Tipps sollen Sicherheitsteams bei der Erstellung sicherer Backups unterstützten

[datensicherheit.de, 20.03.2024] Zum bevorstehenden diesjährigen „World Backup Day“ am 31. März 2024 hat Rob T. Lee, „Chief Curriculum Director“ und „Faculty Lead“ beim SANS Institute, fünf Tipps zusammengestellt, um Sicherheitsteams bei der Erstellung sicherer Backups zu unterstützten:

Foto: SANS Institute

Rob T. Lee: KI-Algorithmen können Techniken zur Daten-Deduplizierung und -komprimierung verbessern…

1. Tipp: Unternehmen sollten eine umfassende Bewertung durchführen!

Lee: „Sie sollte die Unterstützung von ,cloud’-nativen APIs, die Fähigkeit zur Handhabung von Multi-,Cloud’-Umgebungen, die Skalierbarkeit zur Anpassung an ,Cloud’-Workloads sowie robuste Verschlüsselungs- und Sicherheitsfunktionen umfassen.“

Es gelte, die Leistung der Backup-Lösung in Bezug auf Geschwindigkeit, Zuverlässigkeit und Datenintegrität während der Übertragung in und aus der „Cloud“ zu testen. „Eine Gap-Analyse, bei der die aktuellen Fähigkeiten mit den gewünschten ,Cloud’-Funktionen verglichen werden, kann verbesserungsbedürftige Bereiche aufzeigen“, so Lee.

2. Tipp: Unternehmen sollten beachten, dass die Integration lokaler Sicherungssysteme in Cloud-Dienste eine Reihe von Herausforderungen birgt!

Dazu zählten Geschwindigkeitsbegrenzungen bei der Datenübertragung, Sicherheitslücken bei der Datenübertragung und Kompatibilitätsprobleme zwischen lokaler Hardware und „Cloud“-Plattformen. Zu den Lösungen gehörten der Einsatz von „Cloud“-Gateway-Appliances, welche eine nahtlose Verbindung zwischen lokalen Systemen und „Cloud“-Speicher herstellten.

Lee ergänzt: „Darüber hinaus empfiehlt sich die Verwendung dedizierter Netzwerkverbindungen für eine schnellere und sicherere Datenübertragung und die Nutzung hybrider ,Cloud’-Backup-Lösungen, die für den Einsatz in beiden Umgebungen konzipiert sind.“ Die Einführung einer „Cloud“-Management-Plattform könne auch die Orchestrierung von Ressourcen in der hybriden Umgebung vereinfachen.

3. Tipp: Unternehmen müssten Cloud-Anbieter und Rechenzentren auswählen, welche in Ländern angesiedelt sind, die ihre Anforderungen an die Datenhoheit erfüllen!

Es sei wichtig, die rechtlichen Rahmenbedingungen für die Datenspeicherung und -übertragung zu kennen, z.B. DSGVO in Europa oder CCPA in Kalifornien. Durch die Implementierung einer robusten Datenklassifizierung und die Durchsetzung von Richtlinien könne sichergestellt werden, „dass sensible Daten gemäß den Compliance-Standards behandelt werden“.

Die Verschlüsselung von Daten im Ruhezustand und bei der Übertragung sowie umfassende Zugriffskontrollen könnten die Datenintegrität und -vertraulichkeit weiter schützen.

4. Tipp: Die Einführung von Multi-Cloud-Strategien und Edge Computing wird flexiblere und dezentralisierte Datensicherungslösungen erforderlich machen!

Künftige Backup-Systeme müssten Daten effizient über verschiedene „Cloud“-Umgebungen hinweg verwalten und dabei Datenverfügbarkeit sowie -integrität sicherstellen und gleichzeitig die Latenzzeiten minimieren. „,Edge Computing’, bei dem die Datenverarbeitung näher an der Datenquelle stattfindet, wird neue Ansätze für die Datensicherung erfordern, die der verteilten Natur der Datenerzeugung und -speicherung Rechnung tragen können.“

Technologien wie die Blockchain könnten unveränderliche und überprüfbare Datensicherungen ermöglichen und so die Sicherheit und das Vertrauen in Backup-Prozesse erhöhen.

5. Tipp: Automatisierung und KI könnten cloud-kompatible Backup-Strategien erheblich verbessern!

Lee begründet: „Indem sie die Backup-Zeitpläne auf der Grundlage von Datennutzungsmustern optimieren, potenzielle Datenverluste vorhersagen und die Ressourcen automatisch an die Backup-Anforderungen anpassen.“ KI-Algorithmen könnten Techniken zur Daten-Deduplizierung und -komprimierung verbessern, wodurch die Speicherkosten gesenkt würden und die Backup-Effizienz erhöht werde.

Darüber hinaus könne KI-gesteuerte Sicherheit dabei helfen, Bedrohungen in Echtzeit zu erkennen und abzuschwächen, um die Integrität der Backup-Daten zu gewährleisten. Die Automatisierung vereinfache die Verwaltung komplexer Multi-„Cloud“-Umgebungen und sorge für konsistentere und zuverlässigere Backup-Prozesse.

Weitere Informationen zum Thema:

datensicherheit.de, 31.03.2023
World Backup Day: Schlüsselfaktoren moderner Datensicherung in Unternehmen / Datensicherungsstrategien müssen auch in hybriden Strukturen funktionieren

datensicherheit.de, 30.03.2019
World Backup Day: Tipps für die richtige Datensicherung / ESET empfiehlt Unternehmen und Privatanwendern, der Absicherung ihrer Daten mehr Priorität einzuräumen

Inzwischen Zehntausende von Kaseya-Kundensystemen weltweit betroffen

[datensicherheit.de, 07.07.2021] Mit dem Kaseya-Vorfall kam es offensichtlich erneut zu einem Supply-Chain-Angriff, an dem ein weiteres IT-Dienstleistungsunternehmen beteiligt war. „Angreifer verschafften sich Zugang zu den IT-Systemen, um Code zu ändern, der als einfaches Update an Kunden und deren Kunden verschickt wurde und inzwischen Zehntausende von Kundensystemen weltweit betrifft.“ Bösartiger Code sei angesichts der bestehenden Prozesse als vertrauenswürdig deklariert worden und habe sich lateral in den Netzwerken verbreitet, um IT-Systeme quasi als Geiseln zu nehmen. Ryan Chapman, „Instructor & Author“ am SANS Institute, geht in seiner Stellungnahme zu diesem Vorfall auf den „Faktor Mensch“ ein.

Foto: SANS Institute

Ryan Chapman: Das neue Normal in der Welt der Cyber-Sicherheit – IT-Dienstleister angreifen, um Kettenreaktion auszulösen

Kaseya-Vorfall erinnert an SolarWinds Sunburst und den Windows Exchange-Angriffen der HAFNIUM-Gruppe

Die ersten Opfer in Europa seien ein schwedischer Supermarkt, ein Bahnunternehmen und eine Apothekenkette. Es werde erwartet, dass die Kettenreaktion Organisationen in mindestens 17 Ländern treffe, darunter auch Deutschland, „wo drei IT-Dienstleistungsunternehmen und deren Kunden, vor allem Kleinstunternehmen, ebenfalls betroffen sind“.
Insgesamt handele es sich wohl um mehr als 1.000 infizierte Computer. Der Fall ähnele dem von „SolarWinds Sunburst“ und den „Windows-Exchange“-Angriffen der „HAFNIUM“-Gruppe. Leider scheine es das „neue Normal in der Welt der Cyber-Sicherheit“ zu sein, IT-Dienstleister anzugreifen, um eine Kettenreaktion ähnlich fallender Dominosteine auszulösen.

Auch beim Kaseya-Vorfall: Wichtigster Aspekt für Cyber-Sicherheit eines Unternehmens sind Menschen

Für Chapman sind nach eigenen Angaben die Menschen der wichtigste Faktor, wenn es darum geht, Ransomware zu bekämpfen. Menschen seien von zentraler Bedeutung, denn man könne keine Prozesse oder Technologien ins Spiel bringen, geschweige denn richtig verwalten, „wenn man keine Menschen zur Verfügung hat“.
Zu oft habe es Incident-Response-Fälle gegeben, bei denen der ursprüngliche Infektionsvektor durch eine nicht befolgte Richtlinie oder durch eine technologische Lösung ausgelöst worden sei, „die nicht richtig implementiert oder konfiguriert war“. Chapman betont: „Der wichtigste Aspekt für die Cyber-Sicherheit eines Unternehmens sind daher die Menschen. Und zwar gut ausgebildete Mitarbeiter, die unnötige Fehler vermeiden.“

Technische Implementierung einer Endpoint Detection Response allein unzureichend zur Bewältigung des Kaseya-Vorfalls

„Eine technische Implementierung wie eine starke ,Endpoint Detection Response‘-Lösung nützt einem Unternehmen möglicherweise nichts, wenn keine Alarme generiert werden oder wenn niemand diese Alarme im Blick hat. Managemententscheidungsprozesse wie eine Sicherheitsüberprüfung in die Entscheidungen des Änderungskontrollgremiums einzubeziehen, nützen nichts, wenn die ,Mitarbeiter‘, die diese Änderungen überprüfen, nicht aufpassen.“
Chapman ergänzt abschließend, dass es auch nichts nutze, wenn sie nicht wüssten, worauf sie achten müssten. „Wir als ,Security Community‘ haben uns für Technologien und Prozessen eingesetzt, aber wir vergessen oft den allzu wichtigen menschlichen Aspekt bei diesen Maßnahmen“, warnt er.

Weitere Informationen zum Thema:

datensicherheit.de, 06.07.2021
Kaseya-Ransomware-Angriffe – Sicherheitsteams rund um den Globus machen Überstunden / REvil soll derzeit eine der produktivsten Ransomware-Gruppen sein

datensicherheit.de, 06.07.2021
Kaseya-Vorfall: Womöglich Tausende Unternehmen ins Visier Cyber-Krimineller geraten / Auch deutsche Unternehmen von Ransomware betroffen, welche auf Schwachstellen in der Kaseya-Software abzielt

SANS Institute
Cyber Security Training

SANS Institute stellt Threat Hunting Survey 2020-Ergebnisse vor

[datensicherheit.de, 21.12.2020] SANS Institute, weltweit agierender Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Ergebnisse der bereits fünften Ausgabe des Threat Hunting Surveys 2020 vor. Befragt wurden 177 IT-Sicherheitsexperten, die in weltweit tätigen Unternehmen und Organisationen tätig sind. Einerseits nimmt die Anzahl der Threat Hunter zu, jedoch ist das Hunting nicht die Hauptaufgabe. Darüber hinaus besteht noch Nachholbedarf beim Einsatz von automatisierten Threat Intelligence-Tools, die bei der Zusammenstellung nützlicher und anwendbarer Bedrohungsdaten helfen.

Tools zum Threat Hunting

Die Kluft zwischen den Tools zum Threat Hunting und den im SOC verwendeten Tools wird immer kleiner. Dies gilt auch für das Korrelieren von Daten und das Sammeln von externen Quellen und Referenzen. Die Festlegung von Taktiken, Tools und Prozessen (TTPs) für die Jagd auf böswillige Akteure innerhalb eines Netzwerks ist jedoch ein Prozess, der Threat Hunting-Teams weit außerhalb der Funktion des SOC stellt. Wir konnten einen positiven Anstieg bei den Hunting-Teams feststellen, die TTPs zur Verfolgung von Bedrohungsakteuren einsetzen. Die Umfrageergebnisse verbessern auch das Verständnis für die Nützlichkeit des Huntings nach Schwachstellen oder unbekannten Fehlkonfigurationen in einer Umgebung.

Die wichtigsten Ergebnisse auf einem Blick:

• 52 Prozent der Unternehmen stufen die Suche nach unbekannten Bedrohungen als wertvoll ein
• 48 Prozent der Hunting-Teams speichern Bedrohungsdaten in unstrukturierten Dateien (z. B. PDFs, Textdateien, Tabellenkalkulationen)
• 75 Prozent der Mitarbeiter von Threat Hunting-Teams übernehmen andere wichtige Funktionen in ihrem Unternehmen
• 43 Prozent der Hunting-Teams nutzen automatisierte Lösungen für das Threat Hunting
• 53 Prozent der Unternehmen verwenden Ad-hoc-Methoden, um die Effektivität des Threat Huntings zu messen

Mathias Fuchs, SANS-Instructor, Bild: SANS

„Threat Hunting-Teams sind in der Regel eine eigenständige Einheit von Incident Respondern und Threat-Intelligence-Experten, die Hypothesen aufstellen und diesen nachgehen. Unsere Umfrage zeigt, dass die Zahl der Unternehmen, die Threat Hunting als eine Form der Compliance oder als eine Routine-Aktivität nutzen, erneut zugenommen hat. Die Ergebnisse zeigen zudem, dass Threat Hunting-Teams beginnen, ihre Prozesse und Verfahren zu formalisieren – ein Trend, der für die Branche insgesamt in die richtige Richtung geht, auch wenn die Nutzung von automatisierten Tools wie Threat Intelligence-Plattformen noch ausbaufähig ist“, erklärt Mathias Fuchs, SANS-Instructor für den Kurs FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics und Studienautor.

Zu den kompletten Ergebnissen der Umfrage geht es hier: https://www.sans.org/reading-room/whitepapers/analyst/membership/40020

Wer sich eine Erläuterung der Studienergebnisse der beiden Studienautoren Mathias Fuchs und Joshua Lemon anhören möchte, kann hier die Aufzeichnung des Webinars aufrufen: https://www.sans.org/webcasts/2020-threat-hunting-survey-results-114555

Gesponsert wurde die Umfrage von Analyst 1, Anomali, BlackBerry, Cisco, Corelight, Domaintools, Secureworks, Sophos, Swimlane und ThreatQuotient.

Das SANS Institute lädt ab sofort wieder zur beliebten und kostenlosen SANS Holiday Hack Challenge KringleCon Teil 3 ein. Wer die Challenge gewinnt, hat wie immer die Aussicht auf einen Preis.

Wie üblich bietet der Schulungsexperte alle Spezial Hands-On Kurse wie Core Netwars, DFIR Netwars, GRID Netwars und viele andere online aus. Hier gibt es eine Übersicht der aktuell verfügbaren Cyber Range, die den IT-Sicherheitsexperten dabei hilft über die Weihnachtfeiertage fokussiert zu bleiben und trotzdem für spielerische Abwechslung sorgt.

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol

datensicherheit.de, 23.03.2020
Digital Guardian führt Managed Detection & Response-Service ein

Trainieren, Spielen und Zertifizieren als Online- und Präsenztraining werden mit der GIAC-Zertifizierung und den praktischen NetWars Continuous Challenges kombiniert

[datensicherheit.de, 19.05.2020] Das SANS Institute, weltweiter Anbieter von Cybersicherheitsschulungen und -zertifizierungen, führt den Flexi-Pass ein, der bis zum 31. Mai 2020 gilt.

Präsenzchulungen in Trainingsräumen sind derzeit bis zum 1. September ausgesetzt. Aus diesem Grund hat SANS ein Paket geschnürt, um den wachsenden Bedarf an Schulungen zur Cybersicherheit zu unterstützen und die Experten an der Front zu ermutigen, ihre Fähigkeiten auf dem neuesten Stand zu halten. Auf diese Weise sollen ihre Organisationen gegen die Zunahme von Cyberattacken wie Phishing, Lösegeldforderungen, Loader, DDoS-Angriffe usw. während der COVID-19-Pandemie geschützt werden.

Die Cyber Security Experten des SANS Institutes hatten kürzlich festgestellt, dass das Interesse der Angreifer an RDP-Servern (Remote Desktop Protocol) im März 2020 um 30 Prozent gestiegen ist. Dieser Anstieg fällt zusammen mit einer signifikanten Zunahme von exponierten RDP-Servern, wie von Shodan, der Suchmaschine, die es den Benutzern ermöglicht, das Internet nach angeschlossenen Geräten zu durchsuchen, gemessen wurde.

SANS-Flexi-Pass – Infografik, Bild: SANS Institute

Interessenten profitieren von den folgenden SANS-Schulungsprodukten, die alle in einem Paket zum Preis von 7.519 USD angeboten werden:

• 8 Monate Zugang zu SANS OnDemand (Online-Schulung zum Selbststudium)
• SANS Live Online (von Ausbildern geleitete Online-Live-Streaming-Schulung)
• SANS In-Person-Schulung (Live-Schulung im Klassenzimmer)

Zusätzlich zum Zugang zu diesen drei Ausbildungsformaten ist im Angebot folgendes enthalten:

• Einen kostenlosen GIAC-Zertifizierungsversuch (einschließlich gedruckter Kursunterlagen)
• Einen kostenlosen 8-monatige NetWars-Continous Zugang
• Elektronische Kursunterlagen

Herbert Abben, Director DACH Region beim SANS Institute, Bild: SANS Institute

„Wir dienen der InfoSec Community und hören ständig auf ihre Bedürfnisse, um sie in ihrem Kampf gegen cyberkriminelle Gruppen auf der ganzen Welt bestmöglich zu unterstützen, die ihre Aktivitäten gerade in diesen Zeiten nicht pausieren, sondern verstärken. Mit dem Flexi-Pass bieten wir ein neues umfassendes Paket auf höchstmöglichem Niveau, einschließlich GIAC-Zertifizierungen und unserem berühmten Netwars für acht Monate, mit dem sofort begonnen werden kann und das alle Lernformen unterstützt“, sagt Herbert Abben, Director DACH Region beim SANS Institute.

Weitere Informationen zum Thema:

SANS Institute
Informationen zum Flexi-Pass

SANS Institute
SANS Cheat Sheets

datensicherheit.de, 18.03.2020
SANS Institute: Kostenloses „Securely Working from Home“ Deployment Kit veröffentlicht

Zuwachs von 30 Prozent festgestellt / Die Ergebnisse deuten auf ein Risiko für Unternehmen hin, die während des COVID-19-Ausbruchs schnell Telearbeit per RDP ermöglicht haben

[datensicherheit.de, 10.04.2020] Das SANS Institute, Anbieter von Cybersicherheitsschulungen und -zertifizierungen, konnte über die eigenen Systeme einen Anstieg von Angriffen auf RDP entdecken. Die Suchmaschine Shodan zeigt gleichzeitig eine Zunahme von exponierten RDP-Servern im Monat März.

Ergebnisse für März besorgniserregend

Die Ergebnisse für März sind besorgniserregend, da sie auch mit der massiven Zunahme von Unternehmen weltweit zusammenfallen, die ihre Mitarbeiter ins Home-Office geschickt haben. Aufgrund der raschen Ausbreitung von COVID-19 mussten sie ihre Büros schließen und ihren Mitarbeitern die Möglichkeit geben, von zu Hause aus zu arbeiten. Nur so konnten sie die Beschränkungen der sozialen Distanzierung einzuhalten. Es ist zu befürchten, dass einige Unternehmen und Behörden RDP eingeführt und damit vertrauliche Systeme dem öffentlichen Internet ausgesetzt haben, ohne diese abzusichern.

Bild: SANS Technology Institute

Dr. Johannes Ullrich, SANS Fellow und Dean of Research beim SANS Technology Institute

Dr. Johannes Ullrich, SANS Fellow und Dean of Research beim SANS Technology Institute, berichtet: „Die Anzahl der Quell-IP-Adressen, die von Angreifern verwendet werden, um das Internet nach RDP zu durchsuchen, stieg im März um etwa 30 Prozent. Das ist eine Erhöhung von durchschnittlich 2.600 angreifenden IP-Adressen auf etwa 3.540 pro Tag in den absoluten Zahlen. RDP ist kein Protokoll, das robust genug ist, um dem Internet ausgesetzt zu werden. Infolgedessen sehen wir jetzt Angreifer, die aktiv mit schwachen Zugangsdaten handeln, die sie für diese RDP-Server identifiziert haben. Ein kompromittierter RDP-Server kann zu einer vollständigen Kompromittierung des exponierten Systems führen und wird wahrscheinlich dazu benutzt werden, weitere Systeme innerhalb des Netzwerks anzugreifen und auszunutzen.“

Das Remote Desktop Protocol (RDP) ist ein von Microsoft entwickeltes Protokoll, welches Benutzern eine grafische Oberfläche bietet, um über eine Netzwerkverbindung eine Verbindung zu einem anderen Computer herzustellen. Es ist eine kostengünstige und einfache Möglichkeit für Unternehmen, Mitarbeitern das Arbeiten aus der Ferne zu ermöglichen. Der Benutzer verwendet zu diesem Zweck RDP-Client-Software, während auf dem anderen Computer RDP-Server-Software ausgeführt werden muss.

Zugriff nach Möglichkeit nur über VPN

Unternehmen, die RDP implementiert haben, rät Ullrich: „Verwenden Sie eindeutige, lange und zufällige Kennwörter, um Ihre RDP-Server zu sichern, und bieten Sie nach Möglichkeit nur Zugriff über ein VPN. Microsoft bietet auch RDP-Gateways an, mit dem sich starke Authentifizierungsrichtlinien implementieren lassen. Sie können versuchen, den Zugriff auf RDP von bestimmten IP-Adressen aus einzuschränken, wenn Sie im Moment nicht in der Lage sind, ein VPN zu implementieren. Dies kann jedoch schwierig sein, wenn Ihre Administratoren derzeit von zu Hause aus mit dynamischen IP-Adressen arbeiten.“

„Eine andere Möglichkeit ist die Verwendung eines Cloud-Servers als Ausgangsbasis“, führt Ullrich aus. „Stellen Sie den Cloud-Server auf eine Whitelist und verwenden Sie sichere Protokolle wie SSH, um sich mit dem Cloud-Server zu verbinden. Diese Technik kann als Schnelllösung funktionieren, wenn Sie keine Ausfallzeiten riskieren wollen, während alle Mitarbeiter aus der Ferne arbeiten. Viele Organisationen sind derzeit nicht bereit, einen Verlust des Zugangs zu geschäftskritischen Systemen zu riskieren. Die Änderung von Fernzugriffs- und Firewall-Regeln kann zu einem Verlust des Zugriffs führen, der in einigen Fällen nur durch Personal vor Ort wiederhergestellt werden kann.“

SANS hat erkannt, dass das Coronavirus Unternehmen und Behörden auf der ganzen Welt dazu veranlasst hat, ihre Belegschaft vom Büro ins Home-Office zu schicken. Allerdings fehlen vielen Organisationen die Richtlinien, Ressourcen oder Schulungen, um ihre Mitarbeiter in die Lage zu versetzen, dies sicher zu tun. Aus diesem Grund bietet die Organisation seit dem 16. März das Deployment Kit „Securely Working from Home“ kostenlos an. Das Kit bietet Unternehmen eine Schritt-für-Schritt-Anleitung, wie sie schnell ein Schulungsprogramm für ihre Mitarbeiter an entfernten Standorten einrichten können. Alle Schulungsmaterialien und -ressourcen, die zur Absicherung einer mehrsprachigen Remote-Belegschaft erforderlich sind, sind in dem Kit enthalten.

Weitere Informationen zum Thema:

datensicherheit.de, 17.03.2020
COVID-19: Pandemie erzwingt Arbeit im Home-Office

datensicherheit.de, 12.02.2020
Corona-Virus: Gefährliche E-Mails virulent

datensicherheit.de, 19.02.2020
SANS Institute: Cloud-Nutzung treibt die Ausgaben für Cybersicherheit

[datensicherheit.de, 24.12.2019] Nach Angaben von Vectra hat das SANS Institute im Auftrag das Whitepaper mit dem Titel „Threat Hunting with Consistency“ veröffentlicht. Dieses stellt demnach einen alternativen Ansatz für die Bedrohungssuche vor: „Dieser Ansatz setzt voraus, die ,MITRE ATT&CK Matrix‘ als Vokabular zu verwenden, um den Kontext zu umreißen. Dies bedeutet, zunächst anhand von übergeordneten Begriffen für bestimmte Verhaltensweisen – wie Privilegieneskalation, Seitwärtsbewegung und Exfiltration – die Absicht von Bedrohungsakteuren zu identifizieren, bevor die Analysten diesen Aktivitäten im Detail nachgehen.“ Hierbei gelte es, die Bedrohungsjagd mit bekannten Zielen, Techniken und Taktiken von Bedrohungsakteuren verknüpfen.

Unbekanntes: Sicherheitsteams haben nach Erfahrungen von Vectra oft Schwierigkeiten im Umgang

Dadurch werde die Bedrohungssuche im Kontext der Frage ausgeführt, wie ein Angreifer ein bestimmtes Ziel in der jeweiligen Umgebung erreichen kann. Es gehe auch darum, dass ein Sicherheitsteam ein gemeinsames Vokabular findet, um die Bedrohungsjagd konsistent zu machen.
Leider hätten viele Sicherheitsteams nach Erfahrungen von Vectra oft Schwierigkeiten im Umgang mit dem „Unbekannten“. Das Unbekannte beziehe sich auf Ereignisse, welche das Unternehmen noch nicht erlebt hat.
Sicherheitsteams nutzten sowohl die Erfahrung der Analysten als auch das institutionelle Wissen aus früheren Vorfällen. „Wenn ein Unternehmen sein institutionelles Wissen nicht pflegt und dafür sorgt, dass es abrufbar ist, müssen Analysten mit dem beginnen, was sie wissen: Dies ist die erste Hürde, an der die Bedrohungsverfolgung bereits scheitern kann.“

Vectra-Whitepaper soll neuen Ansatz aufzuzeigen mit der Bedrohungssuche umzugehen

Frühere Techniken der Bedrohungssuche hätten sich auf das konzentriert, was ein Analytiker in Bezug auf die Umgebung weiß oder vermutet. Gängige Ansätze für die Bedrohungssuche umfassten das Auffinden von bekannten bösartigen Prozessbeziehungen oder Parametern der Befehlszeilenausführung, die Suche nach Missbrauch oder unerklärlicher Aktivität von privilegierten Konten sowie das Auffinden von Feeds von Drittanbietern, die Indikatoren für die Aktivität von Bedrohungsakteuren lieferten.
Zur richtigen Zeit während eines Angriffs oder einer Malware-Infektion könnten nach Meinung von Vectra einige der genannten Techniken bei der Identifizierung bösartiger Aktivitäten äußerst nützlich sein. Es seien jedoch nur punktuelle Maßnahmen: „Wenn ein Bedrohungsakteur nicht gerade dabei ist, die beschriebenen Aktivitäten durchzuführen, oder wenn das Unternehmen nicht über eine langfristige Datenspeicherung verfügt, wird eine Bedrohung gar nicht oder zu spät erkannt.“
Ziel des Vectra-Whitepapers sei es eben, einen neuen Ansatz aufzuzeigen, wie Unternehmen mit der Bedrohungssuche umgehen. Anstatt über einzelne Teile nachzudenken oder betriebssystemspezifische Begriffe zu verwenden, sollten sie ihre „Umgebung als eine Einheit betrachten, die auf Bedrohungen auf unterschiedliche, aber zusammenhängende Weise reagiert“. Darüber hinaus sollten sie ihre Umgebung in der gleichen Weise betrachten, wie es die Bedrohungsakteure tun würden, um deren Techniken gezielt abzuwehren.

Autoren des Vectra-Whitepapers empfehlen, „ATT&CK Matrix“ von MITRE zu verwenden

Wenn die Herangehensweise neugestaltet wird, sollte auch das Fachvokabular neugestaltet werden. Hierbei empfehlen die Autoren des Whitepapers laut Vectra, die „ATT&CK Matrix“ von MITRE zu verwenden, um ihre Bedrohungsjagdaktivitäten in einen konsistenten Rahmen zu fassen. „Indem sich Sicherheitsanalysten auf die Frage konzentrieren, wie ein Bedrohungsakteur einen bestimmten Teil eines Angriffs ausführen könnte, müssen sie die wichtigsten Teile der Umgebung berücksichtigen und wie diese zusammenwirken.“
Wenn Analysten beispielsweise das Konzept der Exfiltration untersuchen, würden standardmäßig Netzwerk- und Host-basierte Hinweise kombiniert. Beide seien nützlich und sollten gemeinsam genutzt werden, um nach einer Technik und nicht nach einer Idee zu suchen. Wenn „ATT&CK“ als Leitvokabular verwendet wird, beginnen sich laut Vectra die internen Prozesse zu verändern. Das Team werde sich mit der Suche nach Anzeichen von Exfiltration oder Privilegieneskalation vertraut gemacht haben und könne bei Bedarf den Fokus einschränken.
Durch die Verwendung dieser neuen Sprache werde das Team auch „die Umgebung als das sehen, was sie ist“: Ein Konstrukt mit mehreren Teilen, die zusammen funktionierten, mit Aktionen und Reaktionen innerhalb dieser Umgebung. Erst wenn das eigene Unternehmen mit den Augen eines Bedrohungsakteurs betrachtet werde, ließen sich wirklich Hinweise auf bösartige Aktivitäten finden.

Weitere Informationen zum Thema:

VECTRA, Dezember 2019
WHITE PAPERS / SANS: Threat hunting with consistency

datensicherheit.de, 25.02.2019
Vectra: Cyberkriminelle setzen vermehrt auf Formjacking

James Lyne wirft Fragen rund um Hashing und Verschlüsselung der Kundendaten auf

[datensicherheit.de, 29.06.2018] Ebenfalls zum „Ticketmaster-Vorfall“ hat James Lyne, Trainer für Cyber-Sicherheit beim SANS Institute, Stellung genommen – die Schwachstelle bei Ticketmaster sollte ernstgenommen werden! Der weltweit tätige Online-Händler für Konzertdaten hatte am 27. Juni 2018 an seine internationalen Kunden eine Warnung herausgegeben, dass aus der weltweiten Kundendatenbank durch Malware in einem Drittprodukt Kunden-, Konto- und Kreditkartendaten gestohlen wurden.

Foto: SANS Institute

James Lyne: Benutzer sollten den Vorfall ernstnehmen!

Ticketmaster informierte potenziell Betroffene

„Die Nachricht, dass etwa fünf Prozent der weltweiten Kundendatenbank von Ticketmaster durch bösartige Software auf einem Drittprodukt gefährdet wurden, wirft eine wichtige Frage auf“, so James Lyne.
Abhängig von der Antwort könnte dies möglicherweise schwerwiegender sein als einige der anderen Schadensvorfälle der jüngsten Zeit. Diese Frage scheine bisher weder durch die Benachrichtigung potenziell betroffener Kunden noch durch die auf einer eigenen Website eingerichtete FAQ-Seite beantwortet worden zu sein, führt Lyne aus.
Positiv zu vermerken sei, dass das Unternehmen den im Rahmen der Datenschutzgrundverordnung (DSGVO) vorgeschriebenen Meldeprozess eingehalten hat: Möglicherweise betroffene Kunden wurden rasch informiert. Auch werde mit den zuständigen Stellen zusammengearbeitet, um dem Problem auf den Grund zu gehen.

Heiße Frage: Wurden Daten im Klartext entwendet?

Lyne: „Die große Frage ist jedoch, ob Benutzerdaten, insbesondere Zahlungsdaten, wie beispielsweise Kreditkarteninformationen, im Klartext verloren gegangen sind oder ob sie verschlüsselt oder gehasht und somit geschützt waren.“
Wenn zum Beispiel die Anwendung eines Drittanbieters in das Frontend des Ticketmaster-Prozesses eingebettet war und Daten aus dem Webbrowser sammelte, sei es sehr wahrscheinlich, dass die Benutzerdaten im Klartext verloren gegangen sind, bevor sie die Datenbank erreichten, „wo sie, wenn Ticketmaster die ,Best Practice‘ befolgt hätte, verschlüsselt und somit geschützt werden sollten“.
Wurde die Drittanbieter-App in die Backend-Prozesse eingebunden, seien solche Fragen rund um das Hashing und die Verschlüsselung relevant. Wenn die Daten schwach gehasht wurden, könnte es für die Cyber-Kriminellen sehr einfach sein, diese wiederherzustellen.

Betroffenes Kreditkartenkonto auf betrügerische Nutzung überwachen!

„Ticketmaster muss den Nutzern mehr Klarheit darüber verschaffen, ob Daten verschlüsselt oder gehasht wurden, damit sie die richtigen Entscheidungen treffen können. In der Zwischenzeit, da Ticketmaster die Benutzer darauf hinweist, sollten sie ihr Passwort sofort ändern und das betroffene Kreditkartenkonto auf eine betrügerische Nutzung überwachen“, empfiehlt Lyne.
Wenn Benutzer das gleiche Passwort irgendwo anders verwendet haben – was sie natürlich nicht tun sollten – sollten sie es auch dort ändern. Benutzer könnten sogar erwägen, ihre Bank zu bitten, ihre Kreditkarte zu sperren und eine neue auszustellen.
„Was auch immer passiert, die Benutzer sollten den Vorfall ernstnehmen“, schließt Lyne.

Weitere Informationen zum Thema:

datensicherheit.de, 29.06.2018
Wenn über Drittanbieter-Tools die eigene Datensicherheit ausgehebelt wird

datensicherheit.de, 28.06.2018
Ticketmaster: Schwerer IT-Sicherheitsvorfall bei Ticketvertriebs-Portal / Cyber-Kriminelle nehmen gerne schwächstes Glied der Kette ins Visier

[datensicherheit.de, 04.12.2017] Das SANS Institute bietet vom 11. bis 16 Dezember in Frankfurt/Main vier Trainingskurse zur Informationssicherheit an. Die Kurse richten sich an IT- und IT-Sicherheitsexperten, die tiefe Einblicke in das technische Knowhow der Sicherheit erwerben wollen. Unter praxisnahen Bedingungen werden die Kenntnisse, die Fähigkeiten und das Wissen über die notwendigen Tools vermittelt, um eine zeitgemäße Informationssicherheit zu gewährleisten.

Incident Handling für technisch versiertes IT Personal

Der Kurs SEC504: Hacker Tools, Techniques, Exploits, and Incident Handling richtet sich an Mitarbeiter aus IT Security Teams, die mit den grundsätzlichen, technischen Fähigkeiten in der IT-Sicherheit vertraut sind. Das Lernziel des Kurses ist, die Konzepte der grundlegenden Tools und Techniken zu verstehen, die zum Handwerkszeug der Hacker gehören. Mit diesem Wissen sollen die Sicherheitsexperten in der Lage sein, die Denkweise potenzieller Angreifer zu verstehen. Dies ist ein wesentlicher Schritt zu einer gelungenen Sicherheitsstrategie und ihrer technischen Umsetzung.

Einen besonderen Nutzen können Mitarbeiter aus dem Kurs ziehen, die für die Teams für das Incident Handling und deren Leitung gedacht sind. Sicherheitsexperten, Systemadministratoren und Sicherheitsarchitekten können von diesem Verständnis profitieren. Sie bekommen in dem Kurs wichtige Impulse, wie sie ihre Systeme entwerfen, bauen und betreiben sollten, um Angriffe zu verhindern, zu erkennen und auf sie zu reagieren.

Web-Applikation-Penetrationstests für Fortgeschrittene

Web-Applikation spielen mittlerweile eine entscheidende Rolle in jedem Unternehmen. Der Kurs SEC542: Web App Penetration Testing and Ethical Hacking widerspricht deshalb der Ansicht, dass ein Web Application Security Scanner ein zuverlässiger Helfer ist, um Schwachstellen in Web-Applikationen zu identifizieren. Das Vertrauen in Web Application Scanner führt oftmals dazu, dass Web-Applikationen eine wichtige Rolle bei signifikanten Verstößen und Vorfällen spielen. Deshalb lernen die Kursteilnehmer die notwendigen Schritte und Kniffe, um Web-Applikationen professionellen und gründlichen Tests zu unterziehen.

Der Kurs lebt von über 30 praktischen Übungen und findet seinen Höhepunkt in einem „Web Application Pen Test Turnier“. Dies wird von der SANS NetWars Cyber Range unterstützt und gehört zum festen Bestandteil des Kurses. In dem Turnier demonstrieren die Teilnehmer ihr neu erworbenes Wissen, können ihre neuen Fertigkeiten demonstrieren und beweisen, dass die Kursinhalte sofort in die Praxis umgesetzt werden können.

Mehr Netzwerksicherheit durch zuverlässige Penetrationstests

Der Kurs SEC560: Network Penetration Testing and Ethical Hacking vermittelt das essenzielle Wissen, Schwachstellen im eigenen Unternehmensnetzwerk aufzuspüren. Von der Planung und dem Scoping über Scans, Passwortangriffe und die Manipulation von Webanwendungen vermittelt der Kurs das notwendige Wissen, ein Netzwerk gründlich zu testen und abzusichern. Damit gehört der Kurs zu den Flaggschiffen der SANS-Sicherheitstrainings.

Die vorgestellten Tools, Techniken und Methoden bieten eine gute Grundlage, um selbst einen Penetrationstest schrittweise durchzuführen. Am letzten Tag müssen die Teilnehmer ihre neu erworbenen Fertigkeiten unter Beweis stellen. Dafür ist ein umfangreicher und praxisnaher Penetrationstest geplant, bei dem die Teilnehmer Schwachstellen eines Netzwerks unter realistischen Bedingungen testen und identifizieren müssen.

Spezialisten für Sicherheit industrieller Steuerungssysteme

ICS515: ICS Active Defense and Incident Response richtet sich an Spezialisten der industriellen IT-Sicherheit und adressiert die Identifizierung und Abwehr von Angriffen auf industrielle Steuerungssysteme. Die Experten sollen mit den Kursinhalten befähigt werden, das vernetzte Ökosystem einer Industrieanlage zu überwachen und auf Vorfälle schnell und souverän zu reagieren. Dabei sollen die Teilnehmer aus den Interaktionen mit den Angreifern lernen, um die eigene Netzwerksicherheit zu verbessern.

In dem Kurs kommen praktische Ansätze und reale Malware zum Einsatz, um mögliche Cyberangriffe zu verstehen. Das Ziel ist es, Softwareentwickler, Ingenieure und auch das nicht technische Personal im Management zu rüsten, ihre Anlagen abzusichern und ein Bewusstsein für die möglichen Bedrohungen zu entwickeln.

Weitere Informationen zum Thema:

SANS Institut
Cyber Security Training at Frankfurt 2017

Kommentar von Sergej Schlotthauer, CEO von EgoSecure

[datensicherheit.de, 20.09.2017] Sergej Schlotthauer, CEO von Egosecure kommentiert die Bedrohung der Unternehmenssicherheit durch sogenannte Innentäter: „Während Unternehmen ihren Fokus beim Thema IT-Sicherheit vor allem auf Angriffe von außen legen, unterschätzen viele Verantwortliche die Gefahr, die von den eigenen Reihen ausgeht. Zu selten finden sogenannte Innentäter den Weg in die Medien, während über folgenschwere Malware- und Ransomware-Attacken nahezu täglich berichtet wird. Organisationen jeder Größe sollten bei ihrer Sicherheitsstrategie stets das Gefährdungspotenzial, das von den eigenen Mitarbeitern ausgeht, im Blick haben. Dabei muss es sich gar nicht um böswillige Angriffe handeln, auch völlig unbeabsichtigt oder aus Bequemlichkeit können Sicherheitsvorgaben missachtet werden, was Datenverluste und immense Schäden für das Unternehmen zur Folge haben kann. Auch die Manipulation einzelner Teammitglieder durch sogenannte Social-Engineering-Techniken kann den Verlust von wichtigen Passwörtern und Zugriffsrechten bedeuten. Somit ist der unerlaubte Zutritt ins Firmennetzwerk, geschützt von der digitalen Identität des Innentäters, ein Leichtes für Kriminelle.

Bild: EgoSecure

Sergej Schlotthauer, CEO von EgoSecure

Wie eine aktuelle Studie des SANS Instituts deutlich macht, ist das Bewusstsein für Insider-Angriffe bei einigen Entscheidern bereits vorhanden, 40 Prozent der Befragten stufen eine Insider-Attacke als gefährlich ein, dennoch sind zu wenige Firmen vor Innentätern gewappnet. Lediglich 18 Prozent haben im Falle einer Insider-Bedrohung einen Incident-Response-Plan zur Hand.

Den Umfrageergebnissen zufolge haben 62 Prozent der Studienteilnehmer noch keinen internen Angriff erlebt. Dies lässt sich jedoch auch auf eine geringe Sichtbarkeit zurückführen und könnte offenbaren, dass ein Insider-Angriff gar nicht identifiziert werden kann.

Mit umfassenden Data Protection Lösungen sind Unternehmensdaten effektiv geschützt, auch bei Angriffen, die von eigenen Mitarbeitern verübt werden. Hierbei punkten Anwendungen, die die Analyse des Datenflusses mit geeigneten Schutzmaßnahmen kombinieren, denn nur wer die datenschutzrelevanten Vorgänge im Firmennetzwerk kennt, kann den individuellen Schutzbedarf ermitteln und Maßnahmen effizient einsetzen.

Mit Hilfe von Schutzfunktionen wie Access Control, Application Control und Device Management lässt sich klar definieren, wer welche Anwendungen, Devices und Schnittstellen in welchem Umfang nutzen darf. Dadurch lässt sich das Missbrauchsrisiko einschränken. Ein Unternehmen sollte zudem in der Lage sein, die Datenflüsse mit Hilfe einer Audit-Funktion detailliert sichtbar zu machen – natürlich ohne dabei das Recht der Arbeitnehmer auf Datenschutz einzuschränken.

Idealerweise wird das Audit-Modul durch eine intelligente Komponente ergänzt. Bei auftretenden Anomalien, wie dem Abzug ungewöhnlich großer Datenmengen, lässt sich die Schwachstelle identifizieren und eine Reaktion kann sofort erfolgen. Auf Grundlage eines vorher festgelegten Regelwerks werden Schutzreaktionen dann automatisch ausgelöst.“

Weitere Informationen zum Thema

SANS Institute
Insider Threat Survey

[datensicherheit.de, 06.07.2017] Das SANS Institute stellt seinen aktuellen Bericht „Security Awareness Report 2017“ vor. Im Rahmen der Untersuchung kristallisierten sich zwei Haupttreiber für den Erfolg beziehungsweise das Scheitern eines Security Awareness-Programms heraus: Zeit und Kommunikation.

Befragung von 1.000 Cybersicherheits-Spezialisten aus über 58 Ländern

In ihrer Untersuchung haben die Wissenschaftler über 1.000 Cybersicherheits-Spezialisten aus über 58 Ländern befragt. Die SANS-Studie basiert auf der Intention, Unternehmen dabei zu unterstützen, zu begreifen, wie erfolgreiche Sensibilisierungsstrategien funktionieren. Sicherheitsbewusstsein hat sich zu einem wichtigen Thema etabliert – für aufstrebende Unternehmen wie für bestehende Organisationen. Vor diesem Hintergrund hat sich ein fähiger Security Awareness-Experte für diese Rolle von der Möglichkeit zu einem „must have“ entwickelt. Die Zeit, sich entsprechend um seine Aufgaben zu kümmern, fehlt ihm allerdings oft. Das SANS Institute fand heraus, dass nicht das Budget, sondern der Zeitmangel einen Stolperdraht auf dem Weg zu einer erfolgreichen Förderung für mehr Sicherheitsbewusstsein darstellt.

Bedeutung des Faktors Zeit

Die Studie beschreibt sie als gemeinschaftliche Anstrengung von Personen, die sich an einem Security Awareness Programm beteiligen, gemessen an der tatsächlichen Anzahl der Vollzeitmitarbeiter. Allerdings ist hier zu berücksichtigen, dass zwei Halbtagskräfte wie eine Vollzeitkraft zählen. Leider sehen immer noch viel zu viele Unternehmen Sensibilisierung als Teilzeit-Job an. Diese Ansicht lässt die Fähigkeit ihrer Security Awareness-Teams verkümmern, ihre Aufgaben effektiv zu erledigen. Dem Report zu Folge braucht es jedoch mindestens 1,4 Vollzeitstellen, um das Verhalten der Mitarbeiter unternehmensweit zu verändern.

Herbert Abben, Director SANS Institute EMEA, verantwortlich für die DACH Region, ordnet die Ergebnisse ein: „In den vergangenen Wochen haben wir durch den WannaCry- und Petya-Angriff eindrucksvoll gesehen, wie viele Unternehmen noch immer verwundbar sind. Nicht zuletzt der Faktor Mensch ist eine Schwachstelle, an der Unternehmen jedoch ansetzen können. Informationssicherheitsexperten sollten bei der Planung und Durchführung ihrer Security Awareness-Programme unterstützt werden. Die Befragten unserer Studie klagen über Zeitmangel und über zu wenig Kommunikation. Beides sind Faktoren an denen diese Programme nicht scheitern sollten. Die Geschäftsführung der Unternehmen sollte angesichts der jüngsten Attacken offener sein und die vereinbarten Maßnahmen zur Förderung des Bewusstseins stärker unterstützen. Sonst wird sich an der derzeitigen Situation leider nicht viel ändern.“

Technische Versiertheit deckt nicht alles ab

Die Umfrageergebnisse zeigen, dass der Fokus in Sachen Sicherheitsbewusstsein zunehmend auf den richtigen technischen Fähigkeiten zur Umsetzung entsprechender Programme liegt. Die überwältigende Mehrheit, 80 Prozent der Sensibilisierungsprofis, bringen einen technischen Hintergrund mit. Diejenigen, die auf einen technischen Hintergrund zurückgreifen können, besitzen anderen gegenüber einen gewissen Vorteil, da sie viel Verständnis bezüglich der technischen und menschlichen Risiken mitbringen. Allerdings reicht technisches Know-how alleine nicht aus. Kommunikationstraining spielt ebenfalls eine entscheidende Rolle. Die Fähigkeit Inhalte verständlich zu vermitteln, also zu kommunizieren, verändert risikobehaftetes Mitarbeiterverhalten zum Besseren.

Kommunikation in mehrere Richtungen gewährleisten

Das Kommunikationsdefizit bildet für die Umfrageteilnehmer die größere Hürde. SANS beschreibt diese Herausforderung mit der Fähigkeit, effektiv zu kommunizieren und Mitarbeiter zu verpflichten. Fast noch wichtiger stuften die Studienurheber die Fähigkeit ein, effektiv zu kommunizieren und den Wert für die Führungsebene zu demonstrieren. Wenn ein Security Awareness-Beauftragter engmaschige Sicherheitsprogramme ablaufen lässt, aber sie nicht effektiv und mit respektierter Autorität kommunizieren kann, um die richtigen Aktionen zu beeinflussen, dann ist sein Programm mehr Sicherheit als Bewusstsein, was eine Organisation in Gefahr bringen kann. Um dieses Problem zu lösen empfiehlt der Report unter anderem, sich nicht auf einen One-size-fits-all-Kommunikationsansatz zu verlassen. Ein Appell in Richtung eines Entwicklers beispielsweise mag vielleicht für diesen funktionieren, erweist sich aber in Bezug auf die Geschäftsführung als nicht wirksam. Zusätzlich sprechen sich die Experten von dafür aus, innerhalb der Führungsetage einen Hauptansprechpartner zu suchen, der den Wert des Security Awareness-Programms anderen Führungspersonen nahelegt. Weiter zeigt es sich als geschickt, mit den Personen innerhalb des gesamten Unternehmens zusammenzuarbeiten, die den Sicherheitsbewusstseinsinput schätzen und ihn einhalten. Bestehende Strategien sollten eine Art Sicherheitsbotschafter-Programm berücksichtigen; ein Netzwerk aus Freiwilligen innerhalb der Organisation, das dabei unterstützt andere Mitarbeiter einzubeziehen.

Weitere Informationen zum Thema:

SANS Institute
Security Awareness Report 2017

datensicherheit.de, 06.10.2016
SANS Institute: Warnung vor IoT-Botnetzen