Alchemie in der IT-Security – So macht man aus Logdaten Gold

C

Vor allem APTs (Advanced Persistent Threats) geben IT-Sicherheitsexperten Anlass zu großer Sorge. Die Besonderheit von APTs liegt darin, dass sie über eine lange Zeit, mitunter über Jahre hinweg, unentdeckt bleiben können. Derartige Netzwerkangriffe setzen vorwiegend auf die Kompromittierung der Nutzerkonten von Unternehmensangehörigen. Anschließend können die Angreifer sich legitim durch das Netzwerk bewegen, Malware platzieren und diese sogar gezielt weiterentwickeln, um sie vor gängigen Sicherheitslösungen zu verbergen. Um diese komplexen Angriffen zu begegnen, setzen viele Organisationen heute auf neueste SIEM-Technologie (Security Information Event Management, die es schafft, auch fortschrittliche Angriffe anhand ihrer Spuren im Netzwerk zu entlarven.

Angreifer nutzen verschiedene Methoden, um sich Zugriff zu verschaffen

Phishing-E-Mails sind nach wie vor eine der bevorzugten Methoden von Cyberkriminellen, um an die Zugangsdaten nichtsahnender Nutzer zu kommen. Waren diese E-Mails in der Vergangenheit noch schwer zu erkennen, so sind sie heute für Nicht-Experten kaum mehr zu identifizieren. Berühmt berüchtigt ist bis heute der erfolgreiche Phishing-Hack, den russische Hacker auf den Wahlkampfmanager der Demokraken in den USA vor der Präsidentschaftswahl 2016 ausführten. Eine einfache E-Mail brachte die Sekretärin des Managers John Podesta dazu, das Passwort einzugeben, das den Hackern anschließend Zugriff auf das gesamte Postfach gewährte. Im Unternehmensumfeld ist das Microsoft-Passwort das bevorzugte Ziel, da es das Tor zum Netzwerk öffnet.

Das Geflecht von Passwörtern, Software-Passwort-Managern, zweistufiger Authentifizierung oder Hardware-Authentifizierung über Tokens oder Passcode-Generatoren ist für viele einfache Nutzer oft schwer zu verstehen. Hacker machen sich dies zunutze und visieren gezielt Nutzer an, die keine eingefleischten Experten sind und natürlich Schwierigkeiten damit haben, professionell gefälschte Phishing und Social-Engineering-Angriffe auf den ersten Blick zu erkennen. Erfolgreiche Hacks sind somit in den meisten Unternehmen nur eine Frage der Zeit und die IT-Sicherheit muss darauf reagieren können. Dementsprechend benötigen Unternehmen eine Möglichkeit, um Angriffe zu erkennen und abzuwehren zu können, selbst wenn sie über einen legitimen Nutzeraccount lanciert werden.

Logdaten können dabei helfen, Angreifer zu entlarven

Doch auf welche Art auch immer Cyberkriminelle Zugang erlangen: Sie können sich nicht vollständig unbemerkt durch das Netzwerk bewegen. Sobald Malware etwas im Netzwerk veranlasst, zum Beispiel Daten ausspäht, Privilegien erhöht oder Zugriff auf Systeme sucht, hinterlässt sie Spuren in Form von Logdaten. Zwar können komplexe APTs mitunter die von Organisationen eingesetzten Sicherheitslösungen manipulieren, um unentdeckt zu bleiben. Loginformationen hingegen lassen sich nicht so einfach löschen oder ändern – und können damit dazu genutzt werden, verdächtiges Verhalten im Netzwerk zu entlarven. Diese sind für den Schutz vor Malware Gold wert, denn mit ihnen lassen sich Angreifer entlarven, die sich als legitime User oder Softwares tarnen und die Sicherheitslösungen umgehen.

Unternehmen häufen heute sehr große Mengen an Logdaten an. Nutzt man diese in Verbindung mit KI-Technologien und maschinellem Lernen, erhält man eine effiziente Möglichkeit zur verhaltensbasierten Netzwerküberwachung. Die schlauen Algorithmen können Muster erkennen und aus einem Berg an Loginformationen Zusammenhänge zwischen scheinbar nicht zusammenhängenden Teilen von Nutzeridentäten ausfindig machen. Nicht plausible Aktivitäten einer Benutzeraccounts melden sie automatisch der IT-Sicherheit.

Next-Generation-SIEM ist eine schlagkräftige Abwehrwaffe gegen Angriffe jeder Art

Sicherheitslösungen, die Logdaten zur Identifizierung von verdächtigem Verhalten im Netzwerk aufdecken können, gibt es schon seit fast zwei Jahrzehnten. Verschiedene Generationen von SIEM-Lösungen (Security Information Event Management) tragen seitdem dazu bei, die Sicherheit im Unternehmen zu erhöhen. Die ersten Generationen von SIEM waren noch aufwendig in der Verwaltung und überschwemmten die Sicherheitsteams oft mit Fehlwarnungen. Moderne Next-Gen-SIEMs nutzen im Gegensatz zu ihren älteren Verwandten unter anderem jedoch KI und Maschinelles Lernen. Derartig aufgerüstet, verfügen sie über den notwendigen Kontext, um es ihren Anwendern zu ersparen, Fehlalarmen nachjagen zu müssen. Moderne SIEM-Technologien wie UEBA und SOAR steigern die Produktivität noch weiter, indem sie nicht nur Angriffe erkennen, sondern auch helfen, diese abzuwehren.

Um das vorher genannte Beispiel der russischen Hacker aufzugreifen, die erfolgreich in das Postfach des Wahlkampfmanagers eindrangen: Eine Next-Gen-SIEM-Lösung hätte hier sehr wahrscheinlich Alarm geschlagen. Denn es wurde zwar mit dem richtigen Passwort zugegriffen, die Angreifer taten dies jedoch mit einem neuen Computer und von einer unbekannten IP-Adresse an einem weit entfernten Ort. Beides Aktionen, die signifikant vom normalen Verhaltensprofil der Identität abweichen und damit als verdächtig eingestuft werden.

SIEM ergänzt konventionelle Sicherheitslösungen 

Um den Risiken durch APTs entgegenwirken zu können, benötigen IT-Teams Lösungen, die ihre konventionellen Abwehrmaßnahmen ergänzen. Egal wie gewieft die Angreifer auch vorgehen mögen, sie hinterlassen digitale Spuren im Netzwerk in Form von Logdaten. Moderne SIEM-Lösungen der neuesten Generation nutzen agile Methoden für die Logdatenanalyse. Mit Maschinellem Lernen und KI bilden sie daraus eine wertvolle Gefahrenabwehr und machen so aus den vorher wertlosen Logdaten Gold.

Art Veröffentlichung:
Mehrfach
IT-Thema des Eintrags?
IT-Sicherheit
Kontaktdaten Unternehmen / Pressekontakt:

Carsten Wunderlich
Touchdown PR
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
089 21552632
Inhalt weiterempfehlen / teilen:

Benutzer-Bewertungen

1 Bewertungen

Bewerten Sie den Artikel: 
 
5.0  (1)
Haben Sie schon ein Konto?
Ratings
Bewerten Sie den Artikel:
Fachartikel
Für die Bewertung des Fachartikels, wie ist Ihr Status zum Thema oder wie schätzen Sie sich ein?
Datenschutz Kommentar
Durch das Anhaken der folgenden Checkbox und des Buttons "Absenden" erlaube ich www.ecin.de die Speicherung meiner oben eingegeben Daten:
Um eine Übersicht über die Kommentare / Bewertungen zu erhalten und Missbrauch zu vermeiden wird auf www.ecin.de der Inhalt der Felder "Name", "Titel" "Kommentartext" (alles keine Pflichtfelder / also nur wenn angegeben), die Bewertung sowie Deine IP-Adresse und Zeitstempel Deines Kommentars gespeichert. Sie können die Speicherung Ihres Kommentars jederzeit widerrufen. Schreiben Sie uns einfach eine E-Mail: "redaktion / at / ecin.de". Mehr Informationen welche personenbezogenen Daten gespeichert werden, finden Sie in unserer Datenschutzerklärung.
Ich stimme der Speicherung meiner personenbezogenen Daten zu:
Kommentare
Bewerten Sie den Artikel: 
 
5.0
Bewertungs-Knowhow:
Autor des Artikels
C

Haftungsausschluss Fachartikel

ECIN.de bietet unter www.ecin.de/fachartikel einen Bereich zum Veröffentlichen von (werblichen) Fachartikeln. Dies bedeutet, dass zwar Fachwissen von Experten vermittelt wird, aber gleichzeitig auch die Tätigkeiten eines Experten oder eines Unternehmens in Form von Textinhalten und Verlinkungen präsentiert werden können.

Für den Inhalt der Fachartikel ist allein deren Urheber verantwortlich.

ECIN.de distanziert sich von dem Inhalt der Fachartikel. Der Inhalt der Fachartikel wurde von ECIN.de weder auf ihre Richtigkeit noch darauf überprüft, ob damit die Rechte Dritter verletzt werden.

Wenn Ihnen ein Rechtsverstoß auffällt kontaktieren Sie ECIN.de