Cybersicherheit der KRITIS: CTI, funktionsübergreifende Teams und die Rolle des Menschen
Cyberkriminelle haben stets bewiesen, dass sie sehr geschickt neue Techniken zum Zugriff auf Zielinfrastrukturen entwickeln können. Zu den bekanntesten Beispielen gehören verschiedene Phänomene wie das Phishing, eine Variante des Spoofings zum Diebstahl von persönlichen Daten. Verbreitet sind auch das Spear-Phishing, ergo ein Phishing-Angriff in Kombination mit Social Engineering, und der sogenannte Polymorphismus, also die Fähigkeit, Antivirenprogramme mittels einer Reihe nicht zusammenhängender Fingerabdrücke zu umgehen. Die mittlerweile klassische Ransomware mit ihrer dreifachen Erpressungsstrategie darf ebenso wenig unerwähnt bleiben wie dateilose Malware, die ausschließlich im Arbeitsspeicher des Systems läuft. Obendrein gibt es neue Bedrohungen wie den Browser-in-the-Browser-Angriff, bei dem ein gefälschtes Pop-up-Fenster die Benutzer zur Angabe möglichst vieler persönlicher Daten verleitet.
Erschwerend kommen die Verbreitung von Clouds und mobilen Geräten (ob verbunden oder nicht) hinzu, die Entwicklung von APIs ohne Berücksichtigung potenzieller Schwachstellen, die IT/OT-Konvergenz sowie die heutigen hybriden und Multi-Cloud-Umgebungen für eine weitere Ausdehnung der Angriffsfläche im Unternehmen: Die fortschreitende Verflechtung unterschiedlichster Informationssysteme führt zu täglich neuen Sicherheitsverletzungen. Es ist also keine Überraschung, dass Fachleute aus dem Bereich Cybersicherheit viele Ressourcen in das Auditing der eingesetzten Systeme und Produkte investieren, um neue Schwachstellen zu erkennen und gleichzeitig in der Lage zu sein, neue Erkennungsmethoden zu entwickeln.
Die schwächsten und die stärksten Indikatoren berücksichtigen: Eine komplexe Aufgabe
Zur Aufdeckung möglicher Versuche, in das System einzudringen, werden alle möglichen Indikatoren von Kompromittierung analysiert. Am schwierigsten zu erkennen sind schwache Signale wie z. B. laterale Bewegungen oder Spuren von Verschleierung in einer Datei. Stärkere Signale hingegen sind Marker oder Muster von bösartigen Codes, die bereits als schädlich eingestuft wurden.
Die Grundlage der Analyse wird von Logs dominiert, die so zahlreich von Endgeräte- oder Netzwerksicherheitslösungen generiert werden. Zur Bewältigung des ständig wachsenden Datenvolumens setzen Firmen zentralisierte Tools wie SIEM („Security Information & Event Management“) ein, deren Berichte dann vom SOC („Security Operation Centre“) analysiert werden, um mögliche Angriffe zu erkennen. Einige SIEM-Lösungen nutzen maschinelles Lernen (ML) und Verhaltensanalysen, um verdächtige Aktivitäten zu erkennen. Darüber hinaus sind diese Lösungen in der Lage, kontextbezogene Berichte zu erstellen oder sogar bestimmte Endgeräte automatisch unter Quarantäne zu stellen. „Maschinelles Lernen oder fortgeschrittene Statistiksysteme sind zwar für bestimmte Fälle wie das Phishing effektiv, aber bei einer generalisierten Anwendung führen sie zu einer hohen Fehlerkennungsrate“, erklärt Uwe Gries, Country-Manager DACH bei Stormshield. „Die Auswertung der Ergebnisse erfordert weiterhin den menschlichen Eingriff, insbesondere bei der Untersuchung schwächerer Signale wie abnormalem Verhalten“, fügt Gries hinzu. Hilfreich sind hier SOAR-Plattformen („Security Orchestration, Automation and Response“), die dank automatisierter Triage- und Sicherheitsfunktionen zumindest für eine gewisse Optimierung der Ressourcen sorgen und die Priorisierung der Aktivitäten unterstützen.
Technologie: Weiterhin nur teilweise hilfreich
Aufgrund des Erfolgs von Cyberkriminellen bei der Umgehung technischer Schutzvorrichtungen kann man sich nicht ausschließlich auf Tools und Algorithmen verlassen. Stattdessen sind an die Arbeitsumgebung angepasste Kontroll- und Absicherungsmethoden erforderlich. Deren Ziel besteht darin, die kontinuierliche Überwachung mit der Überarbeitung und dem Verständnis von Daten zu verbinden, die intern nach den Grundsätzen der kollektiven Intelligenz geteilt werden müssen. Dabei bilden der systematische Einsatz von SOCs und Threat-Hunting sowie die konsequente Kombination von Informationen über die Angreifer eine zuverlässige operative Grundlage.
Das Cyber-Threat-Hunting zur Identifizierung der künftigen Angriffsmethoden ist eine Grundvoraussetzung für proaktive Cybersicherheit. Deshalb stellen Sicherheitsanbieter häufig Cyber-Threat-Intelligence-Teams (CTIs) ein, um ihre Schutz-Engines und -Mechanismen andauernd anzupassen und ihren Kunden die für den Schutz vor erkannten Bedrohungen erforderlichen Echtzeitdaten zu liefern. Anhand von Taktiken, Techniken und Verfahren (TTPs), Angriffsindikatoren (IoAs) und Kompromittierungsindikatoren (IoCs) aus ähnlichen Cyberangriffen können diese Spezialisten kompromittierte Bereiche oder neue Malware unabhängig von SOC-Berichten identifizieren. Die Rekrutierung von „Jägern“ ist heute allerdings auf dem immer enger werdenden Personalmarkt nicht gerade einfach und für die meisten Firmen ein Luxus, den sie sich nicht leisten können.
Funktionsübergreifende Teams: Wesentliche Voraussetzung in der Industrie
Das Problem ist im Industrieumfeld noch gravierender: Gibt es überhaupt Threat-Hunter mit IT- und OT-Kenntnissen auf dem Markt? Um Vorteile aus den Informationen über die Angreifer und ihre Vorgehensweise ziehen zu können, müssen die Daten, die dem SOC von der wachsenden Anzahl an Erkennungssonden in IT- und OT-Umgebungen zur Verfügung gestellt werden, korreliert, kontextualisiert und in Form eines CTI-Streams verteilt werden. Voraussetzung dafür ist der Austausch von Fachkenntnissen: „Wenn CTI-Analysten die Funktionsweise von Industrieprotokollen und die Natur der Kommunikation in OT-Umgebungen nicht verstehen, sind sie nicht in der Lage, sie zu analysieren und zwischen legitimem und abnormalem Verhalten zu unterscheiden“, sagt Gries. Bis sich die Industrie mit funktionsübergreifenden Teams ausstattet, bleibt die Kombination von Erkennungs- und Schutzlösungen die beste Option zur Absicherung der Infrastruktur. Eine Anmerkung: In den kritischsten Umgebungen herrscht die Tendenz vor, mit der sogenannten „abgekoppelten Sicherheit“ radikaler auf Bedrohungen zu reagieren. Solche Infrastrukturen kommunizieren nicht über das Internet und werden von IT-Abteilungen ad hoc manuell gewartet. Doch selbst in solchen isolierten Umgebungen hat der Fall Stuxnet gezeigt, dass direkte Angriffe auf die Maschinen nicht ausgeschlossen werden können.
Der Faktor Mensch
In einem Umfeld, in dem Angriffe die unterschiedlichsten Formen annehmen und über mehrere Zugangspunkte erfolgen, bleibt der Mensch ein zentrales Glied in der Kette. Die Analysten werden mit dem Aufstieg von Technologien rechnen müssen, die das Spoofing erleichtern, also etwa „Deep Fakes“ von Videos, Gesichtern und sogar Stimmen oder die Text-Augmentation, womit tausende E-Mails mit demselben Inhalt, aber leicht unterschiedlichen Nuancen generiert werden. Dadurch entziehen sie sich den zur Erkennung verwendeten Signaturen. Zukünftig wird es demnach erforderlich sein, die Methoden zur Identifizierung von Bedrohungen zu optimieren, um zuallererst zu gewährleisten, dass der Gesprächspartner tatsächlich eine Person ist. Zweitens muss sichergestellt werden, dass es sich um die Person handelt, mit der man in Kontakt treten möchte. Das Unternehmen Uber wurde kürzlich von einem Hacker angegriffen, der einen Mitarbeitenden über ein Chat-Fenster einfach um Zugangsdaten bat. Wenn es um Social-Engineering-Praktiken dieser Art geht, wird die Rolle derjenigen, die zwischen Stuhl und Tastatur sitzen, wichtiger denn je.
Weltweit müssen Unternehmen, Regierungsinstitutionen und Verteidigungsbehörden die Cybersicherheit ihrer kritischen Infrastrukturen, sensiblen Daten und Betriebsumgebungen gewährleisten. Die auf höchster europäischer Ebene zertifizierten Stormshield-Technologien sind die richtige Antwort auf IT- und OT-Risiken und erlauben den Schutz der Geschäftstätigkeit. Unsere Mission: Cybersorglosigkeit für unsere Kunden, damit diese sich auf ihre Kerntätigkeiten konzentrieren können, die für das reibungslose Funktionieren von Institutionen, Wirtschaft und Dienstleistungen für die Bevölkerung so wichtig sind. Die Entscheidung für Stormshield ist eine Entscheidung für eine vertrauenswürdige Cybersicherheit in Europa.
Weitere Informationen unter: stormshield.com/de/
Stormshield
22, rue du Gouverneur Général Éboué
F92130 Issy-les-Moulineaux
Telefon: +49 (89) 8091 3578 – 0
Telefax: +33 (3) 206196-39
https://www.stormshield.com/de
Pressestelle
Telefon: +49 (30) 5600.7954
E-Mail: press@sabcommunications.net