Angriffserkennung? Was ist das, wer braucht es und wie setzt man es um?
Die Angriffserkennung rückt derzeit besonders für die Unternehmen in den Vordergrund, die Betreiber kritischer Infrastrukturen (KRITIS) sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit seiner Änderung des BSI-Gesetzes (BSIG) im Dezember 2021 alle Unternehmen mit KRITIS dazu verpflichtet, ab spätestens 01.05.2023 eigene Systeme zur Angriffserkennung zu betreiben.
Doch auch für Unternehmen ohne kritische Infrastrukturen gewinnt die Angriffserkennung immer mehr Bedeutung. Böswillige und gezielte Angriffe sind inzwischen sowohl fortgeschrittener in der Ausführung (Beispiel Lockbit – ein wiederkehrend erfolgreicher Angreifer) als auch schwerwiegender in ihren betriebskritischen Folgen. Detektion und Security Information & Event Management (SIEM) werden somit zu wichtigen Bestandteilen der Unternehmenssicherheit, für jedes Unternehmen unabhängig von Größe und Art der Infrastruktur.
Die Angriffserkennung rückt derzeit besonders für die Unternehmen in den Vordergrund, die Betreiber kritischer Infrastrukturen (KRITIS) sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit seiner Änderung des BSI-Gesetzes (BSIG) im Dezember 2021 alle Unternehmen mit KRITIS dazu verpflichtet, ab spätestens 01.05.2023 eigene Systeme zur Angriffserkennung zu betreiben.
Doch auch für Unternehmen ohne kritische Infrastrukturen gewinnt die Angriffserkennung immer mehr Bedeutung. Böswillige und gezielte Angriffe sind inzwischen sowohl fortgeschrittener in der Ausführung (Beispiel Lockbit – ein wiederkehrend erfolgreicher Angreifer) als auch schwerwiegender in ihren betriebskritischen Folgen. Detektion und Security Information & Event Management (SIEM) werden somit zu wichtigen Bestandteilen der Unternehmenssicherheit, für jedes Unternehmen unabhängig von Größe und Art der Infrastruktur.
Warum präventive Maßnahmen nicht mehr ausreichen
Heutzutage sind Themen wie Cyber-Security, Datenschutz und Informationssicherheit in der Unternehmenswelt nicht mehr wegzudenken. Die Vorsorge durch Security-by-Design, verschiedene Security-Tools wie Anti-Malware, Firewalls oder Vulnerability Scanner sowie der Aufbau und Betrieb eines Information Security Management Systems bleibt notwendig, um nicht kontinuierlich durch opportunistische Hacker-Angriffe Schaden zu nehmen.
Die beschriebenen Systeme reichen jedoch alleine nicht mehr zur Gewährleistung der Unternehmenssicherheit aus. Grund dafür sind häufig einzelne, wenige Lücken im System, die von Hackern für einen initialen Zugang zum Unternehmensnetzwerk ausgenutzt werden. Die größte Schwachstelle für einen Angriff trägt dabei vor allem der Mensch.
Stellt man sich die Sicherheitsarchitektur eines Unternehmens als eine Burg vor, die alle technischen Schutzmaßnahmen (zum Beispiel Zugbrücke, Stahltore und einen Wassergraben) vollständig umgesetzt hat, bleibt trotzdem eine Gefahr bestehen: die Bevölkerung. Da jeder Bewohner der Burg ein Passwort für den Zugang hat, besteht das Risiko, dass das Passwort unbeabsichtigt oder auch vorsätzlich an Angreifer übermittelt wird oder aber der Bewohner selbst zum Angreifer werden kann. Einmal in die Burg eingedrungen, dient auch die stabilste Zugbrücke und der tiefste Wassergraben nicht mehr zum Schutz.
Die beschriebenen Systeme reichen jedoch alleine nicht mehr zur Gewährleistung der Unternehmenssicherheit aus. Grund dafür sind häufig einzelne, wenige Lücken im System, die von Hackern für einen initialen Zugang zum Unternehmensnetzwerk ausgenutzt werden. Die größte Schwachstelle für einen Angriff trägt dabei vor allem der Mensch.
Stellt man sich die Sicherheitsarchitektur eines Unternehmens als eine Burg vor, die alle technischen Schutzmaßnahmen (zum Beispiel Zugbrücke, Stahltore und einen Wassergraben) vollständig umgesetzt hat, bleibt trotzdem eine Gefahr bestehen: die Bevölkerung. Da jeder Bewohner der Burg ein Passwort für den Zugang hat, besteht das Risiko, dass das Passwort unbeabsichtigt oder auch vorsätzlich an Angreifer übermittelt wird oder aber der Bewohner selbst zum Angreifer werden kann. Einmal in die Burg eingedrungen, dient auch die stabilste Zugbrücke und der tiefste Wassergraben nicht mehr zum Schutz.
Die Folge für Unternehmen und die Security Branche
Übertragen auf die Unternehmenswelt von heute bedeutet das: Social Engineering und Phishing sind ein tägliches Problem für alle Unternehmen. Daneben gehört auch das Thema Insider-Attacker zum Alltag in deutschen Unternehmen, also Mitarbeiter, die absichtlich oder unabsichtlich die Informationssicherheit gefährden. Viele erfolgreiche Angriffe werden tatsächlich mit regulären Accounts, manchmal sogar mit Admin-Accounts durchgeführt.
Von hier aus bewegen sich Angreifer wie ein scheinbar legitimer Nutzer innerhalb des Netzes und identifizieren und nutzen weitere Schwachstellen, bis sie schließlich die eigentliche Schadwirkung ausführen. Die Ziele der Attacke können unterschiedlich aussehen und von der Verschlüsselung wichtiger Daten, Exfiltration von sensitiven Informationen bis zur Sabotage von Systemen reichen.
Die heutige Zeit ist geprägt von einem ständigen Wettrüsten darum, wer die nächste Sicherheitslücke zuerst findet und schließt, oder eben ausnutzt. Der Begriff „Arms Race“ bezeichnet gleichermaßen den anhaltenden Kampf darum, wer die nächste Malware unerkannt ausführt bzw. noch verhindern kann. Hunderttausende Malwarevarianten werden täglich gesichtet, und dennoch besteht das Risiko der Infektion durch eine Malware, die noch nicht durch die Endpoint-Protection erkannt wird.
Von hier aus bewegen sich Angreifer wie ein scheinbar legitimer Nutzer innerhalb des Netzes und identifizieren und nutzen weitere Schwachstellen, bis sie schließlich die eigentliche Schadwirkung ausführen. Die Ziele der Attacke können unterschiedlich aussehen und von der Verschlüsselung wichtiger Daten, Exfiltration von sensitiven Informationen bis zur Sabotage von Systemen reichen.
Die heutige Zeit ist geprägt von einem ständigen Wettrüsten darum, wer die nächste Sicherheitslücke zuerst findet und schließt, oder eben ausnutzt. Der Begriff „Arms Race“ bezeichnet gleichermaßen den anhaltenden Kampf darum, wer die nächste Malware unerkannt ausführt bzw. noch verhindern kann. Hunderttausende Malwarevarianten werden täglich gesichtet, und dennoch besteht das Risiko der Infektion durch eine Malware, die noch nicht durch die Endpoint-Protection erkannt wird.
BSIG: Das ändert sich ab Mai 2023 für Unternehmen
Die Änderungen im §8a des BSIG gibt vor, dass die durch das BSIG regulierten Betreiber von kritischen Infrastrukturen bis zum 01.05.2023 Systeme zur Angriffserkennung implementieren müssen. Diese Implementierung muss wiederum spätestens zwei Jahre später extern validiert und gegenüber dem BSI nachgewiesen werden.
Was das konkret bedeutet, gibt das BSIG nur grob vor: „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“
Funktional muss ein solches System zur Angriffserkennung im Wesentlichen die Bereiche Logging, Log Analyse und Detektion sowie eine angemessene Reaktion bereitstellen. Im Kern geht es also um SIEM-Systeme.
Was das konkret bedeutet, gibt das BSIG nur grob vor: „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“
Funktional muss ein solches System zur Angriffserkennung im Wesentlichen die Bereiche Logging, Log Analyse und Detektion sowie eine angemessene Reaktion bereitstellen. Im Kern geht es also um SIEM-Systeme.
Wie Detektion und SIEM-Systeme zur Angriffserkennung beitragen
Das Grundprinzip der Angriffserkennung besteht darin, Anomalien oder Spuren von Angriffen zu erkennen. Typischerweise verwendet man hierfür moderne SIEM-Systeme. Ein SIEM-System aggregiert, normalisiert und analysiert Daten gegen bekannte Angriffsmuster und stellt die Ergebnisse für Security Operations Center (SOC) Analysten bereit. Die SOC-Analysten können auf Basis der Ergebnisse entsprechende Reaktionsprozesse triggern. Teilweise lassen sich diese Aufgaben auch automatisieren, so dass die Reaktionen schneller und effizienter erfolgen. Zusätzlich informiert ein SIEM-System die relevanten Personen über den aktuellen Sicherheits-Status des Unternehmens. Einige einfache Beispiele für solche Events sind:
- Ungewöhnliche Nutzung von User Accounts, z.B. parallel von unterschiedlichen Rechnern oder mehreren Orten oder zu ungewöhnlichen Uhrzeiten
- Erkennung von Brute-Force-Versuchen, bei denen mithilfe von Software in schneller Abfolge verschiedener Zeichenfolgen versucht wird, Passwörter zu knacken
- Erkennung von außergewöhnlichem Netzwerk-Traffic, z. B. sehr viele DNS-Anfragen oder solche mit ungewöhnlicher Payload
- Hohe Zahl von Firewall Denies oder Drops durch interne Hosts
Diese Beispiele sind simpel und deren Überwachung sollte zum Grundbaukasten eines Systems zur Angriffserkennung gehören. Ein effektives SIEM implementiert darüber hinaus die Erkennung atomarer Indikatoren bis auf Prozess- oder Paketebene und nutzt hierfür sowohl bewährte Frameworks wie Mitre Att@ck oder die Cyber Kill Chain als auch aktuelle Detektionsmuster aus Threat Intelligence Quellen.
Solche Detektionen müssen nicht zwingend einen Angriff darstellen, sondern können durch Fehler oder schlichtweg legitime und trotzdem ungewöhnliche Nutzungsszenarien entstehen. Daher müssen diese Fälle im Detail untersucht werden. Hierfür liefern moderne SIEM-Systeme wichtige Hilfestellung: Sie korrelieren Daten aus anderen Log Quellen zu solchen Events oder bieten Funktionen an, weitere Informationen zu solchen Vorgängen einzuholen. Hierdurch kann der Security Analyst schneller und sicherer entscheiden, ob ein tatsächlicher Angriff vorliegt.
Solche Detektionen müssen nicht zwingend einen Angriff darstellen, sondern können durch Fehler oder schlichtweg legitime und trotzdem ungewöhnliche Nutzungsszenarien entstehen. Daher müssen diese Fälle im Detail untersucht werden. Hierfür liefern moderne SIEM-Systeme wichtige Hilfestellung: Sie korrelieren Daten aus anderen Log Quellen zu solchen Events oder bieten Funktionen an, weitere Informationen zu solchen Vorgängen einzuholen. Hierdurch kann der Security Analyst schneller und sicherer entscheiden, ob ein tatsächlicher Angriff vorliegt.
Wir unterstützen dich
Mit der Implementierung eines SIEM-Systems stellt jedes Unternehmen sicher, dass potenzielle und auch fortgeschrittene Angriffe schnellstmöglich erkannt werden können. Für KRITIS Unternehmen sind diese Systeme die empfohlene Option zur Erfüllung der ab dem 01.05.2023 geltenden Gesetzesregelung. Die COCUS AG unterstützt Unternehmen bei der Einführung von SIEM Systemen, aber auch bei der Optimierung bestehender Implementierungen oder der Migration und Austausch alter gegen modernere SIEM Systeme.