Post-Breach – Der Umgang mit hoch entwickelten Cyber-Angriffen


features

Eine neue Herausforderung 
Die Sicherheit von Endpunkten ist heute eines der wichtigsten Themen. Ende November 2015 standen die Endpunkte bei 71 % der C-Level IT- und Sicherheitsentscheider ganz oben auf der Liste der sicherheitsrelevanten Bereiche. Diese zunehmende Sorge wird durch neue Bedrohungen durch ausgeklügelte Angriffe auf geistiges Eigentum und kritische geschäftliche Informationen befeuert. Traditionelle Schutzmaßnahmen sind bei diesen Angriffen ineffektiv. 70 % der Führungskräfte sind mit den bereits vorhandenen Sicherheitsmaßnahmen nicht zufrieden. Daher ist ein neuer Ansatz erforderlich.

Anti-Malware-Lösungen werden weiterhin zum Schutz vor Massenangriffen durch Malware eingesetzt. Heute treten jedoch auch neue, ausgeklügeltere und zielgerichtetere Bedrohungen auf. Seit dem Aufkommen von staatlichen Cyberangriffstools wie Stuxnet und Regin vergeht kaum ein Tag ohne einen Angriff auf ein bekanntes Unternehmen oder ein behördliches Netzwerk (z. B. Sony Pictures oder das Bundestagsnetzwerk). Im Jahr 2015 wurden 2.122 Sicherheitsangriffe gemeldet. Gegenüber dem Vorjahr nahmen die zielgerichteten Angriffe gegen große Unternehmen um 40 % zu. Staatliche und politisch motivierte Hackergruppen (beispielsweise Strontium) zielen mit aktiven Angriffen auf große Unternehmen, geistiges Eigentum der öffentlichen Hand und Kundendatensätze.

Die Angriffe durch Anti-Malware-Software und die Behebung von Sicherheitslücken aufzuhalten, verursacht Probleme – was die Zunahme der Angriffe weiter befeuert. Angreifer haben keine Probleme damit, Anti-Malware-Sicherheitsmaßnahmen zu umgehen. Sie setzen ganz einfach gar keine Malware ein (trifft auf bis zu 60 % der gemeldeten Fälle zu) und setzen stattdessen auf legitime Tools für das Betriebssystemmanagement und Penetrationstests. Mit einfachen Social-Engineering-Verfahren verschaffen sie sich über die Benutzer Zugriff und Berechtigungen. Maßgeschneiderte Zero-Day-Exploits (0-Day) nutzen außerdem Betriebssystem- und Anwendungsfehler aus, um unerkannt in Netzwerke einzubrechen. Die Zahlen sind wirklich alarmierend. Die fünf wichtigsten Zero-Day-Exploits des Jahres 2014 wurden insgesamt 295 Tage durch Angreifer ausgenutzt, bevor entsprechende Patches verfügbar waren. Im Schnitt benötigt der Angreifer für einen Einbruch nur wenige Minuten. Die Sicherheitsteams benötigen hingegen durchschnittliche 221 Tage, um einen Einbruch zu erkennen Die überwältigende Mehrheit von 81 % gibt an, dass Anti-Malware-Lösungen bei zukünftigem Schutz gegen fortschrittliche Angriffe keine Rolle spielen werden. FBI-Direktor James Comey sagte bereits im Oktober 2014: „Es gibt in den USA zwei Arten von großen Unternehmen: diejenigen, die gehackt wurden, und die, die noch nicht wissen, dass sie gehackt wurden.“

Der Post-Breach-Ansatz Anti-Malware-Lösungen für Endpunkte wie Windows Defender arbeiten mit einem Pre-Breach-Ansatz. Sie agieren als Wächter, prüfen eingehende Dateien und den Arbeitsspeicher auf schädliche Inhalte und blockieren diese in Echtzeit. Wie oben aufgezeigt, sind solche Lösungen jedoch nicht absolut sicher – egal, wie gut sie auch immer sein mögen. Sie können nicht gegen zielstrebige und raffinierte Angreifer schützen, die über umfangreiche Mittel verfügen und 0-Day-Exploits, Social-Engineering und legitime Software nutzen, um sich Zugriffsmöglichkeiten, Rechte und Kontrolle zu verschaffen. Daher ist ein neuer PostBreach-Ansatz für Sicherheitslösungen erforderlich, der den Pre-Breach-Ansatz ergänzt.

Im Gegensatz zum Pre-Breach-Ansatz geht der Post-Breach-Ansatz davon aus, dass der Sicherheitsvorfall bereits aufgetreten ist. Er agiert sozusagen als Flugdatenschreiber und Tatortermittler. Er überwacht Sicherheitsereignisse auf dem Endpunkt und nutzt umfangreiche Algorithmen zur Erkennung von Zusammenhängen und Anomalien, um bei einem erkannten laufenden Angriff Alarme auszulösen. Der Post-Breach-Ansatz nutzt die Tatsache, dass ein Angreifer nach dem initialen Einbruch verschiedene Aktivitäten ausführen muss. Er muss beispielsweise das Netzwerk erkunden, Maßnahmen zur Verschleierung treffen, das Netzwerk nach wertvollen Elementen durchsuchen und Informationen extrahieren. Der Post-Breach-Ansatz stellt Sicherheitsteams die Informationen und Tools bereit, die diese zur Erkennung, Untersuchung und Reaktion auf Angriffe benötigen. Angriffe, die andernfalls unerkannt bleiben würden. Der Post-Breach-Ansatz schließt dann die Lücke zum Pre-Breach-Ansatz mit AntiMalware-Lösungen und anderen Funktionalitäten, indem er diesen Informationen und Beispiele zum Angriff bereitstellt. Er ergänzt also die Pre-Breach-Sicherheitslösungen.

Der neue Post-Breach-Ansatz findet weltweite Beachtung und schafft ein neues Marktsegment im Sicherheitsbereich (Endpoint Detection and Response (EDR) von Gartner oder Specialized Threat Analysis and Protection (STAP) von IDC). Unternehmen sollten ihre Sicherheitslösungen zum Schutz der Endpunkte um weitere Technologien zur Erkennung und Reaktion ohne eine Signaturerkennung ergänzen. Diese Technologien müssen Bedrohungen analysieren, die versuchen, sich vor den gängigen Sicherheitstechnologien zu verbergen.

sicherheitsansatz

Der entsprechende Markt umfasst bis zum Jahr 2019 geschätzte 3 Mrd. US-Dollar mit einer Wachstumsrate von 27,6 %, und zurzeit werden viele verschiedene Anbieter im entsprechenden Bereich aktiv. Dazu gehören große Sicherheitsanbieter wie Symantec und Dell, aber auch Startups wie FireEye, Bit9 und CrowdStrike (mit über 100 Mio. US-Dollar Kapital von Google im Jahr 2015). Bei einer Umfrage gaben 82 % der C-Level IT-Entscheider einen Bedarf für tief greifendere Funktionalitäten zur Endpunktanalyse an, die sie bei der Erkennung von Einbrüchen und der entsprechenden Reaktion unterstützten.

Die Post-Breach-Lösung von Windows
Mit dem Windows 10 Anniversary Update wird eine eigene Post-Breach-Lösung von Windows namens „Windows Defender Advanced Threat Protection“ (ATP) veröffentlicht. Diese Lösung ergänzt die bestehende Endpunktsicherheit durch Windows Defender, SmartScreen und verschiedenste Features zur Betriebssystemhärtung. Der neue Dienst wurde zur Erkennung von hoch entwickelten Angriffen und der Reaktion auf diese Angriffe entwickelt. Er nutzt in Windows 10 integrierte, tief greifende Verhaltenssensoren und ein leistungsstarkes Cloud-Backend zur Sicherheitsanalyse, um Unternehmen die Erkennung, Untersuchung und Reaktion auf zielgerichtete, ausgeklügelte und hoch entwickelte Angriffe auf ihre Netzwerke zu ermöglichen.

Windows Defender ATP bietet den Unternehmen die folgenden Vorteile:

  • Erweiterte Angriffserkennung: Über verhaltensbasierte Analysen und Anomalieanalysen auf allen Unternehmens-Endpunkten werden Alarme generiert. Die erheblichen Funktionalitäten zur Sicherheitsanalyse und die unübertroffenen Möglichkeiten über alle Komponenten hinweg heben die Lösung von anderen ab. Windows Defender, Bing, Internet Explorer und Office 365 liefern Daten zu mehr als 1 Mrd. Endpunkten weltweit.
  • Untersuchung und Reaktion: Eine Sicherheitskonsole ermöglicht Unternehmen die einfache Untersuchung von Alarmen, die proaktive Untersuchung des Netzwerkes auf Angriffsspuren, die Durchführung von forensischen Maßnahmen auf bestimmten Computern, die computerübergreifende Nachverfolgung der Aktivitäten des Angreifers im Netzwerk und das Abrufen detaillierter Dateiprofile für die gesamte Organisation.
  • Bedrohungsinformationen: Interne und externe Berichte und Indikatoren für bekannte Angreifer und markante Angriffe (z. B. Strontium) werden durch ein internes Team aus Sicherheitsexperten (Security Research Lab) und Drittanbietern überprüft und erweitert.
  • Bessere Integration: Die Lösung ist mit Windows Defender integriert und stellt Signale zu bisher unerkannten Bedrohungen bereit. So wird eine Ausbreitung verhindert. Für Office 365 werden Indikatoren zu Bedrohungen per E-Mail bereitgestellt. So kann das Team die Postfächer bereinigen und die Ausbreitung von gefährlichen E-Mails im Unternehmen verhindern.
Comments (0)

Skip to main content