Kriminelle nutzen Überraschungsmoment

Mit Korrelation gegen Cyber-Attacken

Bei gezielten oder hoch komplexen Angriffen geraten IT-Systeme und die Sicherheitsverantwortlichen unter Druck. Korrelationslogik kann hier den entscheidenden Vorteil mit sich bringen.

Informationstechnik und die damit verbundene Kriminalität sind, in historischen Dimensionen gedacht, noch ganz junge Phänomen der Menschheitsgeschichte. Was die Logik von Angriff von Verteidigung betrifft, gehorchen sie allerdings altbekannten Prinzipien: Ein Angreifer, der geduldig einen guten Plan ausheckt, hat dem Opfer gegenüber einen strategischen Vorteil. Er kann sich auf ein komplexes, wohldurchdachtes Vorgehensmodell konzentrieren, während der Angegriffene entweder ahnungslos ist oder einfach nicht weiß, wie sein Feind zuzuschlagen gedenkt.

In der IT machen sich die Cyber-Kriminellen dieses Prinzip bewusst zunutze. Sie wissen, bei welchen Schwellenwerten die typischen Einzelsensoren in den Netzwerken – wie etwa Firewalls, Virenschutz, Intrusion Prevention, Zugriffskontrolle und so weiter – gewöhnlich anschlagen. Sie verwenden viel Mühe darauf, mit ihren Aktivitäten unter diesen Werten zu bleiben. Sie gehen leise und schrittweise vor. Statt also beispielsweise eine schnelle Brute-Force-Attacke gegen ein kennwortgesichertes System zu starten, die anhand von Log-Files sofort auffallen würde, probieren sie Passwörter nur in großen zeitlichen Abständen aus, so dass ihr Vorgehen in der Masse der falschen Eingaben legitimer Nutzer untergeht.

Gleichzeitig allerdings versuchen die Angreifer vielleicht, sich auf anderen Wegen Informationen zu verschaffen. Möglicherweise fahnden sie bei einzelnen Mitarbeitern nach Kennwortdateien oder probieren, geschickt ausgewählte Personen unter Einsatz von Social-Engineering-Techniken direkt zur Preisgabe ihrer Credentials zu bewegen. Vielleicht bemühen sie sich aber auch, Wege zu finden, den gesamten Anmeldemechanismus ihres Zielsystems – beispielsweise mir gestohlenen Admin-Rechten zu umgehen – und starten dazu eine Reihe von vorsichtigen Hacking-Attacken.

Wie gehen Cyber-Kriminelle vor?

Völlig individuell gestaltet sind allerdings selbst diese Vorgehensweisen nur selten. Auch IT-Spezialisten der „Dark Economy“ müssen auf „Resusables“ setzen, also auf wiederverwertbare Strategien und Projektpläne, um nicht zu viel Arbeitskraft und Mittel zu verschwenden. Darüber sind bestimmte Schritte in ihren so genannten „Kill Chains“ durch Angriffsziel und -form zwangsläufig vorgeben. Will ein Krimineller beispielsweise ein Unternehmen erpressen, indem er dessen wertvollste Informationen mit „Ransomware“ verschlüsselt und dem Opfer danach den Schlüssel erst gegen Lösegeld zustellt, muss er notwendigerweise etwa Sicherheitskopien suchen, diese Dateien löschen, eine Verbindung zwischen der Malware-Komponente im Netz des Opfers und seinem Schlüssel-Server herstellen und anschließend beginnen, Nutzdaten zu öffnen und verschlüsselt neu zu speichern.

Um solche Vorgehensweisen zu erkennen, ist es ratsam, das Geschehen im Netz aus einer höheren Perspektive zu betrachten und die Daten von Einzelsensoren in Beziehung zu setzen. Bestimmte Auffälligkeiten, die einer Firewall, einem Intrusion-Detection-System (IDS), der Dateiüberwachung oder einem Content-Scanner allein nichts bedeuten, können in ihrer zeitlichen Abfolge für einen übergeordneten Beobachter das Muster eines laufenden Angriffs ergeben. Unglücklicherweise fällt es Menschen sehr schwer, komplexe Anomalien in großen Datenströmen aus vielfältigen Quellen zu entdecken. Für künstliche Intelligenz dagegen ist genau diese Aufgabe kein Problem, wenn ihr mögliche Angriffsmuster als Vergleichsbasis zur Verfügung stehen.

Die Korrelationslogik sogenannter Security-Information-and-Event-Management-Systeme (SIEM) arbeitet genau nach diesem Prinzip. Die Hersteller statten sie mit Informationen über die charakteristischen Abläufe aktuell bekannter Angriffsformen aus. Weitere Muster entwickeln sie gemeinsam mit dem Anwender individuell anhand von intern bekannten Schwachstellen und denkbaren Angriffswegen. Hinzu kommen „Regeln“, die eine rein logische Basis haben: Wenn ein Mitarbeiter um 8.30 Uhr mit seinem elektronischen Ausweis eine Bürotür in Stuttgart passiert hat, kann es nicht mit rechten Dingen zugehen, wenn er um 8.45 Uhr in Bremen versucht, sich lokal an einem PC anzumelden.

Es sind die im wahrsten Sinne des Wortes unermüdliche Wachsamkeit der Korrelationssysteme und die Fähigkeit, auch kleine Anomalien in Log-Datei-Mengen von Big-Data-Ausmaßen zueinander in Beziehung zu setzen, die die klassischen Angriffsvorteile zunichte machen können. Sicherheitsteams, die über SIEM-Systeme z.B. von Logrhythm als Assistenz verfügen, können sich auf das konzentrieren, was wiederum die menschliche Intelligenz besser beherrscht: Im Fall eines Alarms in Zusammenarbeit mit den Fachabteilungen die beste Abwehrstrategie mit den geringsten Nebenwirkungen zu finden. So kann Korrelationslogik auch eine Menge zur geschickten Ressourcennutzung in den IT-Sicherheitsabteilungen beitragen.

Bildquelle: Thinkstock / iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok