InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Im dynamischen Umfeld der zunehmenden Cyberbedrohung hat sich die Technologie von Extended Detection and Response (XDR) als unverzichtbar erwiesen. Im ersten Teil dieser Blogserie haben wir berichtet, wie XDR als KI-gestützte Technologie funktioniert, Angriffsvektoren 24/7 schützt und Ihr Security Operation Center (SOC) von der «Detection» bis zur «Response» aktiv unterstützt. Im zweiten Teil untersuchen wir, wie eine moderne Sicherheitsarchitektur den entscheidenden Unterschied ausmacht. Das reale Fallbeispiel illustriert die Vorteile einer strukturierten Cyberabwehr-Journey mit einem XDR-Stack und weist den Weg zu einer robusten Sicherheitsstrategie.
Der schnelllebige technologische Wandel fördert nicht nur die wirtschaftliche Entwicklung, sondern bietet auch Cyberkriminellen neue Perspektiven. Die Zahl und die Komplexität der Cyberangriffe sind alarmierend. Ein Security Operation Center (SOC) ist mit bedeutenden Herausforderungen konfrontiert und Unternehmen gezwungen, mit der rasanten Entwicklung Schritt zu halten. Die verhaltensbasierte XDR-Technologie ist der Schlüssel für eine effektive Cyberabwehr – von der Prävention zur Recovery.
Im Rahmen der Cyberabwehr ist die Nutzung des umfassenden NIST-Cybersecurity-Frameworks 2.0 (MDR-/SOC-Dispositiv) entscheidend, um alle wesentlichen Sicherheitsaspekte sicherzustellen. Das heisst, eine ausgewogene Kombination aus Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung bildet die Grundlage für eine effektive Cyberabwehr und schützt vor potenziellen Schäden und geschäftsrelevanten Auswirkungen.
Abbildung 1: Das NIST-Cybersecurity Framework 2.0, das MDR/SOC-Dispositiv
Betrachten wir detailliert, wie die fünf Komponenten in diesem Sicherheits-Framework optimal ineinandergreifen.
Der erste Schritt jedes Sicherheits-Frameworks ist die Identifizierung. Dieser Prozess beinhaltet:
Nach der Identifikation der Risiken wenden wir uns den Schutzmassnahmen zu:
Die Erkennung von Sicherheitsvorfällen ist entscheidend für eine frühzeitige Warnung und schnelle Reaktion:
Nach der Detektion verdächtiger Aktivitäten gilt es, richtig zu reagieren:
Mit der Wiederherstellung ist der letzte Schritt nach einem Sicherheitsvorfall getan:
Dieser integrierte Ansatz gewährleistet, dass Unternehmen nicht nur proaktiv gegen Bedrohungen geschützt sind, sondern auch im Falle eines Angriffs schnell und effektiv reagieren und sich erholen können.
Untersuchen wir nun einen konkreten Angriffsversuch auf einen Service Provider. Dieser Fall verdeutlicht die Herausforderungen und Reaktionsstrategien bei komplexen Cyberangriffen. Dazu nehmen wir die Architekturprobleme, den Angriffsverlauf und die Reaktionsmassnahmen detailliert unter die Lupe.
Der analysierte Vorfall betraf einen Service Provider, der seine Infrastruktur in unserem SOC mit einem XDR-Stack 24/7 überwachen und schützen liess. Seinen Kunden liefert dieses Unternehmen Infrastruktur-as-a-Service, jedoch ohne ausreichendes Monitoring. Das architektonische Problem lag in der gemeinsamen Nutzung des Active Directory durch das Unternehmen und dessen Kundschaft. Die geteilte Verantwortung führte so zu einer erhöhten Risikoexposition. Nachdem die Meldung beim SOC eingegangen ist, war schnell klar, dass eine Intervention durch das CSIRT notwendig sein wird.
Erkundungstour zur Angriffsvorbereitung – Tag 1
Am ersten Tag richtete sich der Angreifer einen Zugang über eine «Cobalt Strike»-basierte «Command and Control»-Infrastruktur ein. Dies erfolgte in einem Bereich der Infrastruktur, der vom XDR-System nicht überwacht wurde. Der Angreifer erkundete das System, um festzustellen, ob sich das Unternehmen als Angriffsziel lohnen würde und verliess das System unverrichteter Dinge – jedoch nur vorübergehend.
Abbildung 2: Vorbereitende Aktivitäten und Erkundung
Fortsetzung und Erweiterung des Angriffs – Tag 9
Neun Tage nach dem initialen Zugang kehrte der Angreifer auf den kompromittierten Server zurück und führte weitere Aktivitäten durch. Bevor er mehrere Angriffsversuche ausführte, erweiterte er die Sichtbarkeit im Netzwerk:
Abbildung 3: DC-Sync-Attacke, Installationsversuche von Vulnerable Drivers und Cobalt Strike
Alarmierung und Aktivierung von«Incident Response»-Massnahmen
Der erste Alarm wurde um 5:27 Uhr UTC ausgelöst und signalisierte gleichzeitig die Aufnahme der Reaktionsmassnahmen. Zu diesen Massnahmen gehörten:
Neutralisierung und Bereinigung unter Einsatz von künstlicher und menschlicher Intelligenz
Die Neutralisierung des Angreifers erfolgte sowohl automatisiert durch den XDR-Stack als auch durch manuelle Massnahmen des «Incident Response»-Teams. Die Infrastruktur wurde gesäubert, um weitere Angriffe zu verhindern. Auch wenn die XDR-Technologie den Angriff stark verlangsamt hatte, war eine vollständige Neutralisierung nur durch koordinierte Massnahmen des Sicherheitsteams möglich.
Abbildung 4: Triagieren und Validieren
Insgesamt zeigt dieser Vorfall, dass moderne Sicherheitsarchitekturen kombiniert mit durchdachten Reaktionsprozessen entscheidend für den Schutz vor Cyberangriffen und deren Bewältigung sind.
Die Cyberabwehr-Journey beschreibt den systematischen Prozess, um eine robuste und effiziente Cyberabwehr aufzubauen.
Betrachten wir die Journey auf der Grundlage unseres vierstufigen «Managed Detect and Response (MDR) »-Settings genauer:
Abbildung 5: Die Cyberabwehr-Journey mit einem XDR-Stack
Die Initialisierung eröffnet die Cyberabwehr-Journey und legt den Grundstein für die gesamte Sicherheitsarchitektur.
Während der Realisierungsphase werden die grundlegenden Sicherheitskomponenten implementiert.
Das Baselining ist bedeutend für die Schaffung einer Grundlage zur kontinuierlichen Überwachung und Verbesserung.
In der Operations-Phase wird die Handlungsfähigkeit sichergestellt, damit 24/7 auf Bedrohungen reagiert werden kann.
Durch diesen strukturierten Ansatz in der Cyberabwehr-Journey kann ein Unternehmen sicherstellen, dass es über die notwendigen Technologien und Prozesse verfügt, um Angriffe effektiv zu erkennen, zu verhindern und darauf zu reagieren.
Die Cyberabwehr-Journey verdeutlicht: Eine durchdachte und strukturierte Sicherheitsstrategie mit wirkungsvollen Lösungen ist für den Schutz vor zunehmend komplexeren Cyberbedrohungen unverzichtbar. Doch auch die raffinierteste Technologie entfaltet ihre volle Wirkung nur mit der richtigen Expertise.
Unsere «ISO 27001:2022»-zertifizierten Sicherheitsexpert*innen unterstützen Sie, nicht nur bei der Wahl des passenden XDR-Stacks, sondern entwickeln mit Ihnen eine ganzheitliche Sicherheitsarchitektur, die Ihr Security Operation Center (SOC) in den Bereichen Detection, Response und Recovery optimal stärkt.
Gemeinsam stellen wir sicher, dass Ihre Cyberabwehr nicht nur heute, sondern auch in Zukunft den höchsten Ansprüchen gerecht wird.
Unsere zweiteilige Blogserie «XDR – das Zauberwort für eine effiziente Cyberabwehr» eröffnet Ihnen eine vollständige 360°-Perspektive:
Wir wünschen Ihnen eine inspirierende Lektüre.
Ausserdem zum Streamen: Denn wie mittels XDR Cyberbedrohungen effizient abgewehrt werden, diskutierten Ernesto Hartmann, Chief Cyber Defence Officer, und Sandro Bachmann, Senior Incident Responder, anlässlich eines InfoGuard Security Webcasts.
Die Aufzeichnung dieser Webcast-Ausgabe steht Ihnen als YouTube-Video zur Verfügung. Reinhören lohnt sich!
Bildlegende: mit Midjourney generiertes Bild