Social Engineering-Angriffe mit Analytik schneller identifizieren und Schäden minimieren

Social Engineering war für jeden Internetnutzer, sowohl als Einzelperson oder als Teil eines Unternehmens, schon immer eine große Bedrohung. Cyberkriminelle wissen, dass der Mensch selbst das schwächste Glied in der Sicherheitskette ist und setzen verstärkt auf Social-Engineering-Attacken, um Systeme und Netzwerke zu kompromittieren und an sensible Daten zu kommen. Wir Menschen neigen im Gegensatz zu Maschinen und Sicherheitssoftware nun einmal zu Fehleinschätzungen und treffen recht einfach falsche Entscheidungen. Bisher galt, dass man Social-Engineering-Attacken auf Netzwerke am besten über Schulung von Mitarbeitern und Endpoint-Securitytools verhindern kann. Doch wie sich seit Beginn der Coronakrise zeigt, sind Social-Engineering-Attacken erfolgreicher denn je. Mit Schulungen und Abwehrtools scheint man also nicht sonderlich sicherer geworden zu sein. Entsprechend suchen die Sicherheitsverantwortlichen vieler Unternehmen nach Möglichkeiten, den Unsicherheitsfaktor Mensch besser gegen gewiefte Betrügereien abzusichern. Hier können moderne Sicherheitslösungen helfen, die auf User and Entity and Behaviour Analytics (UEBA) aufbauen.

Heute gebräuchliche Techniken
An einem bestimmten Punkt der eines Social Engineering-Angriffs auf Unternehmensnetzwerke stehen oft Phishing, Spear-Phising oder Whaling per E-Mail: Die trickreichen Angriffe sind meist so konstruiert, dass sie die Aufmerksamkeit eines Opfers wecken und es zum Handeln aufrufen. Häufig verwenden Angreifer Logos, Bilder und Fonts, um die Identität einer Organisation vorzutäuschen. So entsteht der Eindruck, die Nachricht stamme von einem Arbeitskollegen, der Bank des Opfers oder einem anderen offiziellen Kanal. Die meisten Phishing-Nachrichten vermitteln ein Gefühl von Dringlichkeit. Dies lässt das Opfer glauben, dass es negative Folgen haben wird, wenn es sensible Informationen nicht schnell herausgibt. Zum Beispiel könnte die Bank mit der Sperrung der Bankkarte drohen.

Auch wer auf der Hut ist und selbst gut erstellte Phishing-E-Mails im Postfach erkennt, ist nicht sicher. Sogenannte Watering-Hole-Angriffe können von legitimen Websites gestartet werden, die von den Opfern der Angriffe häufig besucht werden. Kompromittierte Webseiten installieren dann zum Beispiel einen Backdoor-Trojaner auf dem Endgerät. Dieser ermöglicht es dem Angreifer anschließend, das Gerät des Opfers fernzusteuern.

Social-Engineering-Angriffe identifizieren und die möglichen Folgen abschwächen oder verhindern
Kriminelle haben fast immer den Vorteil des Überraschungsmoments. Und viele Angriffe, insbesondere gezielte Angriffe auf einzelne Führungspersonen im Unternehmen, sind geschickt eingefädelt und auf den ersten Blick kaum zu erkennen. Zahlreiche Erfolge von Social-Engineering-Angriffen, insbesondere nach Beginn der Coronakrise, zeigen nun, dass eine Abwehrstrategie mit Schulungen und Endpoint Security nicht ausreicht. Zum einen schlüpfen zu viele Angriffe durch das Abwehrnetz und zum anderen bietet die Strategie keine Möglichkeit erfolgreiche Angriffe in der Post-Breach-Phase schnell zu identifizieren. So können sich die Täter oft bedenkenlos lange Zeit im Netzwerk aufhalten, in aller Ruhe Daten exfiltrieren und erheblichen Schaden anrichten. Es geht also nicht nur um Abwehr sondern auch um Erkennung nach einem erfolgreichen initialen Angriff – und damit um Abmilderung der Folgen. Hier kann Analytik Schulungen und Sicherheitstools komplementieren.

SIEM und UEBA können die Absicherung gegen Social Engineering erhöhen
SIEM-Systeme (Security Information and Event Management), die auf der Ereignis- und Verhaltensanalyse der Benutzer (User and Entity Behaviour Analytics, UEBA) basieren, sammeln Sicherheitsereignisse und Protokolle aus der gesamten Organisation und modellieren damit das normale Benutzerverhalten von Individuen, Gruppen, und Endgeräten. Sollte dann ein Verhalten festgestellt werden, das zu weit von diesen Modellen abweicht, wird eine Warnung an das Sicherheitsteam zur sofortigen Untersuchung gesendet. Bei dieser Abweichung kann es sich um alles Mögliche handeln, von einem Benutzer, der sich zu einem ungewöhnlichen Ziel im Web durchklickt, bis hin zu einem bösartigen Prozess, der auf dem Gerät eines Benutzers ausgeführt wird.

Ein SIEM-System befasst sich mit den Schlüsselprozessen der Cybersicherheit und stellt eine Komplettlösung zur Erkennung fortgeschrittener Bedrohungen dar. Zu den Funktionen gehören die Automatisierung der Protokollüberwachung, die Korrelation von Daten, die Erkennung von Mustern, die Alarmierung und die Bereitstellung von Daten für die schnelle Entscheidungsfindung, die Einhaltung von Vorschriften und die Forensik. UEBA erkennt Sicherheitsvorfälle, die von traditionellen Werkzeugen nicht erkannt werden, weil sie nicht mit vordefinierten Korrelationsregeln oder Angriffsmustern übereinstimmen oder weil sie sich über mehrere Organisationssysteme und Datenquellen erstrecken. Gemeinsam tragen SIEM und UEBA dazu bei, Social-Engineering-Angriffe zu erkennen, sobald sie geschehen sind, und schnell zu reagieren, um Schäden zu verhindern oder zu minimieren.

Fazit: Mit Analytik besser abgesichert
Es stimmt: durch Investitionen in regelmäßiges Training und die richtigen technologischen Lösungen kann ein Großteil der Bedrohung von Social Engineering abgemildert oder sogar eliminiert werden. Trotzdem schaffen es ausgeklügelte Angriffe immer wieder, diese Abwehrmechanismen zu umgehen und Schaden anzurichten. SIEM-Systeme, die auf der Verhaltensanalyse der Benutzer und Entitäten (UEBA) aufbauen, sind eine komplette Lösung zur Erkennung und Abwehr fortschrittlicher Bedrohungen. Unternehmen, die bisher lediglich auf Schulungen und Endpoint-Security-Lösungen setzten, um Social-Engineering-Angriffe auf ihre Belegschaft zu verhindern, sollten diese modernen Sicherheitstools in Betracht ziehen, um ihre Sicherheit maßgeblich zu erhöhen.