung der Verhaltensmuster von Benutzern reagieren.“
Martin Kuppinger: „IT-Sicherheit muss heute auch auf die Veränderung der Verhaltensmuster von Benutzern reagieren.“
(Bild: KuppingerCole)
Der bekannt geworden Angriff auf Sony Pictures ist nur eine Meldung in einer langen Reihe von Berichten über schwere „Cyber-Attacken“, also Angriffe über das Internet auf die IT-Systeme von Unternehmen. Den Angreifern gelang es mutmaßlich, über 100 Terabyte (TB) an Daten zu stehlen. Wie viel Datenmaterial es wirklich war, bleibt noch abzuwarten.

Nachweislich scheinen aber Gehaltsinformationen und diverse andere personenbezogene Daten aus den HR-Systemen in die Hände der Angreifer gelangt zu sein. Sony Pictures hat aber beispielsweise selbst seine Kassensysteme in der Cafeteria und die E-Mail-Systeme außer Betrieb genommen, weil befürchtet wird, dass auch diese von der Netzwerk-Attacke betroffen sind.

Ein Angriff in einer solchen Größenordnung erfolgt nicht zufällig. Und er dauert nicht nur ein paar Sekunden oder Minuten. Das Beispiel Sony Pictures zeigt einerseits, dass die Angreifer längst professionell arbeiten und gezielt Unternehmen und andere Organisationen anvisieren – mit welcher Motivation auch immer.

Das Beispiel zeigt andererseits aber auch, dass immer mehr Angriffe lange dauern und tief in die IT-Infrastruktur von Unternehmen vordringen. Die Angreifer nisten sich regelrecht im Netzwerk ein und arbeiten sich von dort aus schrittweise vor, um immer mehr Systeme zu übernehmen. Das zeigt aber auch, dass unsere Schutzmechanismen oft nicht mehr ausreichen.

Ist das Netz erst kompromittiert, …

Gelingt es den Angreifern, einen regulär erscheinenden Kommunikationskanal über die Firewall aufzubauen, bemerkt letztere das überhaupt nicht. Wurde beispielsweise Malware über infizierte E-Mail-Anhänge auf einzelnen Rechnern im Unternehmen platziert, dann kann diese Malware aus dem Netzwerk heraus die Server der Angreifer kontaktieren. Die Firewall wird diese von innen initiierte Kommunikation anders bewerten als den systematischen Versuch, von außen ungesicherte Ports zu identifizieren und zu nutzen.

Haben es die Angreifer erst einmal geschafft, einen Account zu übernehmen und in dessen Kontext zu agieren, dann wird es problematisch. Unter Umständen führen sie mit dem Benutzerkonto nur Aktivitäten durch, die dem Benutzer gestattet sind. Es muss also nicht einmal zu Fehlern kommen, weil der Zugriff verweigert wird – insbesondere wenn die Angreifer ein hoch privilegiertes Konto übernommen haben.

Verhaltensmuster und Kontext analysieren

Mit anderen Worten: Etablierte Schutzmechanismen, die beispielsweise den Datenverkehr prüfen oder Ereignisprotokolle und Benutzerkonten auf unberechtigte Zugriffe hin analysieren, reichen heute nicht mehr aus. All diese Maßnahmen sind wichtig – aber sie erkennen nicht, wenn ein Angreifer sich im Netzwerk eingenistet hat und im Kontext von Benutzerkonten nur Dinge macht, die diese Benutzer dürfen.

IT-Sicherheit muss heute darüber hinausgehen und auch auf die Veränderung der Verhaltensmuster von Benutzern reagieren. Dabei geht es nicht um die vollständige Überwachung aller Aktivitäten von Benutzern, sondern um eine bessere Erkennung von Änderungen in Verhaltensmustern.

Wenn ein administratives Konto bisher nur gelegentlich für ganz bestimmte Aufgaben verwendet wurde, auf einmal aber regelmäßig außerhalb der regulären Arbeitszeit für deutlich umfassendere Zugriffe eingesetzt wird, ist das eine Abweichung vom gewohnten Muster. Diese muss erkannt und analysiert werden, weil sie auf einen Angriff hindeutet.

Verhaltensbasierte Zugriffskontrolle

Inzwischen gibt es eine Reihe von Systemen, die solche umfassenderen Analysen durchführen können, bei denen aktuelle Nutzungsdaten mit historischen Daten verglichen werden. Zum einen gibt es spezialisierte Lösungen im Bereich Identity und Access Management (IAM).

Diese prüfen eben nicht mehr nur gelegentlich die Zugriffsberechtigungen, sondern erkennen vielmehr ungewöhnliche Bewegungsmuster – zunächst einmal natürlich anonymisiert. Solche Lösungen sind teils auf die gesamten Benutzer, teilweise aber auch nur auf spezielle Zugriffe wie hoch privilegierte Benutzer ausgerichtet.

Auf der anderen Seite gibt es nun eine wachsende Zahl von Systemen, die nicht nur Regeln auf die aktuellen Ereignisse anwenden, sondern auch komplexe Musteranalysen durchführen können, um Anomalien zu entdecken. Als Weiterentwicklung von SIEM (Security Information and Event Management) stellen solche „Realtime Security Intelligence“-Lösungen ein zentrales Element von zukünftigen IT-Sicherheitsinfrastrukturen dar.

Die bisherigen Ansätze für IT-Sicherheit reichen heute nicht mehr aus. Man muss davon ausgehen, dass sich Angreifer jederzeit im Unternehmen einnisten können und dann im Kontext vorhandener Benutzerkonten agieren. Darauf müssen die Sicherheitsmechanismen ausgerichtet sein – und hier kommt der Analyse von Anomalien und Verhaltensänderungen regulärer Benutzerkonten eine besondere Bedeutung zu.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:43168139)