Gleichzeitig nehmen die Bedrohungen zu: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) meldete in seinem Cybersicherheitsbericht für Deutschland 2020 (S. 10) pro Tag bis zu 322.000 neue Bedrohungsvarianten. Zudem tarnen Angreifer ihr Tun immer perfekter. Einzelne ihrer Aktionen, etwa der Zugriff auf ein bestimmtes System, sind für sich genommen nicht unbedingt bösartig. Erst wenn man sie in einen Kontext setzt, wird ihre schädigende Absicht klar.
Ein Beispiel dafür ist der lang unentdeckte Angriff über die SolarWinds-Supply Chain, der im Winter 2020 bekannt wurde. Wie das Online-Portal Heise schreibt, hat SolarWinds Orion 18.000 Microsoft-Servicekunden infiziert, darunter auch öffentliche Einrichtungen aus Gesundheitswesen, Verwaltung oder Militär. Rund 30 Prozent der angegriffenen Firmen und Organisationen nutzten allerdings Solarwinds Orion gar nicht. Die Sicherheitslösung war also nur einer von mehreren Eindringpunkten in die Systeme der Anwender. Der Hack blieb wegen raffinierter Tarnung fast ein ganzes Jahr unentdeckt. Und dies ist kein Einzelfall: Im weltweiten Durchschnitt dauert es 56 Tage, bis ein Cyberangriff entdeckt wird.
Dazu tragen auch das bisherige Konzept der Endpoint-Security und die verwendeten Tools bei. Durch Mobile, Home Office und Cloud ist der Rand des eigenen Netzwerks unscharf geworden. Um möglichst viele Angriffe zu entdecken, arbeiten Unmengen IT-Security-Werkzeuge unverbunden nebeneinander: Virenscanner, Firwalls, Intrusion Detection und so weiter – jeweils mit eigenen Benutzeroberflächen, Abfragesprachen, Alarmen, darunter viele falsche. Eine sinnvolle Priorisierung ist da kaum möglich.
In diesem Umfeld reichen die Indicators of Compromise (IoCs) konventioneller Systeme, etwa Virussignaturen, Hashes, bekannte Dateinamen von Schädlingen und Ähnliches, nicht mehr. Deshalb werden jetzt neue Konzepte entwickelt, etwa von Cybereason.
Cybereason Defense Platform verwendet deshalb einen neuen Ansatz. Er orientiert sich neben weiterhin verwendeten IoCs am beobachteten Verhalten in der gesamten Infrastruktur in seiner Gesamtheit. Einzelne Aktionen oder Verhaltensweisen werden zu sogenannten Indicators of Behavior (IoBs) verdichtet, die eine verdächtige Verhaltenskette systemübergreifend charakterisieren.
Dafür werden alle Systemereignisse registriert, mit Hilfe von ML-Algorithmen korreliert und mit internen und externen Daten kontextualisiert. Auch vorhandene Tools von Drittanbietern lassen sich über Schnittstellen einbinden und können Daten liefern. Entsprechen Verhaltensweisen im Kontext einem Indicator of Behavior (IoB), wird erhöhte Wachsamkeit und bei Vorliegen weiterer Indikatoren gegebenenfalls ein Alarm ausgelöst.
Cybereason Defense Platform bezeichnet den Gesamtzusammenhang eines potentiell maliziösen Verhaltens als MalopsTM (Malicious Operations). MalopsTM sind integrierte, interaktive Bildschirmdarstellungen eines Verhaltenszusammenhangs mit umfassenden Drill-Down-Möglichkeiten.
Sie zeigen den gesamten Angriff im Zeitverlauf mit seinen einzelnen Phasen vom Erstkontakt bis zur aktuellen Situation mit allen wichtigen Fakten: Welche Maschinen wurden wann, wie und mit welchen Konsequenzen angegriffen? Welche User sind betroffen und wie weit ist der Angriff ins System eingedrungen? Welche Rechte hat sich ein Angreifer erschlichen?
Um MalopsTM zu verstehen, sind keine umfangreichen Trainings nötig: Mit nur wenigen Klicks und ohne das umständliche Erlernen einer Abfragesprache können auch SOC-Mitarbeiter mit geringeren Qualifikationen Angriffe verstehen und stoppen. Denn passgenaue Gegenmaßnahmen – entweder voll automatisiert oder als interaktiver Bildschirmdialog zur Ausführung durch SOC-Mitarbeiter – sind ebenfalls in MalopsTM integriert.
Der ML-unterstützte verhaltensbasierte Ansatz sortiert Unmengen falsch positiver Alerts aus. Die Mitarbeiter des Security-Teams können sich auf die relevanten Meldungen und Bedrohungen konzentrieren. Deshalb kann ein einzelner SOC-Mitarbeiter mit Cybereason Defense Platform bis zu 200.000 Endpunkte überwachen. Unternehmen brauchen so weniger hoch qualifizierte Mitarbeiter fürs SOC, die auch geringer qualifiziert sein dürfen.
Gleichzeitig beschleunigt sich die Reaktion auf Angriffe: Die in den MalopsTM integrierten, maßgeschneiderten und direkt zugänglichen Gegenmaßnahmen verringern die Zeit bis zur Reaktion gegenüber konventionellen Sicherheitsumgebungen um bis zu 93 Prozent. Aus Stunden werden so Minuten.
Für die Datengewinnung verwendet die Cybereason Defense Plattform einen einheitlichen Softwaresensor, der auf allen Endgeräten und in allen Umgebungen arbeitet, handele es sich nun um typische Mobilsysteme, Laptops, Arbeitsplatz-PCs oder die Cloud. Das vereinfacht den Betrieb und die Installation des Systems.
Dieser Sensor funktioniert auch, wenn der Endpunkt nicht ins Firmennetz eingeloggt ist, solange er übers Internet mit der Cybereason-Cloud kommunizieren kann. Dabei wertet er bis zu 400 Indikatoren pro Endpunkt in Echtzeit aus. Diese werden mit weiteren Echtzeit-Datenquellen etwa aus Tools von Drittanbietern und zum weltweiten Bedrohungsgeschehen angereichert und mit ML-Algorithmen korreliert. Pro Woche verarbeitet Cybereason bis zu 9,8 PByte Threat Intelligence. Zum Vergleich: Google Drive speichert aktuell rund 3,5 TByte pro Woche.
Im Hintergrund arbeitet zudem das Cybereason Nocturnus Team, eine Gruppe hochkarätiger Experten aus Israel, den USA und Europa. Die hochqualifizierten Sicherheitsexperten beobachten ständig das aktuelle Bedrohungsgeschehen, registrieren neue Angriffsformen und entwickeln Gegenmaßnahmen. Im Notfall greift das Team bei betroffenen Anwendern direkt ein, um Attacken zu stoppen.
Mit diesem Gesamtkonzept sorgt Cybereason dafür, dass die Sicherheitsteams in Organisationen und Unternehmen wieder in die Offensive kommen und Schaden umgehend abwenden können.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.