Früherkennung gefragt: Erfolgreiche Hacker-Attacken

Verhaltensanalyse hilft, die „Dwell Time“ erfolgreicher Attacken zu verkürzen

[datensicherheit.de, 25.08.2020] Nach einer erfolgreichen Hacker-Attacke „verbringen Cyber-Kriminelle – halten Sie sich fest – im Schnitt 56 Tage in ihrer Zielumgebung“, warnt Egon Kando von Exabeam. Mitunter würden sie von der IT-Sicherheit erst nach Monaten oder Jahren entdeckt. Die „Dwell Time“ zu verkürzen, also die Verweildauer in Netzwerk, sei für die meisten Sicherheitsteams ein massives Problem, „weil diese bereits mit der Aufgabe überwältigt sind Angriffe abzuwehren“. Darüber hinaus hätten sie einfach keine Zeit, um aktiv nach bereits erfolgreichen Vorfällen zu suchen. Die Analyse von Benutzern und „Entities“ im Netzwerk sei eine der effektivsten Möglichkeiten, Angriffe auf Netzwerke abzuwehren – und helfe auch dabei, die Verweildauer erfolgreicher Angriffe zu verkürzen.

Foto: Exabeam

Egon Kando: Unternehmen können es sich einfach nicht mehr leisten, in Sachen Datensicherheit selbstgefällig zu sein!

Cyber-Kriminellen machen es sich nach erfolgreicher Attacke im Netzwerk gemütlich

In Filmen würden „Hacks“ oft als eine Art digitaler Bankraub dargestellt: „Die Hacker durchbrechen die Schutzmechanismen ihres Ziels auf dramatische Weise und haben dann nur wenige Minuten, um die begehrten Daten zu stehlen, während die IT-Sicherheit verzweifelt versucht die Angreifer zu stoppen.“ Die Realität sehe ganz anders aus, denn tatsächlich machten es sich die Cyber-Kriminellen meist im Netzwerk „gemütlich“ und verbrächten dort mitunter Monate oder Jahre vor ihrer Entdeckung.
Kando: „Wer so viel Zeit hat, kann natürlich sehr großen Schaden anrichten und die Verweildauer, auf Englisch ,Dwell Time‘ genannt, ist bei der Analyse von erfolgreichen ,Hacks‘ eine der wichtigsten Indikatoren, um festzustellen, wie schwerwiegend ein Angriff war.“ In vielen Fällen könnten bereits wenige Stunden Zugriff zu einer Kompromittierung erheblicher Datenmengen führen.

Nach der Attacke vor der Entdeckung 56 Tage in der Zielumgebung

In einem kürzlich erschienenen Bericht habe der globale Mittelwert der „Dwell Time“ von Cyber-Kriminellen vor ihrer Entdeckung bei 56 Tagen gelegen. Dieser Wert sei zwar deutlich besser als der des Vorjahres, als die Angreifer noch satte 78 Tage Zeit vor ihrer Entdeckung gehabt hätten. „In einigen Fällen blieben Verstöße jedoch mehrere Jahre lang unentdeckt, was für alle Beteiligten schwerwiegende Folgen hatte“, berichtet Kando.
Einer der Gründe dafür, dass Angriffe so lange unentdeckt bleiben könnten, sei die zunehmende Ausdehnung der Netzwerke der meisten Organisationen. „Je größer, verstreuter und unorganisierter solche Netzwerke werden, desto leichter fällt es Kriminellen, im Verborgenen zu bleiben.“ Einmal angekommen, navigierten die Angreifer unentdeckt durch das Netzwerk und scannten und exfiltrierten dabei Daten. Für Unternehmen, die sensible Kunden- oder geheime Forschungsdaten vorhalten, sei es natürlich ein Albtraum sich vorzustellen, dass sich Angreifer Monate oder gar Jahre unerkannt im Netzwerk aufhalten könnten. „Wie schwerwiegend solche lang andauernden Datenlecks für die betroffenen Unternehmen sind, belegen zahlreiche Beispiele“, unterstreicht Kando.

Albtraum der IT-Sicherheit: Jahrelang unentdeckte Attacken auf das Netzwerk

Es gebe unzählige Beispiele von Unternehmen, die Opfer von erfolgreichen „Hacks“ geworden seien, „deren Schäden in die Milliarden gingen“. Der US-amerikanische Finanzdienstleister Equifax habe nach Bekanntwerden eines großen Datenlecks 2017 beispielsweise 35 Prozent seines Börsenwerts verloren, „musste einen immensen Rufschaden hinnehmen und mehr als eine halbe Milliarde US-Dollar an Strafen bezahlen“.
Legendär, und in Sachen Verweildauer fast schon unerreicht, sei auch der Fall von Cathay Pacific aus dem Jahr 2018, bei dem 9,4 Millionen Passagierdaten kompromittiert worden seien. „Cathay Pacific brauchte mehr als sechs Monate für die Untersuchung, die eine Reihe schockierender Enthüllungen aufdeckte: Der früheste bekannte Zeitpunkt des unbefugten Zugriffs auf das Netzwerk war fast vier Jahre alt, nämlich im Oktober 2014.“ Die Angreifer seien also ganze vier Jahre unentdeckt im Netzwerk gewesen! „Und als wäre dies für Cathay Pacifics IT-Sicherheit nicht schon peinlich genug, war die Schwachstelle, über die die Angreifer eingedrungen waren, einfach auszunutzen und darüber hinaus sogar längst öffentlich bekannt“, führt Kando aus.

Attacken so früh wie möglich erkennen!

Beide Fälle dienten als Warnungen dafür, was im schlimmsten Fall geschehen könne, und als Beispiel, dass der Schaden begrenzt werden könne, „wenn die Verletzung der IT-Sicherheit so früh wie möglich erkannt wird“.
Dabei habe sich längst die Erkenntnis breitgemacht, dass jedes Unternehmen angreifbar sei – „und es nur eine Frage der Zeit ist, bis eine Sicherheitsverletzung auftritt“. Damit stelle sich die Frage, „welche Lösungen und Fertigkeiten die IT-Sicherheit benötigt, um diese böswilligen Aktivitäten so frühzeitig wie möglich erkennen zu können“.

Fortschrittliche Verhaltensanalyse bietet besseres Frühwarnsystem zum Aufdecken von Attacken

Offenbar sei es um die Fertigkeiten und eingesetzten Lösungen in vielen Unternehmen nicht gut bestellt, „wenn Angreifer im Schnitt gut zwei Monate Zeit haben es sich in einer Zielumgebung bequem zu machen“. Bei der Aufgabe, Angriffe entweder ganz zu verhindern oder die Verweildauer zu verkürzen, stünden viele Sicherheitsteams auf ziemlich verlorenem Posten.
Denn viele gängige Sicherheitslösungen produzierten vor allem eines: Fehlalarme. Um die Flut von Alarmen manuell abzuarbeiten, müssten die Teams viel Zeit aufwenden. Kando: „Dies lässt, wenn überhaupt, wenig Zeit sich mit dem noch längeren Prozess zu beschäftigen, Angreifer aufzuspüren, die es bereits ins Netzwerk geschafft haben, und diese zu beseitigen.“

Verdächtige Benutzer- oder Netzwerkaktivitäten effektiver identifizieren, um Attacken zu erkennen

Eine Technologie, die deutliche effektiver sei als die manuelle Bewertung von Sicherheitswarnungen, sei die Verhaltensanalyse. Sie könne dabei helfen, verdächtige Benutzer- oder Netzwerkaktivitäten effektiver zu identifizieren. Lösungen zu Verhaltensanalyse nutzten bereits bestehende Logs für Sicherheitsvorfälle – „was bedeutet, dass sie bereits den vollen Umfang und Kontext der zugehörigen Ereignisdetails kennen“.
Infolgedessen müssten Sicherheitsanalytiker nicht mehr eine große Anzahl von Ereignisprotokollen durchforsten, um von Hand Zeitleisten für Vorfälle zu erstellen. Durch den Wegfall dieses zeitaufwändigen Prozesses ließen sich potenzielle Sicherheitsverletzungen viel schneller erkennen, „wodurch die Sicherheitsteams Angreifern schnell auf die Spur kommen und die Verweildauer der Angreifer praktisch eliminiert wird“.

Traditionelle Sicherheitswerkzeuge und manuelle Analyse zur Abwehr von Attacken ungeeignet

Moderne Datenschutzbestimmungen seien strenger denn je, „was bedeutet, dass Unternehmen es sich einfach nicht mehr leisten können, in Sachen Datensicherheit selbstgefällig zu sein“. Aber da die Netzwerke heute größer und verstreuter seien als je zuvor, sei es unrentabel geworden, sie mit traditionellen Sicherheitswerkzeugen und manueller Analyse zu schützen.
Neue Technologien, wie z.B. die fortschrittliche Verhaltensanalyse, machten die zeitraubende Kleinarbeit, die ältere Tools erforderten, überflüssig, vermieden Fehlalarme und würden helfen, echte Bedrohungen viel früher zu erkennen.

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2020
FireEye Insights: Aktuelle Ransomware-Trends 2020 / Die Anzahl der Fälle stieg von 2017 bis 2019 um 860 Prozent

datensicherheit.de, 24.07.2019
Winnti: Zahlreiche Cyberangriffe auf DAX-Unternehmen / Vectra verweist auf mangelnde Transparenz in vielen Netzwerken

datensicherheit.de, 30.11.2016
CATS-Event 2016: HTW-Studenten simulieren Hackerangriffe / Gemeinschaftsveranstaltung der HTW Berlin und LightCyber am 30. November 2016 in Berlin