Cyber-Angriffe durch Prävention erkennen, bevor sie erheblichen Schaden anrichten
München, Starnberg, 05. Nov. 2021 - Quest On Demand Audit Anomaly Detection schützt durch Analyse auffälliger Kompromittierungsindikatoren; Backups reichen nicht mehr aus...
Zur Ankündigung: Quest Software bietet ab sofort mit On Demand Audit (ODA) Anomaly Detection ein spezialisiertes Tool zum Schutz vor Ransomware-Bedrohungen an. Die Lösung erkennt laut Anbieter anomales Verhalten in hybriden Active-Directory- (AD) und Microsoft-365-Umgebungen. ODA Anomaly Detection bietet zusätzlichen Schutz gegen diese Form der Cyberkriminalität, indem es signifikante Aktivitätsspitzen erkennen kann, die auf einen Angriff oder eine Kompromittierung hindeuten. So sollen Unternehmen in der Lage sein, Angreifer zu stoppen, noch bevor diese in ihre Umgebungen eindringen können. ODA Anomaly Detection kombiniert dazu die Überwachung wichtiger Kompromittierungs-Indikatoren (Indicators of Compromise, IOC) zur Vorbeugung von Angriffen mit fortschrittlichen Analysen, um anomale Zunahmen von Benutzeraktivitäten zu erkennen, die auf eine Attacke hindeuten.
Durch die automatische Analyse großer Mengen von Ereignissen werden Benutzer vorab über unregelmäßiges und inkonsistentes Verhalten informiert. Das versetzt Unternehmen in die Lage, nicht erst Opfer eines Angriffs werden zu müssen, um aktiv gegen eine Attacke vorzugehen. Die Früherkennungsfunktion stoppt Cyberkriminelle, bevor erheblicher Schaden entsteht. ODA Anomaly Detection liefert Informationen zum Kontext der Anomalien, um aktive Bedrohungen zu visualisieren. Diese Übersicht hilft Unternehmen dabei eine entsprechende Bewertung der Situation zu beschleunigen, weil Fehlalarme so schneller als solche erkannt werden können.
Laut Gartner zielen „immer raffiniertere Ransomware-Angriffe speziell auf Backup-Daten und Administratorfunktionen“. Dazu gehören „der Diebstahl von Login-Daten für wichtige Systemkonten“ sowie „Angriffe auf die Backup-Verwaltungskonsole“. (1) Der CISA MS-ISAC Ransomware-Guide sieht daher eine Präventionstaktik vor, die als „Prinzip der geringstmöglichen Rechte“ bezeichnet wird. Dies bedeutet, dass Benutzer nur Zugriff auf Systeme und Dienste erhalten, die sie für ihre Arbeit auch wirklich benötigen. Angreifer suchen gezielt nach Konten mit umfangreichen Zugriffsrechten, um Netzwerke weitreichend mit Ransomware zu infiltrieren.
Abb. 1: Pair Change Auditor and On Demand Audit for a single, hosted view of hybrid activity from a SaaS dashboard. (Quelle: Quest On-Demand-Audit / Document, On Demand Audit Hybrid Suite for Office 365 Security and compliance auditing for hybrid Microsoft environments).
ODA Anomaly Detection verfolgt laut Entwickler einen einzigartigen Ansatz zur Überwachung der AD-Sicherheit, indem es Versuche zur Kompromittierung des Verzeichnisses in Echtzeit erfasst, um Angreifer daran zu hindern sich in der Netzwerkumgebung zu verbreiten. Gleichzeitig prüft das Tool die Benutzeraktivitäten im lokalen AD (On-Premises), in Dateien und Anwendungen ebenso wie in Azure AD und Microsoft 365. Dadurch wird ungewöhnliches Verhalten, das unter Umständen auf einen Eindringling im Netzwerk schließen lässt, schnell erkannt. ODA Anomaly Detection ergänzt Quests Recovery Manager for Active Directory Disaster Recovery Edition. Der Recovery Manager ist ein Werkzeug, das Unternehmen dabei unterstützt, das Risiko einer erneuten Malwareinfektion während des gesamten Active-Directory-Wiederherstellungsprozesses zu eliminieren.
(1) Quelle: Gartner, Detect, Protect, Recover: How Modern Backup Applications Can Protect You From Ransomware, Nik Simpson und Ron Blair, 6. Januar 2021.
Querverweis:
Hardware-Manipulationen mit Funkwellen erkennen
Hardware vor Manipulationen zu schützen ist bislang eine mühsame Angelegenheit – teuer und nur in kleinem Maßstab möglich. Dabei könnten zwei einfache Antennen reichen.
Für die Datensicherheit gibt es eine noch unmittelbarere Gefahr als Cyberangriffe aus der Ferne: Manipulationen an der Hardware, über die sich Informationen auslesen lassen – etwa Kreditkartendaten aus einem Kartenlesegerät. Bochumer Forscher haben eine neue Technik entwickelt, um solche Manipulationen zu entdecken. Sie überwachen die Systeme mit Funkwellen, die auf kleinste Veränderungen der Umgebung reagieren. Im Gegensatz zu herkömmlichen Verfahren können sie so ganze Systeme, nicht nur einzelne Komponenten schützen – und das auch noch kostengünstiger. Über die Arbeit des Teams der Ruhr-Universität Bochum (RUB), des Max-Planck-Instituts für Sicherheit und Privatsphäre und des IT-Unternehmens PHYSEC berichtet das Wissenschaftsmagazin Rubin der RUB.
Paul Staat und Johannes Tobisch stellten die Arbeiten auf dem IEEE Symposium on Security and Privacy vor, das vom 23. bis 25. Mai 2022 in den USA stattfand. Die beiden promovieren an der RUB und forschen am Bochumer Max-Planck-Institut für Sicherheit und Privatsphäre im Team von Prof. Dr. Christof Paar. Dabei kooperieren sie mit Dr. Christian Zenger, Geschäftsführer des aus der RUB ausgegründeten Unternehmens PHYSEC.
Schutz mittels Funkwellen
Daten sind nichts anderes als elektrische Ströme, die zwischen verschiedenen Computer-Bauteilen über Leiterbahnen wandern. Ein winziger metallischer Gegenstand, an der richtigen Stelle der Hardware platziert, kann ausreichen, um die Informationsströme abzugreifen. Bislang lassen sich nur einzelne Komponenten von Systemen, etwa ein besonders wichtiges Speicherelement oder ein Prozessor, vor solche Manipulationen schützen. „In der Regel passiert das mit einer Art Folie mit dünnen Drähten, in die die Hardware-Komponente eingepackt ist“, erklärt Paul Staat. „Wird die Folie beschädigt, schlägt das System Alarm.“
Mit der Bochumer Funkwellen-Technik lässt sich hingegen ein ganzes System überwachen. Die Forscher versehen es dazu mit zwei Antennen: einem Sender und einem Empfänger. Der Sender schickt ein spezielles Funksignal in die Umgebung, das sich überall im System ausbreitet und an den Wänden und Computerkomponenten reflektiert wird. Durch all diese Reflektionen kommt beim Empfänger ein Signal an, das für das System so charakteristisch ist wie ein Fingerabdruck.
Technik reagiert auf kleinste Veränderungen
Winzige Veränderungen am System reichen aus, um den Fingerabdruck merklich zu beeinflussen, wie das Team experimentell nachwies. Die IT-Experten statteten einen herkömmlichen Computer mit Funkantennen aus und versahen dessen Gehäuse in regelmäßigen Abständen mit Löchern. Durch diese Löcher konnten sie eine feine Metallnadel in das Innere des Systems eindringen lassen und überprüfen, ob sie die Veränderung im Funksignal bemerken. Sie variierten dabei die Dicke der Nadel, die Position und die Eindringtiefe.
Bei laufendem Betrieb des Computers konnten sie das Eindringen einer 0,3 Millimeter dicken Nadel ab einer Eindringtiefe von einem Zentimeter zuverlässig erkennen. Selbst bei einer Nadel von 0,1 Millimeter Dicke – etwa so dick wie ein Haar – schlug das System noch an, allerdings nicht an allen Positionen. „Je näher sich die Nadel zur Empfangsantenne befindet, desto leichter ist sie zu detektieren“, erklärt Staat. „Für die Praxis ist es also sinnvoll, sich genau zu überlegen, wo man die Antennen platziert“, ergänzt Tobisch. „Sie sollten sich möglichst nah bei den besonders schützenswerten Komponenten befinden.“
Prinzipiell eignet sich die Technik sowohl für Hochsicherheitsanwendungen als auch für Alltagsprobleme. Das IT-Unternehmen PHYSEC nutzt sie bereits, um unerlaubte Manipulationen an kritischen Infrastrukturkomponenten zu verhindern.
Ausführlicher Beitrag im Wissenschaftsmagazin Rubin Einen ausführlichen Beitrag zum Thema finden Sie in der Sonderausgabe des Wissenschaftsmagazins Rubin zum Thema IT-Sicherheit. Für redaktionelle Zwecke dürfen die Texte auf der Webseite unter Angabe der Quelle „Rubin – Ruhr-Universität Bochum“ sowie Bilder aus dem Downloadbereich unter Angabe des Copyrights und Beachtung der Nutzungsbedingungen honorarfrei verwendet werden. Rubin kann als Printmagazin oder als Newsletter kostenlos abonniert werden.
Förderung Die Arbeiten sind eingebettet in das Exzellenzcluster CASA – Cyber-Sicherheit im Zeitalter großskaliger Angreifer, welches die Deutsche Forschungsgemeinschaft fördert (EXC 2092).
Originalveröffentlichung Paul Staat, Johannes Tobisch, Christian Zenger, Christof Paar: Anti-tamper radio: System-level tamper detection for computing systems, IEEE Symposium on Security and Privacy, San Francisco, USA, 2022 Conference Proceedings, DOI: 10.1109/SP46214.2022.00067
Cyberangriffe in 3 Schritten erfolgreich identifizieren
Cyberkriminelle suchen für ihre Angriffe stets die Schwachstellen im System. Entsprechend beginnt man mit der Identifizierung der Netzwerkteilnehmer. Nach der Erkennung der einzelnen Assets beginnt man mit der Einstufung des Risiko. Entsprechend der Risikoeinstufung können dann Schritt für Schritt die sicherheitsrelevanten Verbesserungen der Assets vorgenommen werden.
Cyberkriminelle greifen dort an, wo das Netzwerk am schwächsten ist. Zunächst sollten Sie daher genau identifizieren, was in Ihrem Netzwerk schützenswert ist. In Ihrem Netzwerk definieren Sie IT-Assets und kritische Bereiche, die ein Cyber-Angriff empfindlich treffen würde, z. B. Hard- und Softwareelemente, die für den Produktionsprozess unabdingbar sind. Durch Angriffe auf Ihr Netzwerk können diese Elemente – und dadurch sogar die gesamte Produktionsanlagen selbst – empfindlich getroffen oder sogar zerstört werden. Doch damit nicht genug.
Während Hard- und Software und sogar teure Produktionsanlagen im Falle des Falles vielleicht gerade noch ersetzbar sind, liegt das wahre Kapital der meisten Unternehmen in ihrem geistigen Eigentum. Vor allem in produzierenden Unternehmen bilden wertvollste und unersetzliche Informationen, zum Beispiel zum Herstellungsprozess oder der materiellen Zusammensetzung eines Produkts, die Grundlage des Geschäftsbetriebs und des Unternehmenserfolgs.
Der Verlust oder Diebstahl dieser geheimen Informationen im Zuge eines Cyberangriffes, vielleicht sogar durchgeführt von einem Mitbewerber, trifft ein Unternehmen somit auf das Härteste und bedroht dessen Existenz.
