LockBit, APT und SIEM – Schutz vor fortgeschrittenen Angriffen mit COCUS

LockBit, APT und SIEM – Schutz vor fort­geschrittenen Angriffen mit COCUS

Wir erklären dir heute auf was du bei der Cyber­security achten solltest und wie du dich und dein Unter­nehmen durch Security Information und Event Management (SIEM) Systeme schützen kannst.

LockBit hat zugeschlagen – dieses Mal hat es Auto­zulieferer Continental erwischt: 40 TB teilweise sensibler Daten konnten die Angreifer extrahieren. Es droht die voll­ständige Veröffentlichung der Daten durch die Erpresser. Dabei hatte Continental anscheinend Glück im Unglück: Der Angriff wurde erkannt, bevor die Cyber­kriminellen die Daten bei Continental verschlüsseln oder löschen konnten.

LockBit ist ein Beispiel für immer fort­geschrittenere Angriffe

LockBit ist nur eine Variante ständig weiter­entwickelter Ransomware-Angriffe in einer langen Reihe von Erpressungs-Cyber­attacken. Bei „Ransomware-as-a-Service“ Modellen können Cyber­kriminelle komplette Infra­strukturen für Ransomware-Angriffe mieten und für Angriffe auf Unter­nehmen verwenden. LockBit ist damit nur ein Beispiel für die immer professioneller ausgeführten Angriffe, auch durch nicht­staatliche Organisationen. Cyber­kriminelle und sogenannte „Advanced Persistent Threats (APT)“ agieren hoch­organisiert und sind ständig auf der Suche nach neuen Wegen, um in Unter­nehmen einzubrechen.

Vor 10-15 Jahren waren Viren und Spyware noch die größte Sorge für Unter­nehmen im Bereich Cyber­security. Antivirus (AV) Lösungen kamen auf den Markt, die verdächtige Dateien scannen und auf Virus­signaturen prüfen. Im Laufe der Zeit traten zusätzlich Phishing- und Malware-Angriffe auf. Auch hier kann mit einem ähnlichen Ansatz wie beim Viren­schutz in E-Mail-Filtern nach Phishing-Versuchen oder kompromittierten Links gesucht werden, um den Erfolg der Angreifer zu verhindern.

Mit zunehmender Zeit und Zahl der Attacken wurden die Angriffe immer gezielter. Cyber­kriminelle lernten immer professioneller zu agieren, da sie ständig nach neuen Wegen suchen, um in Unter­nehmen einzubrechen. Bei „Advanced Persistent Threats (APT) handelt es sich um fort­geschrittene Angriffe durch organisierte Gruppen, die in mehreren Phasen in ein Netzwerk eindringen, sich systematisch im Unter­nehmen ausbreiten und dabei der Entdeckung entziehen. Ihr über­geordnetes Ziel ist dabei, Informationen aus kommerziellen oder politischen Motiven zu stehlen, zu manipulieren, zu verschlüsseln oder zu löschen.

Schutz vor fort­geschrittenen Angriffen durch Detektion

Um sich vor jeglicher Art von Angriffen zu schützen ist eine Vorsorge durch präventive Schutz­maßnahmen im Bereich Cyber­security weiter­hin essenziell. Security-Tools wie Viren­scanner sind Hygiene­faktoren im Bereich Cyber­security. Auch die Anwendung von Design­prinzipien wie Security-By-Design oder Zero Trust helfen bei der Abwehr von Angriffen.

Prävention reicht aber aufgrund der gestiegenen Komplexität und des Faktors Mensch nicht aus. Studien wie der M-Trends Report von Mandiant zeigen, dass fort­geschrittene Angriffe nur schwer erkennbar sind:

  • • In nahezu jedem unter­suchten, fort­geschrittenen Angriff wurden im Laufe des Angriffs ausgespähte, valide Nutzer­credentials verwendet

  • • Angreifer breiteten sich im Schnitt über 40 Systeme aus

  • • Im Median dauerte es 101 Tage, bis ein Angriff entdeckt wurde


Durch den ausschließ­lichen Einsatz präventiver Security Tools lassen sich solche Angriffe nur schwer verhindern. Insbesondere wenn Angriffe mit Hilfe gestohlener User Accounts oder durch Schwach­stellen in ungepatchter Software erfolgen, können solche Sicherheits­maßnahmen umgangen werden.

SIEM Systeme als Nerven­zentrum im Security Operations Center

Ein wichtiges Hilfs­mittel zur Erkennung und Behandlung von APT sind Security Information und Event Management (SIEM) Systeme. Die Funktionalität von SIEM Systemen besteht im Kern darin, Log­dateien oder sonstige Maschinen­daten aus der IT Landschaft einzusammeln und sehr zeitnah Spuren von ungewöhnlichen oder potentiell schädlichen Aktivitäten zu suchen und zu reporten. Dabei werden die Daten korreliert und ein Gesamt­bild für die Bearbeitung durch ein Security Operations Team bereit­gestellt.

Erkennungs­muster für Angriffe müssen dabei fort­laufend gepflegt werden, damit auch neue Angriff­staktiken und -techniken erkannt werden. Moderne und leistungs­fähige SIEM Systeme unterstützen dabei, indem neue Erkennungs­muster für Bedrohungen regelmäßig aktualisiert werden oder auch künstliche Intelligenz zum Einsatz kommt.

Eine weitere wichtige Komponente ist die Bereit­stellung von Möglich­keiten der Analyse und Behandlung von erkannten Vor­fällen, idealer­weise unter Verwendung von Automatisierung.

Unser Partner Splunk bezeichnet das SIEM daher auch als Nerven­zentrum für Cyber­security in einem Unter­nehmen, welches Informationen aus verschiedensten Bereichen aggregiert, zu einem Gesamt­bild zusammen­setzt und dann – automatisiert oder manuell – eine angemessene und schnelle Reaktion auf Vorfälle ermöglicht.

COCUS und Splunk – eine starke Partner­schaft auch für SIEM Systeme

Um der gestiegenen Bedrohungs­lage zu begegnen, haben wir bei COCUS uns als mittel­ständisches Unter­nehmen entschieden, in ein SIEM System zu investieren. Hierbei setzen wir auf den Markt­führer Splunk. Als lang­jähriger Partner von Splunk sind wir von der Leistungs­fähigkeit der Lösung voll überzeugt und können bei der Implementierung auf unsere erfahrenen Splunk Engineers und Security Experten zurück­greifen.

COCUS kann deinem Unter­nehmen als externer Unter­stützer ein breit gefächertes Experten­wissen im IT-Sicher­heits­bereich für den Auf- und Ausbau eines maß­geschneiderten, effektiven Sicher­heits­systems anbieten. Sprich uns an, bevor es zu spät ist!
Wir bieten dir vollen Schutz, wenn es um die Sicherheit deines Unternehmens geht.

Diesen Beitrag teilen