IT-Sicherheit - 18.03.2021

Setzen Sie Angreifer unter Druck – Mit Verhaltensanalyse die Dwell Time minimieren.

Angreifer verbringen im Schnitt 56 Tage in der gehackten Umgebung, bevor sie entdeckt werden. Die Realität sieht also deutlich anders aus, als sie in den Medien häufig dargestellt wird. Denn häufig sieht es so aus, als würden sich „die Guten“ und „die Bösen“ in einem Showdown ein Rennen gegen die Zeit liefern. Der Grund für diese Diskrepanz ist aber nicht nur der in Filmen und Berichterstattungen erwünschte dramatische Effekt. In der Realität ist schon die Ausdehnung der Netzwerke vieler Unternehmen auf mehrere Standorte mit unterschiedlichen Zuständigkeiten und schwankender Aktualität der verwendeten Dienste ein Grund dafür, dass Kriminelle über einen derart langen Zeitraum ihr Unwesen unentdeckt treiben können. Das Ziel muss es also sein, die Angreifer so schnell wie möglich zu enttarnen. Dabei kommen Verhaltensanalyse und Geräteidentifikation ins Spiel.

Verfasst von

Je verteilter und unorganisierter die Netzwerke eines Unternehmen sind, desto länger bleiben Angreifer unentdeckt und haben viel Zeit, um Schaden anzurichten. Deswegen ist die Verweildauer eines Angreifers im Unternehmensnetzwerk auch ein wichtiger Indikator für die Schwere eines Angriffs. Generell gilt: Je länger der Angreifer unentdeckt im Netzwerk wildern kann, desto größer ist der entstandene Schaden.

IT-Teams werden mit Ereignismeldungen überflutet.

Ein weiterer Grund für die lange Verweildauer von beinahe zwei Monaten im Netzwerk ist aber auch die bisherige Arbeitsweise. Althergebrachte Sicherheitssysteme betrachten die jeweiligen Aktionen eines Nutzers nicht im Kontext und produzieren daher häufig sehr viele Ereignisse. Normales und durchaus gewolltes Verhalten wird dann als potentiell gefährlich eingestuft und gemeldet. Der Grund für diese „Ereignisse“ ist häufig die Ähnlichkeit zwischen harmlosem und destruktivem Verhalten. Ebenso häufig schätzen diese Tools Änderungen am System, z. B. durch die Neuinstallation oder das Update einer Software, fälschlicherweise so ein, als wären sie von einer Malware ausgeführt worden. Die Reaktion ist dann meist, dass die falsch eingestufte Aktion von einem IT-Security-Mitarbeiter analysiert werden muss. Diese Analyse ist nicht nur zeitaufwendig, sondern auch ressourcenintensiv, da nur erfahrene IT-Security-Spezialisten eine Unterscheidung zwischen einem harmlosen und einem bösartigen Ereignis treffen können. Bei automatischen Reaktionen kann sogar die Funktion des Endgerätes eingeschränkt werden und somit eine nicht gewollte Störung auslösen (False Positive).

Und obwohl es auch hier inzwischen automatisierte Lösungen gibt, werden diese Meldungen häufig noch immer von Hand abgearbeitet. All diese Meldungen von den Mitarbeitern der IT-Abteilung abarbeiten zu lassen, ist ein langwieriger Prozess, der sehr viel Zeit beansprucht. Zeit, die den Experten dann wiederum fehlt, um tatsächliche Angreifer ausfindig zu machen, die sich bereits im Netzwerk ausgebreitet haben.

Mindestens genauso schlimm sind jedoch die sogenannten „False Negatives“, die dafür sorgen, dass eigentlich schädliche Vorgänge ihr Unwesen in den Systemen treiben können und es Angreifern so leicht machen, eine bestehende Lücke in der Verteidigung zu finden. Tatsächliche Viren- oder Malware-Signaturen werden nicht als Bedrohungen erkannt und können weiterhin ausgeführt werden – das öffnet den Angreifern Tür und Tor. 

Auf den ersten Blick weniger gravierend sind dagegen False Positive erkannte E-Mails. Auch hier wird im Normalfall die betroffene E-Mail in Quarantäne verschoben. Zunächst wird hier zwar kein direkter Schaden am System verursacht. Wird jedoch die Korrespondenz mit einem Kunden fälschlicherweise als schädlich erkannt, richtet dies aber durchaus Schaden an. Geht ein Auftrag verloren oder wird die Kundenbeziehung nachhaltig belastet, wenn auf Nachfragen nicht oder nur verspätet geantwortet wird, gehen damit häufig Umsatzeinbußen und ein Vertrauensverlust einher.

Ein Frühwarnsystem muss her.

Die Frage, die Sie sich stellen müssen, lautet: Wie können die Kollegen in der IT einen solchen Angriff zuverlässiger und schneller ausfindig machen? Wichtig ist, dass neben der reinen Dateiprüfung auf Viren und Malware auch die Transaktionen innerhalb des Netzwerks kontinuierlich überwacht werden. KI-gestützte Analysesysteme helfen dabei, die ersten Anzeichen eines Angriffs zu erkennen. Dazu werden einzelne Benutzeraktionen zu Sessions zusammengefasst und untersucht. Die jeweils ausgeführten Aktionen in einer Session werden mit denen verglichen, die der Nutzer in vorherigen vergleichbaren Sitzungen ausgeführt hat. Häufig kommen auch Aktionen und Sessions von Kollegen mit einem vergleichbaren Stellenprofil als Vergleichsdaten zum Einsatz. Das Ziel ist jedoch immer, außergewöhnliche, nicht regelmäßige Verhaltensmuster zu erkennen.

Ausgehend von der Vermutung, dass sich Hacker in der Regel zunächst einen Überblick über das Unternehmensnetz und die darin enthaltenen IT-Systeme verschaffen wollen, kann davon ausgegangen werden, dass sich die Aktivitäten eines solchen Angreifers signifikant von denen eines rechtmäßigen Nutzers unterscheiden werden. Auch Zeitunterschiede zwischen dem Standort des Unternehmens und dem Sitz des Angreifers können schon ein Anhaltspunkt sein. Beispiele für dieses irreguläre Verhalten sind demnach auch Anmeldungen und Zugriffe auf Daten zu ungewöhnlichen Uhrzeiten oder von unterschiedlichen Orten aus. Ein weiteres Indiz können Zugriffsversuche auf IT-Systeme sein, die vom rechtmäßigen Nutzer nicht benötigt werden. Auch eine signifikante Veränderung der Menge an heruntergeladenen Daten kann ein Anzeichen dafür sein, dass sich ein Unbefugter Zugriff auf den betroffenen Benutzer oder dessen Gerät verschafft hat. Ein KI-gestütztes Frühwarnsystem, das auf allen Rechnern und im Netzwerk aktiv ist und untereinander kommuniziert, kann Angreifer schneller entdecken und aufhalten.

Wie arbeitet ein solches System?

Um die Vorteile eines modernen Systems zur Abwehr von Cyberangriffen gegenüber der klassischen Nutzung von Virenscannern und Firewall-Systemen zu erkennen, ist es wichtig zu wissen, wie aktuelle Lösungen funktionieren. Wie oben bereits erwähnt, untersucht das System das alltägliche Verhalten von Nutzern und teilweise auch von Geräten. Man nennt diese Art von Tools auch UBA- bzw. UEBA-Systeme. Dies sind Akronyme für die englische Bezeichnung „User Behaviour Analytics“ bzw. „User and Entity Behaviour Analytics“, zu Deutsch: Analyse des Benutzer- und Geräteverhaltens. Diese Tools dienen also dazu, durch die Analyse der Aktionen eines Benutzer herauszufinden, ob ein Angriff vorliegt oder der rechtmäßige Nutzer diese Aktionen ausführt. Getreu dem Zero-Trust-Motto „Vertraue niemandem“ gehen moderne Lösungen davon aus, dass alle Systeme potentiell korrumpiert sein können. Um diese Prüfungen aber auch durchführen zu können, muss der Datenfluss innerhalb des Netzwerks permanent überwacht werden. Die Vorgehensweise lässt sich dabei grob in die folgenden Schritte aufteilen:

1. Schritt.

In der ersten Phase lernt das System das normale Verhalten eines IT-Nutzers oder eines Geräts kennen. Dazu werden die Aktivitäten des Benutzers im Umgang mit den IT-Systemen des Unternehmens zusammen mit den Aufzeichnungen von Log-Systemen und SIEM-Lösungen herangezogen. Bei diesem Vorgang, auch „Baselining“ genannt, wird das normale Verhalten eines Nutzers ermittelt. Einige Systeme erstellen in dieser Phase auch eine Art Scoring-System, das die Nutzeraktionen granularer bewertet und nach Sensibilität der jeweiligen Systeme gliedert, auf die ein Nutzer regelmäßig zugreift.

2. Schritt.

Wurde dem Nutzer oder Gerät im Baselining ein Wert zugewiesen, wird sein Verhalten im Weiteren mit diesem als normal angenommenen Verhalten verglichen. Bei gravierenden Abweichungen davon werden die zuständigen IT-Fachleute informiert.

3. Schritt.

Einige Systeme sind auch in der Lage, umgehend auf möglicherweise schädliche Nutzeraktivitäten zu reagieren und diese zu unterbinden. In der Regel werden dann Zugriffe auf besonders sensible Daten aus der Produktentwicklung oder auf Kunden- und Mitarbeiterdaten unterbunden, wenn der Mitarbeiter nicht in diesen Abteilungen arbeitet. Auch die Änderung von Konfigurationsdateien von Servern und Sicherheitskomponenten wird in der Regel eine solche Reaktion in Echtzeit auslösen.

Dadurch entstehen natürlich viele Vorteile: Unberechtigte Zugriffe können sofort in der Situation erkannt und unterbunden werden. Zusätzlich fallen sie durch entsprechende Meldesysteme auch sofort auf. Ihre Mitarbeiter können dann gezielte Maßnahmen ergreifen – und den Angreifer aus dem System werfen. Die Verfahren zum maschinellen Lernen sorgen dann langfristig dafür, falsch-positive Meldungen zu unterbinden und verschaffen den Security-Experten Zeit, um sich der wirklichen Bedrohung zu stellen. Neben den Vorteilen stellen sich bei einer solchen Nutzung von Personendaten aber natürlich auch einige Fragen.

Welche Daten werden dabei genutzt?

Das Ziel ist ganz klar, einem Nutzer ein eindeutiges Verhalten zuweisen zu können und dieses dann auch mit bereits verarbeiteten Verhaltensdaten zu vergleichen. Die Frage, welche Daten zu diesem Zweck erhoben, gespeichert und verarbeitet werden, liegt auf der Hand. Wie bei einem Fingerabdruck werden einzelne Informationen zu einem Gesamtbild zusammengetragen. Je detaillierter dieser Fingerabdruck ist, desto besser werden falsche Fehlmeldungen minimiert, wenn nicht sogar komplett ausgeschlossen. Zu diesen Daten zählen Nutzungsdaten aus dem Umgang mit den vorhandenen IT-Systemen, es werden aber auch biometrische Daten eines Nutzers erhoben. Welche Daten das sein können, zeigen diese Beispiele:

  • Regelmäßig genutzte Dateien, Ordner und Server
  • Regelmäßig genutzte Anwendungen und Betriebssysteme
  • Genutzte Endgeräte wie Smartphones und Laptops
  • Typische Arbeitszeiten
  • Standortdaten der Niederlassung
  • Daten von Log-Management-Systemen und Verzeichnisdiensten
  • Daten von SIEM-Lösungen
  • Daten von Cloud-Diensten
  • Anschlaggeschwindigkeit und häufige Fehler bei der Eingabe über Tastaturen
  • Bewegungsrhythmus und -radius der Maus oder auf Trackpads

Gerade die beiden biometrischen Daten am Ende lassen eindeutige Rückschlüsse auf den Nutzer des Geräts zu und ermöglichen so auch eine zuverlässige Verhaltenserkennung, selbst wenn der Nutzer sein Gerät häufig wechselt.

Datenschutz und Verhaltensanalyse.

Da all diese Daten herangezogen werden, um Angriffe schnell identifizieren zu können, spielt der Datenschutz und der Schutz der Privatsphäre der Nutzer eine zentrale Rolle. Besondere Auswirkungen auf dieses Vorgehen zum Schutz der IT-Infrastruktur hatte die 2016 in Kraft getretene DSGVO, die den Schutz personenbezogener Daten nochmal in den Fokus gestellt hat: Alle Nutzungsdaten müssen mit größter Sorgfalt behandelt werden. Der Zugriff darf nur denjenigen ermöglicht werden, die dafür speziell autorisiert wurden.

Auch die Systeme, die die Daten für die UEBA-Lösungen anliefern, in der Regel also Log-Management-Systeme und Tools zum Monitoring privilegierter Nutzergruppen, müssen die entsprechenden Verfahren zur Anonymisierung bereitstellen. Der Zugriff auf die Daten muss zu jeder Zeit gesichert stattfinden. Auch hierfür stehen unterschiedliche Maßnahmen zur Verfügung. Ein Beispiel ist die Authentifizierung durch mehrere dazu beauftragte Kollegen.

Ein erhöhtes Maß an Sicherheit beim Einsatz von UEBA-Tools kann man durch die Verschlüsselung der Daten entlang der kompletten Kette erreichen. Bereits die Daten, die von Log-Management-, PAM- oder SIEM-Systemen an das UEBA-System geliefert werden, sollten bereits verschlüsselt sein. Die Übertragung der Daten von einem System zum anderen sollte dann ebenfalls verschlüsselt stattfinden. Das Mittel der Wahl hierfür sind starke Verschlüsselungsverfahren wie AES oder Twofish. Mit einer Schlüssellänge von 256 Bit gelten diese symmetrischen Verfahren als besonders sicher.

Zeitgewinn bedeutet mehr Sicherheit.

Die Vorteile moderner Tools zur Absicherung Ihrer Unternehmens-IT liegen klar auf der Hand. Ihre IT-Mitarbeiter können sich den wirklich wichtigen Aufgaben widmen, z. B. der Abwehr von Angriffen, und werden nicht durch zeitintensive, aber nicht zielführende Aufgaben gebunden. Ihre Sicherheitsexperten können sich bei Bedarf einen schnellen Überblick über die Vorgänge innerhalb Ihrer Infrastruktur verschaffen und sofort auf ungewöhnliches Verhalten reagieren, wenn es auf einen Angriff hinweist. Wenn Sie den Schutz der Privatsphäre von Anfang an berücksichtigen, erhalten Sie nicht nur ein gut gesichertes Unternehmensnetzwerk, sondern schützen zugleich die Privatsphäre Ihrer Mitarbeitenden und wenden möglichen Schaden von Ihrem Unternehmen ab.

Sie möchten mehr erfahren? Unsere Experten stehen Ihnen gerne zur Verfügung und erarbeiten ein maßgeschneidertes Sicherheitskonzept für Ihr Unternehmen.

Beitrag weiterempfehlen

Diesen Beitrag haben wir veröffentlicht am 18.03.2021.