Sharing is caring!

IT Security - IT AngriffeIn den USA beschreibt die Abkürzung INAMOIBW, dass man in der IT-Sicherheit immer mit dem Schlimmsten rechnen sollte: „It’s not a matter of if but when.“ oder auf deutsch: „Es ist nicht die Frage ob es passiert, sondern wann.“ Wo bislang der Fokus zu sehr auf Prävention und Schutz lag, sollte man deshalb die Erkennung und Eindämmung stärken. Angriffe werden leider oft erst zu spät erkannt. Deshalb ist es kritisch, die Spuren erfolgreicher Angriffe möglichst schnell zu identifizieren und zu analysieren, damit man sofort handeln kann. Nur dann ist man in der Lage, Angriffe auch schnell einzudämmen. Sogar das BSI unterstreicht das Konzept des „Assume the Breach“ im Bericht „Die Lage der IT Sicherheit in Deutschland 2015“. Bei der Auswahl von Security Tools sollte man betrachten, bei welchem Teil der „Attack Kill Chain“ ein Mehrwert entsteht und wo es Lücken gibt. Werkzeuge können zwar funktionierende Prozesse und geschulte Mitarbeiter unterstützen, diese aber nicht ersetzen. 1. Schritt: Aufklärung (Reconnaissance): Das Ziel für einen Cyber-Angriff wird ausgewählt und holt relevante Informationen über das Ziel ein. Angreifer interessieren sich nicht nur für technische Schwachstellen: auch Menschen und Prozesse haben Schwächen und diese können ausgenutzt werden. 2. Schritt: Exploit erstellen (Weaponization): Der nächste Schritt ist die Bereitstellung der Angriffsmethode – des Exploits. Man bereitet ein Stück Software bzw. eine Datei vor, um über eine IT Schwachstelle Zugang zu einem System zu erhalten. Mittlerweile gibt es ja neben dem kriminellen Schwarz-Markt auch absolut legitime Märkte und Tools für Zeor Day Exploits. Die Anzahl von „Zero-Days“ ist von 24 im Jahr 2014 auf über 50 im Jahr 2015 angestiegen. Die meisten Angriffe verwenden jedoch leider bekannte Schwachstellen. 3. Schritt: Zustellung (Delivery): Sobald man die Angriffs-Payload fertiggestellt hat, muss man diese an das Ziel liefern. Hier kommen die „menschlichen Schwachstellen“ zum Einsatz: z.B. wenn man einen Mitarbeiter dazu bewegt, einen geschenkten USB-Stick in einen Rechner zu stecken und Dateien zu öffnen, oder eine E-Mail so vertrauenswürdig erscheinen lässt, dass der Anhang geöffnet oder auf ein Link geklickt wird. Auch populär sind Watering-Hole Attacks: über Web-Seiten, die von Mitarbeitern häufig genutzt werden, verteilt man Angriffs-Software. Durch eine Kombination von Schutz und Sensoren auf Perimeter, Servern und Endpunkten kann man hier schon eine erfolgreiche Auslieferung von Exploits erschweren bzw. verdächtiges Verhalten erkennen. 4. Schritt: Eindringen (Exploitation): Wurde der Exploit erfolgreich ausgeliefert, kann auf dem Ziel-System ein entsprechender Code ausgeführt werden. Somit bekommt man als Angreifer schnell Zugang zum Ziel-System. 5. Schritt: Installieren (Installation): Nachdem man Zugang zu einem System erlangt hat, werden dann oft weitere Tools auf das kompromittierte System geladen. 6. Schritt: Command & Control: Nun geht es an die Übernahme relevanter Systeme im Hintergrund mit dem Ziel, Kommandos an das System zu leiten. In dieser Phase werden die Angriffs-Werkzeuge ggf. aktualisiert und nach Bedarf werden neue Module geladen. Hier kann es auch zu der internen Verbreitung auf andere Systeme kommen: „lateral Movement“. 7. Schritt: Handeln (Action on Objectives): In dieser Phase findet dann auch die Exfiltration der Daten oft über verdeckte, verschlüsselte Kommunikations-Wege nach außen statt.

Von Protect hin zu Detect & Respond

Man darf sich also nicht nur auf den Schutz konzentrieren. Man muss sich vielmehr auch aktiv auf die Jagd nach Anzeichen machen, die einem zeigen, ob es schon zu einem der oben genannten Angriffsschritte gekommen ist. Hier helfen eine stärkere Automatisierung sowie die intelligente Priorisierung durch Korrelation verschiedener lokaler Daten mit globalen Bedrohungs- und Reputationsdaten. Eine ausgereifte „Detonation Sandbox“ kann bei der Analyse von Schadcodes helfen, wobei die Ergebnisse Handlungs-Schritte zur Eindämmung und Bereinigung an möglichst vielen Kontrollpunkten ermöglichen. [Quelle: security-insider.de]

Kommentar verfassen