Die COVID-19-Pandemie, die Anfang 2020 begann, hat das Arbeitsleben unzähliger Menschen gravierend verändert: Wer immer konnte, zog ins Home Office um und arbeitet meist noch heute dort. Unentbehrlich dafür sind eine Anbindung übers Internet ans Firmen-Rechenzentrum oder einen Public-Cloud-Provider sowie entsprechende Endgeräte – vom Smartphone über Tablets und Laptops bis hin zum hochleistungsfähigen PCs.
Dabei können Anwender im Home Office nicht immer einen Firmenrechner nutzen. Oft genug verwenden sie ihre privaten Endgeräte, und manchmal wird dasselbe Gerät, meistens dieselbe Netzverbindung auch für das Homeschooling der Kinder oder für die Übertragung des Fernsehprogramms verwendet. Nicht jeder Anwender ist vertraut mit der Nutzung der betreffenden Technologien im Netz- und Endgerätebereich.
Die innerbetrieblich üblichen Sicherheitsprozesse greifen unter COVID-19-Bedingungen teilweise nicht mehr. Und wer noch nie im Home Office gearbeitet hat, kennt grundlegende Vorsichtsmaßnahmen gegen Cyberangriffe oft nur unvollständig. Das erhöht auch die Anfälligkeit für Social-Engineering-Versuche.[i]
Mehr Risiken durch COVID-19
Ideale Bedingungen für Angreifer also. Zu den genutzten Angriffsvektoren gehören vermehrte DDoS-Attacken, Phishing-Mails mit direktem Bezug zur Pandemie und Fake-Webseiten zu Corona-Soforthilfen[ii] oder die Korrumpierung von Videokonferenzsystemen. Zahl und Komplexität der Cyber-Angriffe nehmen, so das BSI in seinem Lagebericht 2020[iii], ständig zu.
Das hat auch Auswirkungen auf die IT-Security-Ausgaben. Nach einer aktuellen Erhebung von IDC[iv] gaben 38 Prozent der befragten deutschen Unternehmen 2020 vor allem mehr Geld für die Absicherung von Home Office und Remote Work aus. Dazu gehören Ausgaben für einen besseren Schutz der Endgeräte und mehr Datensicherheit. 31 Prozent investierten zudem in mehr Netzwerksicherheit.
Verhaltensbasierte Angriffserkennung
Doch die Frage ist nicht nur wie viel, sondern auch in was investiert wird. Denn die herkömmlichen, an der Erkennung einzelner Angriffsvektoren (Indicators of Compromise, IoC) orientierten Verfahren zur Absicherung des Netzwerkrandes stoßen an ihre Grenzen. Sie überfordern die Security-Teams mit einer Unzahl von Tools, die parallel und ohne Verbindung zueinander arbeiten, einzeln verwaltet und abgefragt werden müssen. Dadurch entsteht eine Alertflut, die eine sinnvolle Priorisierung unmöglich macht. Zudem ist das Personal in IT-Security-Teams ohnehin knapp, was bedeutet, dass die Verteidiger mehr und mehr in die Defensive und Unternehmenswerte unmittelbar in Gefahr geraten.
Daher muss ein neuer Ansatz her. Er sollte die veränderte Sicherheitslandschaft mit ihrer Vielfalt an Endgeräten, der Cloud und mobilem oder Arbeiten im Home Office ausreichend berücksichtigen, Prozesse weitgehend automatisieren und damit das IT-Sicherheitsteam entlasten, so dass eine zügige Abwehr von Cyber-Attacken möglich ist, ohne die reguläre Arbeit durch False-Positives zu beeinträchtigen. Eine komplette Absicherung des Perimeters gegen jeden Eindringversuch ist angesichts der Gesamtlage zum Scheitern verurteilt. Statt dessen gilt es, Eindringlinge so schnell wie möglich zu erkennen und unschädlich zu machen.
Einen solchen Ansatz verfolgt Cybereason mit der verhaltensbasierten Analyse der Cybereason Defense Platform. Ihre Strategie verlässt sich nicht mehr nur auf die Erkennung von IoCs, sondern vor allem auf die Analyse des in der Infrastruktur einschließlich aller Endgeräte und der Cloud beobachtbaren Gesamtverhaltens. Angriffstypische Verhaltensketten werden dabei als Indicators of Behavior (IoB) definiert, erkannt und in eine entsprechende Warunung umgesetzt.
Ein Sensor für alles
Dafür wird der gleiche Softwaresensor auf jedem Endgerät und auch in der Public Cloud oder einer Edge Cloud installiert. Das erleichtert die Implementierung der Lösung und das Management der Endpunkte. Jeder Sensor erfasst 400 Parameter in Echtzeit, und zwar auch dann, wenn ein System nur mit dem Internet verbunden, aber nicht ins Firmennetz eingebunden ist.
Alle erhobenen Daten werden mit externen Informationsquellen integriert. Dazu kommen gegebenenfalls Daten aus über offene Schnittstellen integrierten Drittsystemen. Die gesamte Datenmenge wird in Echtzeit ML-basiert analysiert und korreliert sowie im Kontext des Gesamtgeschehens und üblicher Verhaltensweisen interpretiert. Was anhand dieser Kriterien auffällt, ist verdächtig. Dafür wertet Cybereason in der Cloud wöchentlich 9,8 PByte Threat Intelligence aus. Zum Vergleich: Google Drive speichert weltweit pro Woche derzeit etwa 3,5 PByte.
Durch die Kontextualisierung aller registrierten Events in der Infrastruktur lassen sich auch an sich harmlos erscheinende Verhaltensweisen eventuell als Teil eines Angriffs identifizieren. Denn es kommt auf den Zusammenhang mit anderen Ereignissen an, den die ML-basierten Algorithmen von Cybereason erkennen.
Malops erschließen die Details des Angriffsgeschehens
Ein Hinweis auf einen potentiellen Angriff erscheint auf dem Bildschirm des SOC-Teams als MalopsTM. MalopsTM sind übersichtliche und leicht verständliche grafische Darstellungen des Gesamtzusammenhanges einer potentiell maliziösen Kette von Aktivitäten oder IoBs innerhalb der Infrastruktur, die sich einem konkreten Angriff zuordnen lassen. Dabei spielt es keine Rolle, an wie vielen Stellen oder an welcher Stelle diese Aktivitäten erfolgen, es wird alles erfasst und unter dem Dach der Malops zusammengefasst. Die einzelnen Elemente der MalopsTM sind anklickbar und eröffnen dann Drill-Down-Möglichkeiten, die Details des Geschehens darstellen.
Das MalopsTM-Diagramm zeigt die Stadien des Angriffs vom ersten Berührungspunkt mit den Systemen der betroffenen Organisation über alle Zwischenschritte bis zum aktuellen Stadium. Das SOC-Team erhält Informationen darüber, welche Maschinen, welche User und welche Prozesse mit welchen Tools und Methoden angegriffen wurden sowie welche Prozesse oder Daten korrumpiert sind und wie tief der Angriff inzwischen in die Systemlandschaft eindringen konnte.
Außerdem bietet MalopsTM auf Knopfdruck automatisierte oder im interaktiven Dialog mit dem Sicherheitspersonal umsetzbare punktgenaue Gegenmaßnahmen, die den Angriff zum frühestmöglichen Zeitpunkt stoppen.
Mehr Effizienz fürs Security-Team
Das steigert die Effizienz des IT-Security-Teams erheblich: Die Zeit bis zur Reaktion auf einen Angriff sinkt um bis zu 93 Prozent. Weil falsch-positive Alerts größtenteils ausgefiltert werden, kann ein SOC-Mitarbeiter bis zu 200.000 Endgeräte überwachen. Außerdem können so auch weniger qualifizierte Mitarbeiter Angriffe verstehen und beenden.
Reicht das alles nicht aus, weil das Angriffsgeschehen besonders massiv oder komplex ist, steht bei Cybereason das Team Nocturnus bereit. Diese Gruppe sehr erfahrener IT-Sicherheitsspezialisten aus Israel, den USA und Europa beschäftigt sich ausschließlich damit, das weltweite IT-Sicherheitsgeschehen ständig in Echtzeit zu beobachten, neuartige Bedrohungen auszumachen und zu analysieren sowie Gegenmaßnahmen zu konzipieren.
Dies alles bringt das IT-Security-Team auch in Zeiten von COVID-19 und Home Office wieder in die Offensive gegenüber böswilligen Akteuren. Es kann nun Firmen und Organisationen vor den unvermeidlichen Schäden erfolgreicher Cyber-Attacken besser bewahren.
[i] https://www.pwc.com/jg/en/issues/covid-19/managing-impact-of-covid-19-on-cyber-security.pdf
[ii] file:///C:/Users/ARIANE~1/AppData/Local/Temp/cybercrimeSonderauswertungCorona2019-1.pdf
[iii]https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2020.pdf?__blob=publicationFile&v=2
[iv] https://www.idc.com/getdoc.jsp?containerId=prEUR146933820
Neueste Kommentare
Noch keine Kommentare zu COVID-19 zwingt Mitarbeiter ins Homeoffice und forciert neue Sicherheitsstrategien
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.