Attacken im Stealth-Modus: IT-Teams müssen umdenken

Cyberkriminelle scannen Netzwerke mittlerweile so professionell wie Penetration-Tester nach potentiellen Schwachstellen und Angriffspunkten. Deshalb müssen IT-Security-Strategien und -Verteidigungslinien immer wieder neu überdacht und neu aufgesetzt werden. Im kürzlich veröffentlichten Sophos Threat Report 2021 war eines der großen Themen die Tatsache, dass Hacker ihre Opfer immer häufiger ausführlich stalken, bevor sie wirklich zuschlagen.

Das bedeutet, dass Eindringlinge sich mittlerweile immer häufiger auf „Schleichfahrt“ durch die gekaperten Netzwerke begeben und erst dann mit voller Wucht zuschlagen, wenn möglichst viele Steuerungselemente unter ihrer Kontrolle beziehungsweise eigene Schadprogramme heimlich installiert sind.

Der Grund hierfür ist schnell gefunden: Die Endpoints in Unternehmen sind immer besser geschützt und die Cyberkriminellen fahnden nun nach dem nächsten schwächsten Glied in der Verteidigungskette. Entsprechend ändert sich auch der Aktionsradius der IT-Security-Verantwortlichen vom simplen „Protection & Detection“ hin zu einem intelligenten und automatisierten Sicherheitssystem, dass die Lateral-Movement-Attacken der Hacker erkennt und selbstständig isoliert.

Ein effektives System zeichnet sich immer durch vier Kernelemente aus:

• 1. Zentrale Verwaltung: Möglichkeit, alles von einem Ort aus zu sehen und zu steuern
• 2. Integrierte Komponenten: Unterschiedliche Elemente arbeiten harmonisch zusammen
• 3. Automatisierte Aktionen: Sequenzielles Verhalten basierend auf vordefinierten Kriterien
• 4. Skalierbarkeit: Das System kann mit den Anforderungen wachsen

Diese vier Elemente machen Einzelprodukte zum System. Je leistungsstärker die Einzelkomponenten sind, umso stärker ist das System. Stark integrierte Systeme übertreffen Systeme mit schwacher Integration.

„IT-Abteilungen verfügen nicht über die nötigen Ressourcen, um auf das Volumen und die ständig wechselnden Cyberangriffe adäquat zu reagieren. Anspruchsvolle Bedrohungen erfordern intelligente Security-Lösungen, die vorausschauend, vielschichtig und systemübergreifend interagieren. Mit Sophos Intercept X in Kombination mit der XG Firewall verfügen Partner und Kunden über Next Generation Security-Technologien und profitieren von den Vorteilen der Synchronized Security„, erklärt Michael Veit, IT-Security-Experte bei Sophos. „Jede IT-Organisation, ob groß oder klein, braucht eine Sicherheitslösung, die innovativ, integriert und skalierbar ist.“

Sicherer Kommunikationskanal zwischen Endpoint und Netzwerk

Synchronisierte Sicherheit von Sophos beinhaltet einen sicheren Kommunikationskanal zwischen Endpoint- und Netzwerk-Sicherheitslösungen. Erkennt die Firewall schädlichen Datenverkehr, benachrichtigt sie umgehend den Endpoint-Agenten. Dieser reagiert dynamisch, identifiziert und hinterfragt den verdächtigen Prozess. In vielen Fällen kann er den Vorgang automatisch beenden und die restlichen infizierten Komponenten entfernen. Auf diese Weise werden IT-Abteilungen entlastet und können gleichzeitig einen besseren Schutz von Daten garantieren – inklusive Next-Gen-Technologien wie Deep Learning oder Sandboxing.

Ein weiteres Next-Gen-Thema, das mittlerweile in punkto IT-Sicherheit nicht mehr wegzudenken ist, bildet der Bereich Endpoint Detection & Response, kurz EDR. Sophos Intercept X Advanced with EDR und Intercept X Advanced for Server with EDR ermöglichen es Security-Analysten, Bedrohungen schneller und einfacher zu identifizieren und zu neutralisieren. So kann aktiv ein sicherer IT-Betrieb aufrechterhalten und das Risiken reduziert werden.

„Während Unternehmen zunehmend in die Cloud wechseln und das Remote-Arbeiten ermöglichen, erhöhen Cyberkriminelle den Einsatz und schrecken vor nichts zurück, um aus den erweiterten Angriffsflächen Kapital zu schlagen. Server und andere Endpoints sind oft unzureichend geschützt, wodurch Schlupflöcher entstehen, die von Angreifern ausgenutzt werden“, so Michael Veit „Sophos EDR identifiziert diese Angriffe, verhindert Attacken und bringt Licht in ansonsten dunkle Bereiche. Live-Abfragen ermöglichen es, nach Indikatoren einer Kompromittierung zu suchen und den aktuellen Systemstatus zu ermitteln. Dieses Maß an Information ist entscheidend, um das wechselnde Verhalten der Angreifer zu verstehen und die Verweildauer zu verkürzen.“

Neue EDR Kernfunktionen bei Sophos

Die Sophos EDR-Technologie basiert auf dem neuronalen Deep-Learning-Netzwerk von Sophos, das anhand von Hunderten von Millionen Beispielen und Bedrohungsindikatoren geschult ist. Security-Analysten und IT-Administratoren erhalten außerdem On-Demand-Zugriff auf Bedrohungsinformationen aus den SophosLabs, die täglich mehr als 400.000 Malware-Samples verfolgen, zerlegen und analysieren.
• Live Discover: Erkennt vergangene und aktuelle Aktivitäten und speichert die Daten bis zu 90 Tage. Sofort einsatzbereite SQL-Abfragen ermöglichen es Fragen zur Bedrohungssuche und IT zu beantworten. Sie können aus einer Bibliothek mit vordefinierten Optionen ausgewählt und von Benutzern vollständig angepasst werden. Diese flexible Query Engine bietet Zugriff auf hoch detaillierte Aufzeichnungen über Endpoint-Aktivitäten, die mit der Sophos Deep-Learning-Technologie kontinuierlich aktualisiert werden.
• Live Response: Remote-Reaktion und Fernzugriff auf Endpunkte und Server über eine Command-Line-Schnittstelle, um weitere Untersuchungen durchzuführen und Probleme zu beheben. Dazu gehören einfaches Neustarten von Geräten, Installieren und Deinstallieren von Software, Beenden aktiver Prozesse, Ausführen von Skripts, Bearbeiten von Konfigurationsdateien, Ausführen forensischer Tools, Isolieren von Rechnern und mehr.

Webinar

Mehr Details zu Intercept X mit EDR und den neuesten Sicherheitsfunktionen wie Live Discover bietet folgendes Webinar.

Weitere Informationen zum Thema

• Sophos Intercept X Endpoint
• Sophos Intercept X Advanced for Server
• Sophos XG Firewall
• Synchronized Security
• Materialien zum Stoppen von Ransomware
• Sophos Threat Report 2021
• Managed Threat Response (MTR)