Suchen

Security

Alchemie in der IT-Security – So macht man aus Logdaten Gold

| Autor/ Redakteur: Egon Kando* / Sebastian Human

Vor allem APTs (Advanced Persistent Threats) geben IT-Sicherheitsexperten Anlass zu großer Sorge. Die Besonderheit von APTs liegt darin, dass sie über eine lange Zeit, mitunter über Jahre hinweg, unentdeckt bleiben können – und das gefährdet Nutzer und Unternehmen.

Firmen zum Thema

Phishing-Mails werden seit Jahren verwendet, um Hacker Angriffe auf Unternehmensnetzwerke durchzuführen. Die SIEM-Technologie soll diese Angriffe besser aufspüren können.
Phishing-Mails werden seit Jahren verwendet, um Hacker Angriffe auf Unternehmensnetzwerke durchzuführen. Die SIEM-Technologie soll diese Angriffe besser aufspüren können.
(Bild: gemeinfrei / Unsplash)

Derartige Netzwerkangriffe setzen vorwiegend auf die Kompromittierung der Nutzerkonten von Unternehmensangehörigen. Anschließend können die Angreifer sich legitim durch das Netzwerk bewegen, Malware platzieren und diese sogar gezielt weiterentwickeln, um sie vor gängigen Sicherheitslösungen zu verbergen. Um diesen komplexen Angriffen zu begegnen, setzen viele Organisationen heute auf neueste SIEM-Technologie (Security Information Event Management), die es schafft, auch fortschrittliche Angriffe anhand ihrer Spuren im Netzwerk aufzudecken.

Angreifer nutzen verschiedene Methoden, um sich Zugriff zu verschaffen

Phishing-E-Mails sind nach wie vor eine der bevorzugten Methoden von Cyberkriminellen, um an die Zugangsdaten nichtsahnender Nutzer zu kommen. Waren diese E-Mails in der Vergangenheit schon schwer zu erkennen, so sind sie heute für Nicht-Experten kaum mehr zu identifizieren. Berühmt berüchtigt ist bis heute der erfolgreiche Phishing-Hack, den russische Hacker auf den Wahlkampfmanager der Demokraten in den USA vor der Präsidentschaftswahl 2016 ausführten. Eine einfache E-Mail brachte die Sekretärin des Managers John Podesta dazu, das Passwort einzugeben, das den Hackern anschließend Zugriff auf das gesamte Postfach gewährte. Im Unternehmensumfeld ist das Microsoft-Passwort das bevorzugte Ziel, da es das Tor zum internen Netzwerk öffnet.

Das Geflecht von Passwörtern, Software-Passwort-Managern, zweistufiger Authentifizierung oder Hardware-Authentifizierung über Tokens oder Passcode-Generatoren ist für viele Nutzer oft schwer zu verstehen. Hacker machen sich dies zunutze und visieren gezielt Nutzer an, die keine Experten sind und Schwierigkeiten damit haben, professionell gefälschte Phishing und Social-Engineering-Angriffe auf den ersten Blick zu erkennen. Erfolgreiche Hacks sind somit in den meisten Unternehmen nur eine Frage der Zeit und die IT-Sicherheit muss darauf reagieren können. Dementsprechend benötigen Unternehmen eine Möglichkeit, um Angriffe zu identifizieren und abwehren zu können, selbst wenn sie über einen legitimen Nutzeraccount lanciert werden.

Beispiel einer Phishing-E-Mail aus dem Jahr 2015, mit noch einigen Fehlern. Heutige Phishing-E-Mails sind so gut gefälscht, dass sie von den echten kaum mehr zu unterscheiden sind.
Beispiel einer Phishing-E-Mail aus dem Jahr 2015, mit noch einigen Fehlern. Heutige Phishing-E-Mails sind so gut gefälscht, dass sie von den echten kaum mehr zu unterscheiden sind.
(Bild: Exabeam)

Logdaten können dabei helfen, Angreifer zu entlarven

Doch auf welche Art auch immer Cyberkriminelle Zugang erlangen: Sie können sich nicht vollständig unbemerkt durch das Netzwerk bewegen. Sobald Malware eine Aktion im Netzwerk veranlasst, zum Beispiel Daten ausspäht, Privilegien erhöht oder Zugriff auf Systeme sucht, hinterlässt sie Spuren in Form von Logdaten. Zwar können komplexe APTs mitunter die von Organisationen eingesetzten Sicherheitslösungen manipulieren, um unentdeckt zu bleiben. Loginformationen hingegen lassen sich nicht einfach löschen oder ändern – und können damit genutzt werden, verdächtiges Verhalten im Netzwerk aufzudecken. Diese sind für den Schutz vor Malware Gold wert, denn mit ihnen lassen sich Angreifer entlarven, die sich als legitime User oder Softwares tarnen und die Sicherheitslösungen umgehen.

Unternehmen häufen heute sehr große Mengen an Logdaten an. Nutzt man diese in Verbindung mit KI-Technologien und maschinellem Lernen, erhält man eine effiziente Möglichkeit zur verhaltensbasierten Netzwerküberwachung. Die intelligenten Algorithmen können Muster erkennen und aus einer Sammlung an Loginformationen Zusammenhänge zwischen scheinbar nicht zusammenhängenden Teilen von Nutzeridentitäten ausfindig machen. Nicht plausible Aktivitäten eines Benutzeraccounts melden sie automatisch der IT-Sicherheit.

Next-Generation-SIEM als schlagkräftige Abwehrwaffe gegen Angriffe jeder Art

Sicherheitslösungen, die Logdaten zur Identifizierung von verdächtigem Verhalten im Netzwerk aufdecken können, gibt es schon seit fast zwei Jahrzehnten. Verschiedene Generationen von SIEM-Lösungen (Security Information Event Management) tragen seitdem dazu bei, die Sicherheit im Unternehmen zu erhöhen. Die ersten Generationen von SIEM waren noch aufwendig in der Verwaltung und überschwemmten die Sicherheitsteams oft mit Fehlwarnungen. Moderne Next-Gen-SIEMs nutzen im Gegensatz zu ihren älteren Verwandten unter anderem KI und Maschinelles Lernen. Derartig aufgerüstet verfügen sie über den notwendigen Kontext, umFehlalarme zu minimieren. Moderne SIEM-Technologien wie UEBA und SOAR steigern die Produktivität noch weiter, indem sie nicht nur Angriffe erkennen, sondern auch bei der Abwehr dieser helfen.

Um das vorher genannte Beispiel der russischen Hacker aufzugreifen, die erfolgreich in das Postfach des Wahlkampfmanagers eindrangen: Eine Next-Gen-SIEM-Lösung hätte hier mit hoher Wahrscheinlichkeit Alarm geschlagen. Denn es wurde zwar mit dem richtigen Passwort zugegriffen, die Angreifer taten dies jedoch über einen neuen Computer und von einer unbekannten IP-Adresse an einem weit entfernten Ort. Beides sind Aktionen, die signifikant vom normalen Verhaltensprofil der Identität abweichen und damit als verdächtig eingestuft werden.

SIEM ergänzt konventionelle Sicherheitslösungen

Um den Risiken durch APTs entgegenwirken zu können, benötigen IT-Teams Lösungen, die ihre konventionellen Abwehrmaßnahmen ergänzen. Egal wie durchtrieben die Angreifer auch vorgehen mögen, sie hinterlassen digitale Spuren im Netzwerk in Form von Logdaten. Moderne SIEM-Lösungen der neuesten Generation nutzen agile Methoden für die Logdatenanalyse. Mit Maschinellem Lernen und KI bilden sie daraus eine wertvolle Gefahrenabwehr und machen so aus den vorher wertlosen Logdaten Gold.

* Egon Kando ist Regional Sales Director Central & Eastern Europe bei Exabeam. Der diplomierte Ingenieur ist seit über 18 Jahren im IT-Security Markt tätig und begann seine Karriere einst bei der BinTec AG in Nürnberg. Im Verlauf seiner Karriere war der erfahrene IT-Spezialist in verschiedenen Rollen bei Internet Security Systems, später IBM ISS, SonicWALL und Imperva beschäftigt.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46105293)