Drei Gründe, warum Unternehmen Zwischenfälle so schwer entdecken
Eine neue F-Secure-Studie zeigt, dass Unternehmen digitale Zwischenfälle nicht immer zuverlässig erkennen. Hier sind drei Gründe, warum so eine Zuordnung so schwer ist sowie einige Tipps, wie sich Attacken eher entdecken lassen.
80 Prozent aller Untersuchungen beginnen erst, wenn ein Angreifer bereits die Sicherheitsmaßnahmen einer Firma umgehen konnte. Das zeigt ein neuer Bericht von F-Secure. Dieser weist auch auf die Fehlalarme hin, etwa 13 Prozent aller Meldungen sind demnach falsch. Sie binden dabei wertvolle IT-Ressourcen.
Es ist ein bekanntes Problem, dass sich echte Attacken nur schwer aus dem Hintergrundrauschen der alltäglichen IT herausfiltern lassen. Erka Koivunen, Chief Security Officer bei F-Secure, beschrieb in einem Blogpost, dass Studien ganz unterschiedliche Ergebnisse auf die Frage „Wie schnell werden digitale Einbrecher erkannt“ liefern. Mehrere bekannte Einbrüche waren über Jahren unentdeckt. In vielen Fällen ist es so, dass Firmen nur durch Externe erfahren, dass sie kompromittiert wurden.
Die Preisfrage lautet also: Was können Firmen tun, um Einbrüchen schneller auf die Spur zu kommen? Das Entdecken von Zwischenfällen braucht speziell geschultes Personal, gute Werkzeuge und solide Prozesse. Das kann die Ressourcen einer internen IT-Abteilung deutlich unter Druck setzen. Sieht man diese Kosten, ist es verständlich, warum viele Firmen bei der Umsetzung zögern.
Allerdings ist Aussitzen auch keine Lösung. Die sich ständig wandelnde Bedrohungslandschaft sowie neue gesetzliche Vorgaben wie die EU DSGVO bestrafen Firmen, die bei IT-Sicherheit sparen und potentiellen Einbrüchen nicht auf die Spur kommen. Unternehmen können es sich nicht leisten, nicht auf potentielle Zwischenfälle zu reagieren.
Das Thema ist komplex, dennoch gibt es grundlegende Probleme und Tipps, wie sich diese angehen lassen:
Beweise sind in den Daten – sammeln Sie schlau
Das Aufspüren digitaler Einbrecher ist kein Ratespiel. Sie benötigen Beweise, die auf Probleme hinweisen. Und Sie wollen weder auf Berichte in der Zeitung noch auf einen Erpresserbrief der Kriminellen warten.
Log-Dateien sind wertvolle Grundlagen und werden bei Untersuchungen oft und ausführlich verwendet. Entsprechend sollten Sie einen systematischen Ansatz fahren, der die Log-Daten aus unterschiedlichen Quellen bereinigt und zusammenführt – und das über die gesamte Organisationsstruktur. Welche zusätzlichen Beweise Sie sammeln möchten hängt von Ihrem Unternehmen, Ihrer Infrastruktur, Ihrem Bedrohungsmodell und anderen Faktoren ab.
Allerdings müssen Sie vermeiden zu viele Daten zu anzuhäufen. Wer ständig alle Informationen speichert, den überwältigen bald enorme Datenberge (mehr dazu später).
Datenfilterung ist aufwändig aber notwendig
Was also soll mit den ganzen Informationen geschehen? Sie müssen gefiltert werden, bevor sie ein relevantes Bild liefern können.
Wenn Sie genügend Daten sammeln, um ihr komplettes Netzwerk abzubilden, dann landen Sie schnell bei mehreren Millionen von einzelnen Ereignissen. Das F-Secure Rapid Detection Center beispielsweise, verantwortlich für den Rapid Detection Service (RDS), hat bei einem Kunden nach einem Monat mehr als zwei Millionen Einträge gesammelt, über 1300 Netzwerksensoren hinweg.
Nachdem die offensichtlich unnötigen Einträge entfernt wurden blieben immer noch 900 000 Ereignisse übrig. Diese wurden in einem umfangreichen Prozess angereichert, korreliert und analysiert, am Ende blieben 25 verdächtige Einträge übrig. Eine manuelle Analyse dieser Daten ergab, dass hinter 15 dieser 25 Ereignissen echte Bedrohungen standen.
Wichtig dabei ist zu erwähnen, dass der RDS von F-Secure eine dedizierte Lösung zum Entdecken und Antworten auf Zwischenfälle ist. Sie wird von F-Secure so konfiguriert, dass es Ereignisse zu potentiellen Bedrohungen sammelt. Unternehmen, die nicht über die notwendigen In-House-Ressourcen verfügen, können von den verfügbaren Daten schnell überwältigt werden. Vor allem, wenn die richtigen Tools oder die notwendige Expertise nicht vorhanden ist.
Wenn so eine Analyse aber effektiv durchgeführt wird, erhält man aus den riesigen Datenmengen eine kleine Menge an wirklich relevanten Zwischenfällen, zu denen man aktiv werden kann.
Anomalien sind nur Hinweise – passen Sie auf, sich nicht zu verrennen
Wonach sollten Sie also Ausschau halten? Grundsätzlich sind alle Ereignisse, die außerhalb der Norm liegen, Grund zur Sorge. Anomalien, die auf einen Angriff hinweisen, können etwa ein Nicht-Admin-Nutzer sein, der auf verschiedene Server zugreifen möchte, eine große Anzahl von Login-Versuchen in kurzer Zeit, Aktivitäten, die zu seltsamen Zeiten ablaufen und mehr. Sie sollten Ihre Log-Dateien gegen Threat Intelligence Feeds abgleichen, um Hinweise auf potentielle Einbrüche zu finden.
In einer perfekten Welt lassen sich viele dieser Ereignisse als harmlos abstempeln. So könnte etwa ein Nutzer noch spät arbeiten, sein Passwort vergessen haben oder Zwischenfälle durch ein Fehler beim letzten Update ausgelöst werden.
In der Realität ist es aber so, dass einige dieser Events echte Zwischenfälle darstellen. Und auch, wenn die Reaktion auf solche Zwischenfälle als separate Aufgaben angesehen werden kann, rät Tom Van de Wiele, Principal Security Consultant bei F-Secure zu einer einheitlichen Herangehensweise. Denn ein effektives Erkennen von Zwischenfällen und die passende Antwort darauf das gesamte Unternehmen stärken. Wenn eine Krise eintritt, profitieren davon nicht nur IT-Admins, sondern auch CEOs, CISOs und Mitglieder des Aufsichtsrats.
„Jede Reaktion beginnt mit der gleichen Frage: War dies ein Zwischenfall? Die Kosten für diese Antwort sind abhängig davon, wie schnell ein Unternehmen diese Frage beantworten kann, wie schnell und effizient Prozesse und Prozeduren sind, wie qualifiziert die Forensik arbeitet und wie gut das Personal trainiert ist,“ sagt Tom. „Sobald ein Unternehmen eine Entscheidung basierend auf Fakten treffen kann – statt sich auf Gerüchte und Annahmen verlassen zu müssen – kann die Bedrohung im nächsten Schritt eingedämmt und behoben werden.“
Kategorien