Verhaltensbasierte Netzwerkangriffe entdecken
Von: David Thompson
Präventive Sicherheitsvorkehrungen können Netzwerkangriffe nicht hundertprozentig abhalten. Penetrationtester behaupten sogar, binnen zwei Tagen erfolgreich eindringen zu können. Prävention ist zwar weiterhin notwendig, doch auf Dauer wird dies nicht ausreichen, um einen Angreifer zu stoppen.
Motivierte Angreifer finden ihren Weg ins Netzwerk. Der Trick besteht darin, einen aktiven Angreifer dann so früh zu finden, dass man seine Diebstähle oder andere Schäden rechtzeitig vereiteln oder minimieren kann. Die bisherigen Sicherheitstools und -verfahren sind wenig geeignet, um solche in einem Netzwerk zu entdecken. Die durchschnittliche Verweilzeit eines Angreifers – fünf Monate – und die lange Liste spektakulärer Sicherheitspannen machen dies mehr als deutlich.
Aktuell basiert die Erkennung von aktiven Netzwerkangreifern auf der Untersuchung von Spuren – vordefinierte Signaturen, Hashes, Software-Verhalten, URLs und andere Anzeichen. Angreifer müssen anhand ihrer operativen Aktivitäten erkannt werden. Sie sind reale Widersacher, die Schritt für Schritt einen Feldzug durchführen, um an die wertvollen Assets in einem Netzwerk zu kommen. Möglicherweise setzen sie bei ihrer Arbeit Malware ein, aber nicht unbedingt. Einerseits gibt es andere Wege oder die Schädlinge werden schlichtweg nicht erkannt, obwohl tatsächlich ein aktiver Angriff im Gang ist.
Wer tut was und bei wem?
Wenn ein Angreifer in ein Netz eingedrungen ist – mit großer Wahrscheinlichkeit über einen kompromittierten Client oder ein kompromittiertes Benutzerkonto –, dann befindet er sich erst einmal in einer Umgebung, die ihm nicht vertraut ist. Folglich muss er nun vorrangig zwei Dinge tun: Er muss zunächst das Netzwerk erforschen und kennenlernen (Abtasten), um Assets und die Zugangswege zu ihnen zu finden. Im zweiten Schritt wird er mittels „lateraler“ Bewegungen seinen Kontrollbereich ausweiten und sich Zugriff auf wertvolle Daten sichern. Diese „Ost-West“-Bewegungen im Netz erfolgen zumeist komplett im Verborgenen. Sicherheitssysteme, die auf Basis des „Known Bad“-Modells nach Spuren suchen, werden diese Aktivitäten nicht sehen.
Auch Systeme zur Erkennung von Endgeräten sind nur sehr begrenzt in der Lage, Angriffsaktivitäten zu entdecken, die sich in Ost-West-Richtung vollziehen. Solche Operationen sind naturgemäß Netzwerkaktivitäten. Gewiss werden sie von einem Nutzer initiiert, doch sie lassen sich am besten zunächst auf der Netzwerkebene beobachten und können dann mit einem bestimmten Benutzerprozess assoziiert werden.
Die Netzwerkerkennung muss sich mit sämtlichen Aktivitäten im Netz beschäftigen und darf sich nicht nur auf Informationen zum Routing von Paketen beschränken. Alles dreht sich hier um die Frage: „Wer tut was und bei wem?“ Gängige Mittel der Erkundung sind etwa Portscans, Suche nach Dateifreigaben im Netzwerk oder die Suche nach den verschiedenen Diensten, die auf anderen Rechnern ausgeführt werden. Diese Aktivitäten lassen sich am besten als Vorgänge im Netzwerk sehen. Dann ist jedoch ein weiterer Schritt erforderlich, um eine normale Netzwerkaktivität von einer zu unterscheiden, die sowohl ungewöhnlich als auch bösartig ist.
Trennung zwischen normabweichenden und bösartigen Vorgängen hört sich gut an, lässt sich aber mit klassischen Sicherheitslösungen nicht realisieren. Die heutigen Sicherheitssysteme melden jeden noch so kleinen Hinweis und produzieren eine Unmenge an Alarme. Die Mitarbeiter in IT-Abteilungen kämpfen häufig mit einer überwältigen Anzahl von False Positives. Eine Umfrage des Ponemon Institutes ergab, dass ein Unternehmen im Durchschnitt 16.937 Alarme pro Woche erhält. Es ist unwahrscheinlich, dass ein Sicherheitsmitarbeiter echte Anzeichen für eine Angriffsaktivität finden kann.
Reduzierung der False Positives
Eine grundlegende Veränderung der Angriffserkennung lässt sich durch Live-Verhaltensanalysen erreichen. Mithilfe von Behavorial-Attack-Detection (BAD)-Systemen, wie sie Lightcyber bietet, können Verhaltensmuster, Datenströme und Informationen zu Endpunkten korreliert und analysiert werden. Dazu werden zunächst Basisprofile aller Nutzer sowie aller Geräte erstellt, die im Netzwerk eine IP-Adresse haben. Durch Machine Learning können über BAD anonyme Profile erstellt werden, kontinuierliches Monitoring der Netzwerke erkennt Anomalien.
Es ist wichtig, aus den Anomalien diejenigen Vorgänge herauszufiltern, die wirklich bösartig sind. Idealerweise ist das System in der Lage, noch einen Schritt weiterzugehen und zu erkennen, inwiefern verschiedene Ereignisse miteinander verbunden und Teilschritte eines tatsächlichen Angriffs sein könnten. Dank der Genauigkeit dieses Verfahrens muss ein System nur eine kleine Anzahl von Alarmen pro Tag erzeugen, die das Sicherheits- oder IT-Team leicht handhaben kann.
Die veränderte Gefahrenlandschaft setzt Unternehmen unter Druck und viele haben bereits mehrere Sicherheits-Tools im Einsatz. Doch immer neue Werkzeuge bedeuten auch mehr Alarme und größeren Aufwand in deren Bedienung. Mit BAD verbessern Organisationen die Effizienz ihrer IT-Sicherheit. Gleichzeitig erhöhen sie das Schutzniveau und können auch Angriffe mit unbekannter Malware entdecken.
Bildquelle: Thinkstock/iStock
Security Report: Netzwerkangriffe auf Dreijahreshoch
Anzeige
Beitrag teilen
Der jüngst veröffentlichte Internet Security Report von WatchGuard Technologies belegt für den Zeitraum von Oktober bis Dezember 2021 eine klare Malware-Konzentration in Europa. In der EMEA-Region war die Anzahl der erkannten Malware-basierten Gefahren im Vergleich mit dem Rest der Welt nahezu doppelt so hoch.
Bemerkenswert ist in dem Zusammenhang aber auch erneut die Qualität der einschlägigen Bedrohung. Die Forscher des WatchGuard Threat Labs, die alle drei Monate auf Basis der anonymisierter Feed-Daten der weltweit eingesetzten Firebox-Appliances die wichtigsten Angriffstrends identifizieren und im Detail aufarbeiten, konnten einen 33-prozentigen Zuwachs der besonders tückischen „evasive Malware“-Varianten feststellen. Dadurch steigt das von Zero-Day-Threats ausgehende Risiko nochmals deutlich.
Anzeige
Anstieg von Zero-Day-Threats
„Auf Unternehmensseite entstehen durch den anhaltenden Wandel hin zu einer dezentral agierenden Belegschaft immer mehr potenzielle Sicherheitslücken, die es zu schließen gilt“, bringt Corey Nachreiner, Chief Security Officer bei WatchGuard Technologies, die aktuelle Herausforderung vieler Unternehmen auf den Punkt: „Angesichts der höchsten, je verzeichneten Anzahl von Zero-Day-Bedrohungen und einer Angriffsfläche, die sich inzwischen weit über den traditionellen Netzwerkperimeter hinaus auf IoT, Heimnetzwerke und mobile Endgeräte erstreckt, ist es für Unternehmen mittlerweile nahezu unverzichtbar, ein ganzheitliches und einheitliches Sicherheitskonzept zu verfolgen. Dieses muss sich zudem jederzeit schnell und effizient an eine sich zügig verändernde Bedrohungslandschaft anpassen lassen. Regelmäßige Updates und Patches für die eingesetzten Systeme sind in dem Zusammenhang eine Mindestanforderung. Sie gehören zu den einfachsten und gleichzeitig wichtigsten Maßnahmen, um Hackern Einhalt zu gebieten.“
Wichtige Ergebnisse Internet Security Reports
Kontinuierlich steigende Angriffszahlen untermauern die Komplexität der Anforderungen beim Thema Netzwerksicherheit – Netzwerkübergriffe nehmen nach wie vor stetig zu und die Anzahl der aufgedeckten Ereignisse erreichte im letzten Quartal 2021 den höchsten Stand seit drei Jahren – mit einem Anstieg von 39 Prozent gegenüber dem Vorquartal. Zurückführen lässt sich dies nicht zuletzt darauf, dass alte Schwachstellen immer noch ausgenutzt werden. Hinzu kommt die weitere Ausdehnung der Unternehmensnetzwerke, wodurch sich die Angriffsfläche natürlich vergrößert.
– Netzwerkübergriffe nehmen nach wie vor stetig zu und die Anzahl der aufgedeckten Ereignisse erreichte im letzten Quartal 2021 den höchsten Stand seit drei Jahren – mit einem Anstieg von 39 Prozent gegenüber dem Vorquartal. Zurückführen lässt sich dies nicht zuletzt darauf, dass alte Schwachstellen immer noch ausgenutzt werden. Hinzu kommt die weitere Ausdehnung der Unternehmensnetzwerke, wodurch sich die Angriffsfläche natürlich vergrößert. Bei 78 Prozent der Malware, die über verschlüsselte Verbindungen übertragen wird, handelt es sich um evasive Varianten, die von signaturbasierten Sicherheitslösungen nicht erkannt werden – Insgesamt 67 Prozent der identifizierten Malware nutzten zur Verbreitung verschlüsselte Verbindungen. Bei 78 Prozent davon handelte es sich um ausweichende (evasive) Zero-Day-Malware-Bedrohungen, die sich klassischen Erkennungsmethoden entziehen. Damit setzt sich ein Trend fort, der bereits in den vergangenen Quartalen zu beobachten war. Solche Gefahren könnten von Firewalls, die so eingestellt sind, dass sie jeglichen eingehenden Datenverkehr entschlüsseln und scannen, oftmals schon am Perimeter gestoppt werden. In den Reihen vieler Unternehmen sind entsprechende Maßnahmen jedoch nach wie vor nicht umgesetzt.
– Insgesamt 67 Prozent der identifizierten Malware nutzten zur Verbreitung verschlüsselte Verbindungen. Bei 78 Prozent davon handelte es sich um ausweichende (evasive) Zero-Day-Malware-Bedrohungen, die sich klassischen Erkennungsmethoden entziehen. Damit setzt sich ein Trend fort, der bereits in den vergangenen Quartalen zu beobachten war. Solche Gefahren könnten von Firewalls, die so eingestellt sind, dass sie jeglichen eingehenden Datenverkehr entschlüsseln und scannen, oftmals schon am Perimeter gestoppt werden. In den Reihen vieler Unternehmen sind entsprechende Maßnahmen jedoch nach wie vor nicht umgesetzt. Neuer Spitzenreiter bei Office-Exploit-Malware bahnt sich den Weg – Im 4. Quartal wurde, wie bereits im Quartal davor, eine signifikante Häufigkeit von Malware verzeichnet, die auf Office-Dokumente abzielt und entsprechende Schwachstellen ausnutzt. Die im Zusammenhang mit der Schwachstelle „CVE-2018-0802″ erkannte Malware, die in Q4 2021 äußerst weit verbreitet war, klettert auf der Top-10-Malware-Liste sogar noch um einen Platz nach oben und erreicht diesmal Position 5. Die Forscher vermuten, dass diese Sicherheitslücke die bislang führende „CVE-2017-11882″-Schwachstelle als führenden Office-Exploit abgelöst hat.
– Im 4. Quartal wurde, wie bereits im Quartal davor, eine signifikante Häufigkeit von Malware verzeichnet, die auf Office-Dokumente abzielt und entsprechende Schwachstellen ausnutzt. Die im Zusammenhang mit der Schwachstelle „CVE-2018-0802″ erkannte Malware, die in Q4 2021 äußerst weit verbreitet war, klettert auf der Top-10-Malware-Liste sogar noch um einen Platz nach oben und erreicht diesmal Position 5. Die Forscher vermuten, dass diese Sicherheitslücke die bislang führende „CVE-2017-11882″-Schwachstelle als führenden Office-Exploit abgelöst hat. Emotet ist zurück – Zwei neue Domains wurden in diesem Quartal in die Liste der von WatchGuard entdeckten Top-Malware-Domänen aufgenommen. Eine davon, Skyprobar[.]info, steht mit dem Banking-Trojaner Emotet in Verbindung, der sich via Command-and-Control-Infrastrukturen zuletzt zu einem Einfallstor für unterschiedliche Malware-Payloads weiterentwickelt hatte. Nachdem es den Strafverfolgungsbehörden mehrerer Länder Anfang 2021 gelungen war, die zugrundeliegenden Strukturen auszuhebeln, wurde es zunächst ruhig um Emotet – bis zum Revival im vierten Quartal 2021.
WatchGuard Q4 2021 Internet Security Reports
All diese Erkenntnisse des vierteljährlichen Forschungsberichts von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard Fireboxen, deren Besitzer der Weitergabe von Daten zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben. Im vierten Quartal 2021 blockierte WatchGuard insgesamt mehr als 23,9 Millionen Malware-Varianten (313 pro Gerät) und rund 5,9 Millionen Netzwerkbedrohungen (75 pro Gerät). Der vollständige Bericht enthält neben den vielfältigen Einblicken in die Malware- und Netzwerktrends aus dem vierten Quartal 2021 nicht zuletzt eine detaillierte Analyse der Log4Shell-Schwachstelle, adäquate Hinweise zu empfohlenen Sicherheitsstrategien sowie wichtige Abwehrtipps für Unternehmen aller Größen und Branchen.
Anzeige
Mehr bei
WatchGuard Technologies gehört zu den führenden Anbietern im Bereich IT-Sicherheit. Das umfangreiche Produktportfolio reicht von hochentwickelten UTM (Unified Threat Management)- und Next-Generation-Firewall-Plattformen über Multifaktor-Authentifizierung bis hin zu Technologien für umfassenden WLAN-Schutz und Endpoint Protection sowie weiteren spezifischen Produkten und intelligenten Services rund ums Thema IT-Security. Mehr als 250.000 Kunden weltweit vertrauen auf die ausgeklügelten Schutzmechanismen auf Enterprise-Niveau,
Passende Artikel zum Thema
„Ziegler Paul Sebastian, Netzwerkangriffe von innen“ – Bücher gebraucht, antiquarisch & neu kaufen
Autor / in:
Titel:
Stichwort:
Verlag:
ISBN:
Zeitraum: von bis
Sprache: alle Sprachen Deutsch Englisch Französisch ------- Afrikaans Albanisch Amharisch Arabisch Armenisch Aserbaidschanisch Baskisch Belarussisch Bengalisch Bosnisch Bretonisch Bulgarisch Bündnerromanisch Chinesisch Dänisch Deutsch Englisch Esperanto Estnisch Färöisch Finnisch Französisch Friesisch Galizisch Georgisch Griechisch (Alt-) Griechisch (Neu-) Hebräisch Hindi Indonesisch Irisch Isländisch Italienisch Japanisch Jiddisch Kasachisch Katalanisch Klingonisch Koreanisch Korsisch Kroatisch Kurdisch Lateinisch Lettisch Litauisch Luxemburgisch Maltesisch Marathi Mazedonisch Moldauisch Mongolisch Nepali Niederdeutsch Niederländisch Norwegisch Pali Paschtunisch Persisch Polnisch Portugiesisch Rumänisch Russisch Sanskrit Schwedisch Serbisch Slowakisch Slowenisch Sorbisch (Nieder-) Sorbisch (Ober-) Spanisch Swahili Syrisch Tagalog Tamil Telugu Thai Tibetisch Tschechisch Türkisch Ukrainisch Ungarisch Urdu Usbekisch Vietnamesisch Walisisch
Einband: alle Einbände Softcover/Taschenbuch Hardcover/gebunden Heft/Zeitschrift Flexi/Plastik Leinen Leder Pergament Seide Brief/Blatt/Landkarte Ringbindung Postkarte/Sammelkarte Leporello Übergröße Kleinformat
signiert: nur signierte Bücher
Erstausgabe: nur Erstausgaben / -auflagen
Zustand: alle Zustände wie neu (oder besser) leichte Gebrauchsspuren (oder besser) deutliche Gebrauchsspuren (oder besser)
Bild: nur Angebote mit Bild
Lieferbarkeit: nur garantiert lieferbare Angebote
Preis: € – € inkl. Versand
Anbieter: alle Anbieter nur Privat nur Profi
Anbieter aus: alle Länder ------- Deutschland Österreich Schweiz Niederlande ------- Afghanistan Australien Belgien Brasilien Bulgarien Chile Dänemark Deutschland Finnland Frankreich Griechenland Großbritannien Iran Irland Italien Japan Kroatien Lettland Liechtenstein Luxemburg Marokko Niederlande Norwegen Österreich Polen Portugal Rumänien Rußland Schweden Schweiz Singapur Slowakei Slowenien Spanien Tschechien Türkei Ukraine Ungarn USA Vatikanstadt
Zahlungsarten: PayPal
weitere anzeigen Banküberweisung
Offene Rechnung (Vorkasse vorbehalten)
Sofortüberweisung
Selbstabholung und Barzahlung
Kreditkarte
Lastschrift
Nachnahme
Skrill/Moneybookers
Umkreis: + 5 km + 20 km + 100 km
Nur Angebote aus den letzten Tagen