Für die Abwehr von Angriffen auf Netzwerke und Workstations von Mitarbeitern hilft eine Endpoint-Protection-Lösung sehr zuverlässig. Meist werden diese Angriffe mit gefälschten E-Mails und verseuchten Anhängen ausgeführt oder man will Mitarbeiter auf Fake-Webseiten führen und so Zugangsdaten abgreifen. Aber wie lässt sich feststellen, ob ein Angreifer bereits im Netzwerk ist, weil er zum Beispiel auf einem anderen Weg funktionierende Zugriffsdaten erbeutet hat? Bei einer solchen Attacke wird keine Schadsoftware genutzt und eine Endpoint-Schutzlösung findet keinen Angreifer zum Abwehren. Eine entsprechende Lösung für Endpoint Detection & Response (EDR) muss her.
Eindringlinge im Citrix-Netzwerk bleiben 5 Monate lang unerkannt
Ein einzelner Angreifer, der mit gültigen Zugangsdaten unauffällig durchs Netzwerk streift, lässt sich so einfach finden wie eine Nadel im Heuhaufen. Das scheint zum Beispiel auch beim aktuellen Eindringen in das Netzwerk von Citrix der Fall zu sein, wie es der interne Blog-Beitrag bei Citrix beschreibt. Bereits im Oktober 2018 sind Cyber-Kriminelle in das Netzwerk eingedrungen und haben sich dort bis zum März 2019 unerkannt frei bewegt. Damit waren sie 5 Monate in dem Netzwerk unterwegs – das ist viel Zeit für viele Aktionen.
Das wachsame Auge – Endpoint Detection & Response
Allerdings gibt es gute Lösungen gegen solche unerkannten Zugriffe: Endpoint Detection & Response. Diese Schutzlösung überwacht alle Vorgänge im Unternehmensnetzwerk und analysiert sie auf Basis von Machine Learning. In der Praxis würde zum Beispiel auffallen, wenn ein niedriger Zugangslevel plötzlich sehr viele Prozesse auslöst und Daten sammelt. Die Software meldet dann den Vorfall einem Überwachungsteam, welches alle vorgefallenen Schritte nachvollziehen kann. Auf diese Weise lässt sich ein fremder Eindringling nicht nur enttarnen, sondern sein Weg im Netzwerk komplett nachverfolgen. Hätte er weitere Skripte positioniert oder Daten verändert, so wurde dies alles registriert.
Ritter Sport schützt präventiv seine Produktion
Der bekannte Schokoladenhersteller Ritter Sport setzt seit Anfang 2018 auf die F-Secure-Lösung Managed Detection & Response. Kurz zuvor wurde ein Konkurrent von Cyber-Kriminelle attackiert und die Produktion für viele Tage lahmgelegt. Das kostete das Unternehmen neben einem Millionenbetrag auch noch jede Menge an Image. Ritter Sport hat daher vorher reagiert und in sein System die F-Secure-Lösung implementiert. Dass sich der Aufwand und die Investition rentiert haben, zeigte sich bereits nach wenigen Tagen. Ein von einem Mitarbeiter ausgeführtes schädliches MS-Office-Makro wurde durch sein ungewöhnliches Verhaltens identifiziert und aufgehalten. Mehr zu der Lösung und dem Fall beschreibt die deutsche Case Study von Ritter Sport.
Kategorien