Einbruchserkennung: Die bisherigen Monitoring-Techniken sollten überdacht werden

Verizons DBIR 2013 stellt Unternehmen bei der Einbruchserkennung kein gutes Zeugnis aus. Unser Experte gibt Ratschläge für ein effektives Monitoring.

Seit einigen Jahren investieren Unternehmen beträchtliche Summen und Ressourcen, um neue Sicherheits-Produkte für den Schutz vor Cyberangriffen zu implementieren. Die Einbruchserkennung (Intrusion Detection) behandelt man im Vergleich dazu fast stiefmütterlich. In der Zwischenzeit mussten die Firmen dann auch noch Ressourcen abzweigen, um Konformitäts-Vorschriften bezüglich der IT-Sicherheit einzuhalten. Als Resultat daraus wurde Einbruchserkennung noch weniger Aufmerksamkeit spendiert.

Das Ganze wird durch den Verizon Data Breach Investigations Report (DBIR) 2013 untermauert. Hier kommt die Vernachlässigung der Einbruchserkennung deutlich zum Vorschein. Nahezu sieben von zehn Einbrüchen entdecken Dritte und nicht das betroffene Unternehmen selbst.

Diese Statistik scheint schon schlecht genug zu sein. Allerdings geht aus dem Bericht hervor, dass die intern entdeckten Einbrüche meist zufällig von reinen Anwendern und nicht von der IT-Abteilung oder den Sicherheits-Spezialisten gefunden wurden. Schlussfolgernd heißt das, es gibt ein ziemliches Problem im Hinblick auf die für Einbruchserkennung verwendeten Arbeitskräfte, Prozesse und Technologien in den Unternehmen.

In diesem Tipp erörtern wir die hauptsächlichen Gründe, warum Firmen Einbrüche nicht in einem angemessenen Zeitraum erkennen und wie sich dieser Umstand verbessern lässt.

Einbrüche erkennen: Warum ist das so schwer?

Einbrüche in großen Unternehmen zu erkennen, gestaltet sich oftmals sehr schwierig. Der Grund ist eben die Größe der Firma und die Anzahl der sich im Einsatz befindlichen Geräte. Das Erkennen und Suchen von unerlaubten Zugriffen ist wie die sprichwörtliche Nadel im Heuhaufen zu finden. Die Anzahl potentieller Angriffsziele ist in kleineren Unternehmen natürlich signifikant kleiner. Allerdings haben dieses Firmen auch weniger Angestellte und Ressourcen, die sich für Einbruchserkennung reservieren lassen.

Ein wunderbares Beispiel ist die Red-October-Malware-Kampagne. Hier zeigt sich, warum das Erkennen von ausgeklügelten Einbrüchen für Unternehmen so problematisch ist. Als Teil der Kampagne haben Cyberkriminelle Firmen mithilfe von Phishing-Angriffen infiltriert und danach Sicherheitslücken in Java, Microsoft Office und anderen Applikationen ausgenutzt. Sobald sie sich in die Firmen-IT eingeschlichen hatten, versuchten die Angreifer die Zugangsdaten von autorisierten Anwendern zu ergaunern. Diese verwendeten sie dann, um Ihre Aktionen zu verschleiern. Mithilfe dieser Techniken konnten die Cyberkriminellen einige Jahre innerhalb der Firma verweilen, unerkannt bleiben und dabei sensible Daten entwenden. Für Unternehmen mit einer breiten Angriffsfläche und/oder einem kleinen Budget ist das Erkennen von Red October oder einer ähnlichen Malware in der Tat nicht sehr einfach.

Viele der im Verizon DBIR erwähnten und von Dritten entdeckten Zwischenfälle wären allerdings durchaus vermeidbar gewesen. Man hätte lediglich angemessene PCI-DSS-Security-Kontrollen und bessere Monitoring-Systeme einsetzen müssen. IT-Teams fokussieren sich entweder auf falsche Bereiche, haben nicht ausreichend Ressourcen oder es fehlt das Budget. Allerdings scheint man die leicht angreifbaren Zonen außer Acht zu lassen. Das Scannen der Internet-Ports im Netzwerk oder die Überwachung von ungezielten Malware-Infektionen ist im Gegensatz zum Erkennen von Einbrüchen einfacher. Unternehmen und Sicherheits-Profis müssen aber auch im Hinterkopf behalten, dass gezielte Einbrüche wesentlich profitabler sind und dafür größere Anstrengungen in Kauf genommen werden.

Das Netzwerk-Monitoring in Firmen verbessern, um Einbrüche früher zu erkennen

Es gibt offenbar viele Gründe, warum Firmen beim Erkennen von Systemeinbrüchen ins Stolpern geraten. Eine einzelne Wunderwaffe für das Lösen dieses Problems ist leider nicht verfügbar. Stattdessen müssen Organisationen mehrere Sicherheits-Kontrollen einsetzen.

Als Teil des DBIR empfiehlt Verizon den Einsatz der 20 Critical Security Controls von SANS. Allerdings steht in dem Bericht auch, dass es bekannte Security-Kontroll-Mechanismen gibt, die Ihre Firma so oder so im Einsatz haben sollte. Die von SANS erwähnten Kontroll-Werkzeuge können Ihnen helfen, existierende Tools effizienter für die Einbruchserkennung zu nutzen. Zum Beispiel sind das die Implementierung von Konfigurations-Monitoring und -Management sowie die Prüfung der Datei-Integrität. Somit lassen sich Abweichungen erkennen, die auf einen Einbruch in ein Firmen-Netzwerk hinweisen. Systeme lassen sich auch mit nur lesbaren Dateien aufsetzen. Die beschreibbaren Bereiche würden sich dann auf einem Gerät im Netzwerk befinden. Mit so einer Konfiguration tun Sie sich im Hinblick auf das Prüfen der Datei-Integrität wesentlich leichter. Es gäbe nur wenige gerechtfertigte Änderungen und die würden im Log stehen. Das Überwachen aller Prozesse auf einem System hilft ebenso. Sie können ausführbare Dateien, die sich erstmals auf dem System starten, unter die Lupe nehmen und somit einen möglichen Angriff identifizieren.

Netzwerk-Monitoring von NetFlow-Daten und Full-Packet-Analyse helfen, verdächtigen Netzwerk-Verbindungen auf den Grund zu gehen. So ein Monitoring kann sich auf die Erkennung von Anomalien konzentrieren. Damit ist gemeint, dass plötzlich ein ziemlich hoher Anteil an Daten an eine ungewöhnliche externe Adresse gesendet wird. Netzwerk-Monitoring hilft zusätzlich, andere Indikatoren eines möglichen Einbruchs offen zu legen. Dazu gehören allerlei nicht autorisierte Komponenten und Verbindungen. Beispiele hierfür wären Rogue WLAN Access Points, Internetverbindungen, Einwahlverbindungen, Verbindungen zu anderen Firmen, Drittanbieter inklusive Cloud-Anbieter, VPN-Verbindungen, andere verschlüsselte Verbindungen und andere externe Kommunikations-Schnittstellen. All das ist potenziell verdächtig und einen genaueren Blick wert. Sie können zusätzlich nach Verbindungen zu bekannten böswilligen IP-Adressen Ausschau halten.

Im nächsten Schritt spüren Sie Zwischenfälle bezüglich der Sicherheit auf. Wie genau Sie bei den einzelnen Störfällen hinsehen müssen, kann von der jeweiligen Firma abhängen. Auf jeden Fall ist es sinnvoll, eines der verfügbaren Frameworks für das Teilen und Berichten von Sicherheits-Zwischenfällen zu verwenden. Beispiele sind Verizon Enterprise Risk and Incident Sharing (VERIS), Incident Object Description Exchange Format (IODEF) oder OpenIOC. Sobald diese Daten an zentraler Stelle gesammelt werden, lassen sich weitere Analysen durchführen. Zum Beispiel können Sie dann evaluieren, warum bestimmte Störfälle intern nicht erkannt wurden. Basierend auf diesen grundlegenden Informationen lässt sich erforschen, welche Security-Kontroll-Mechanismen nicht funktioniert haben. Daraus resultierend rüsten Sie sich für die Zukunft und stellen sicher, dass dieselbe Sicherheitslücke nicht noch einmal ausgenutzt wird. Sobald ein Unternehmen das Rückmelde-System für Sicherheits-Zwischenfälle und das Sammeln von Daten verfeinert, lassen sich neue Kontroll-Mechanismen gezielter einsetzen und implementieren.

Organisationen mit strengeren Sicherheits-Vorschriften sollten mindestens eine Person abstellen, die sich hauptsächlich mit den Rückmeldungen der Störfälle beschäftigt. Diese Person müsste sich dann nicht mit den täglichen Monitoring-Aufgaben beschäftigen, sondern könnte sich völlig auf die Zwischenfälle und die Analyse der dazugehörigen Daten konzentrieren. Weiterhin wäre seine Aufgabe das Evaluieren von Security-Kontroll-Mechanismen, die entsprechende Vorfälle verhindern, minimieren oder schneller ans Tageslicht bringen können. Weitere mögliche Verteidigungs-Optionen für Firmen sind auch ähnliche Taktiken, die man für die Entdeckung von Angriffen im APT-Stil verwendet. Auch hier ist ein sorgfältiges Monitoring des Netzwerks und der Systeme einer Organisation notwendig. Verizon erwähnt im DBIR zum Beispiel mehr mit Spionage in Beziehung stehende Vorfälle als das jemals zuvor der Fall war. Durch das genaue Überwachen von Gefährdungs-Indikatoren (IOC – Indicators of Compromise), konnte man viele dieser Fälle aufdecken. Es gibt Unterschiede zwischen so genannten APT- und herkömmlichen Angriffen, wie sie im DBIR analysiert werden. Allerdings sind diese nicht besonders groß. Unternehmen können ihre Systeme auf dieselben IOCs prüfen, die Mandiant im APT1-Bericht identifiziert hat. Dabei ist es egal, ob die Daten aus Informations-Sharing- und Analyse-Zentren (ISAC) oder anderen vertrauenswürdigen Organisationen kommen.

Führen Sie weitere Monitoring-Schichten ein, könnte sich das natürlich negativ auf die Privatsphäre der Anwender auswirken. Aus diesem Grund müssen Firmen auf die Anwender zugehen und sie über die Monitoring-Aktivitäten aufklären. Im gleichen Atemzug können Sie dann sicherstellen, alle notwendigen Schritte zum Schutz der Privatsphäre einzuleiten. Weiterhin will eine Firma sicher nicht detailliert ausgeben, welche Ziele auf der Monitoring-Liste stehen. Somit muss ein Angreifer mit mehr Aufwand in Erfahrung bringen, was genau überwacht wird. Der Schutz der gesammelten Anwenderdaten sollte höchste Priorität genießen. Hier ist es nicht verkehrt, die Abteilungsleiter in Meetings über den Stand der Monitoring-Aktivitäten und den Datenschutz aufzuklären.

Fazit

Die Qualität der Gegenspieler hat sich deutlich verbessert. Aus diesem Grund muss auch die Einbruchserkennung bei dem Hase-und-Igel-Spiel auf dem neuesten Stand bleiben, selbst wenn die Schutz-Mechanismen versagen. Unternehmen sollten Ressourcen in die Einbruchserkennung investieren. Es gilt herauszufinden, mit welchen Kontroll-Mechanismen sich am effizientesten künftige Vorfälle vermeiden lassen. Glasklar ist auf jeden Fall, dass ein Befolgen der Standard-Anforderungen kein ausreichender Schutz vor Angreifern mit ausgeklügelten Methoden ist.

Über den Autor: Nick Lewis, CISSP, ist Sicherheitsbeauftragter der Saint Louis University. Lewis hat seinen Master of Science in Informationssicherung von der Norwich University im Jahre 2005 und in Telekommunikation von der Michigan State University im Jahre 2002 erhalten. Bevor er bei der Staint Louis University im Jahre 2011 anfing, arbeitete Lewis an der University of Michigan und im Boston Children's Hospital. Weiterhin war er für Internet2 und die Michigan State University tätig.

Artikel wurde zuletzt im Oktober 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Data-Loss-Prevention (DLP)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close