InfoGuard Cyber Security & Cyber Defence Blog

Breach Detection - So finden Sie die Nadel im Heuhaufen!

Geschrieben von Reinhold Zurfluh | 08. Apr 2016

Unsere Erfahrung zeigt: Die Anzahl gezielter Hackerangriffe steigt rasant an. Wie das aktuelle Beispiel von 20 Minuten verdeutlicht. Sicherheitsverantwortliche von Unternehmen müssen heute davon ausgehen, dass auch ihre Systeme bereits infiltriert sind. Sie dürfen sich deshalb nicht allein auf signaturbasierte und präventionszentrierte Sicherheitsmethoden am Perimeter verlassen. Heutzutage braucht es neue, mitdenkende Sicherheitsmodelle. Wir zeigen Ihnen, wie Sie dies in der Praxis erfolgreich umsetzen können.

Hackerangriffe und andere IT-Sicherheitsvorfälle sind nicht nur ärgerlich, sie können auch enorme Kosten und einen riesigen Image-Schaden mit sich bringen – und die Bedrohung für sensible Firmendaten durch Cyberangriffe nimmt stetig zu. Gründe sind unter anderem eine Professionalisierung der Werkzeuge und Methoden der Hacker. Doch auch die unternehmensseitigen IT-Systeme sind oftmals nur mangelhaft und zu einseitig, um einen wirksamen Schutz gegen moderne Angriffsmethoden zu leisten. Eine Kombination aus bekannten Ansätzen, maschinellem Lernen, Data Science und Verhaltensanalyse kann Abhilfe schaffen. Denn derartige Lösungen helfen, Angriffe auf das Netzwerk schnell und automatisch zu identifizieren – egal, mit welcher Methode die Cyberkriminellen vorgehen.

Wogegen müssen Sie sich 2016 schützen? Das sind die Top 3:

Unsere Cyber Threat Analysten verzeichnen ein grosses Wachstum bei der Erkennung von:

  • Lateralbewegungen (580%)
  • interner Reconnaissance (270%)
  • externer Remote-Zugriff (183%)

Derartige Verhaltensweisen deuten auf gezielte Angriffe hin, bei denen die Angreifer in die vermeintlich geschützte Zone innerhalb des Sicherheitsperimeters eindringen. Während Command-and-Control-Kommunikation das geringste Wachstum verzeichnet, war auch ein deutlicher Anstieg bei hochriskanter TOR-Kommunikation und externem Remote-Zugriff erkennbar. Der externe Remote-Zugriff stieg ebenfalls deutlich, um 183% gegenüber dem Vorjahr. Zudem bevorzugen viele Angreifer für versteckte Tunnel HTTPS gegenüber HTTP, um ihre Kommunikation zu verbergen.

Advanced Persistent Threats fordern Ihre IT-Sicherheit heraus

Eine weitere grosse Bedrohung, der sich Firmen vermehrt stellen müssen, sind Advanced Persistent Threat (APT)-Angriffe. Sogar professionell geschützte Netzwerke und IT-Infrastrukturen stellen ein potentielles Angriffsziel dar. Um hierauf zu reagieren, darf das Hauptaugenmerk nicht länger nur auf Prävention gelegt werden, sondern stattdessen auf die rechtzeitige Erkennung von Angriffen durch eine fundierte Verhaltensanalyse – sowohl für Angriffe von innen als auch Attacken von aussen.

Zusammenfassend lässt sich sagen: Es gibt immer mehr Netzwerkbedrohungen die traditionelle Sicherheitsmassnahmen umgehen können, wie:

  • Next-Generation-Firewalls
  • Intrusion-Prevention-Systeme
  • Malware-Sandboxing
  • Host-basierte Sicherheitslösungen

So decken Sie Bedrohungen auf, bevor ein Schaden entsteht

Aus unserer Erfahrung empfehlen wir den Einsatz von automatisierte Breach Detection-Lösungen. Sie überwachen permanent den internen Netzwerkverkehr, um Cyber-Angriffe zu erkennen, während sie noch stattfinden. Mit Hilfe von Data Science, maschinellem Lernen und Verhaltensanalysen ist es möglich, die grundlegenden Methoden und Aktionen eines Angriffs zu erkennen. In den vergangenen Jahren haben sich Predictive Analytics-Werkzeuge stark weiterentwickelt. Moderne Data Science-Ansätze sind heute in der Lage, bekannte Indikatoren für Cyberangriffe zu erlernen. Beispiele sind Exfiltration-Situationen wie der Upload von Daten in einen Dropbox Account, das extensive Nutzen von USB-Sticks in einem Unternehmen oder auch eine grosse Anzahl oder Menge an Downloads von internen Servern. Um auch künftige und bislang unbekannte Attacken aufdecken zu können, müssen zudem Anomalien im beobachteten Verhalten herauskristallisiert werden.

 

 

Moderne und professionelle Netzwerk-Behaviour-Analysesysteme geben IT-Sicherheitsteams den Überblick, den sie benötigen, um schnell auf Cyberbedrohungen zu reagieren. Sie helfen, auch Angriffe aufzudecken, die von Perimeter-Sicherheitslösungen wie Firewalls, Sandboxes oder IPS nicht aufgespürt wurden. Sogenanntes «Security Information and Event Management» (SIEM) kann die von Netzwerkverhaltensanalysesystemen gesammelten Informationen nutzen, um Attacken schnell zu identifizieren und auf sie zu reagieren.

In der heutigen Cyber Security Welt ist jeder Tag ein «Zero Day»

Cyber Security muss auf verschiedenen Lösungen und Ansätzen, wie Perimeter Security, Sandboxes und Malware-protection aufbauen, um so effizient wie möglich zu sein. Immer kombiniert Cyber Defence Services, wie APT Detection & Response, Cyber Threat Intelligence und der systematischen Analyse von Bedrohungen mittels SIEM- und Incident Response