Let’s talk!

LockBit, APT und SIEM – Schutz vor fortgeschrittenen Angriffen mit COCUS

LockBit, APT und SIEM – Schutz vor fort­geschrittenen Angriffen mit COCUS

Wir erklären dir heute auf was du bei der Cyber­security achten solltest und wie du dich und dein Unter­nehmen durch Security Information und Event Management (SIEM) Systeme schützen kannst.

LockBit hat zugeschlagen – dieses Mal hat es Auto­zulieferer Continental erwischt: 40 TB teilweise sensibler Daten konnten die Angreifer extrahieren. Es droht die voll­ständige Veröffentlichung der Daten durch die Erpresser. Dabei hatte Continental anscheinend Glück im Unglück: Der Angriff wurde erkannt, bevor die Cyber­kriminellen die Daten bei Continental verschlüsseln oder löschen konnten.

LockBit ist ein Beispiel für immer fort­geschrittenere Angriffe

LockBit ist nur eine Variante ständig weiter­entwickelter Ransomware-Angriffe in einer langen Reihe von Erpressungs-Cyber­attacken. Bei „Ransomware-as-a-Service“ Modellen können Cyber­kriminelle komplette Infra­strukturen für Ransomware-Angriffe mieten und für Angriffe auf Unter­nehmen verwenden. LockBit ist damit nur ein Beispiel für die immer professioneller ausgeführten Angriffe, auch durch nicht­staatliche Organisationen. Cyber­kriminelle und sogenannte „Advanced Persistent Threats (APT)“ agieren hoch­organisiert und sind ständig auf der Suche nach neuen Wegen, um in Unter­nehmen einzubrechen.

Vor 10-15 Jahren waren Viren und Spyware noch die größte Sorge für Unter­nehmen im Bereich Cyber­security. Antivirus (AV) Lösungen kamen auf den Markt, die verdächtige Dateien scannen und auf Virus­signaturen prüfen. Im Laufe der Zeit traten zusätzlich Phishing- und Malware-Angriffe auf. Auch hier kann mit einem ähnlichen Ansatz wie beim Viren­schutz in E-Mail-Filtern nach Phishing-Versuchen oder kompromittierten Links gesucht werden, um den Erfolg der Angreifer zu verhindern.

Mit zunehmender Zeit und Zahl der Attacken wurden die Angriffe immer gezielter. Cyber­kriminelle lernten immer professioneller zu agieren, da sie ständig nach neuen Wegen suchen, um in Unter­nehmen einzubrechen. Bei „Advanced Persistent Threats (APT) handelt es sich um fort­geschrittene Angriffe durch organisierte Gruppen, die in mehreren Phasen in ein Netzwerk eindringen, sich systematisch im Unter­nehmen ausbreiten und dabei der Entdeckung entziehen. Ihr über­geordnetes Ziel ist dabei, Informationen aus kommerziellen oder politischen Motiven zu stehlen, zu manipulieren, zu verschlüsseln oder zu löschen.

Schutz vor fort­geschrittenen Angriffen durch Detektion

Um sich vor jeglicher Art von Angriffen zu schützen ist eine Vorsorge durch präventive Schutz­maßnahmen im Bereich Cyber­security weiter­hin essenziell. Security-Tools wie Viren­scanner sind Hygiene­faktoren im Bereich Cyber­security. Auch die Anwendung von Design­prinzipien wie Security-By-Design oder Zero Trust helfen bei der Abwehr von Angriffen.

Prävention reicht aber aufgrund der gestiegenen Komplexität und des Faktors Mensch nicht aus. Studien wie der M-Trends Report von Mandiant zeigen, dass fort­geschrittene Angriffe nur schwer erkennbar sind:

  • • In nahezu jedem unter­suchten, fort­geschrittenen Angriff wurden im Laufe des Angriffs ausgespähte, valide Nutzer­credentials verwendet

  • • Angreifer breiteten sich im Schnitt über 40 Systeme aus

  • • Im Median dauerte es 101 Tage, bis ein Angriff entdeckt wurde


Durch den ausschließ­lichen Einsatz präventiver Security Tools lassen sich solche Angriffe nur schwer verhindern. Insbesondere wenn Angriffe mit Hilfe gestohlener User Accounts oder durch Schwach­stellen in ungepatchter Software erfolgen, können solche Sicherheits­maßnahmen umgangen werden.

SIEM Systeme als Nerven­zentrum im Security Operations Center

Ein wichtiges Hilfs­mittel zur Erkennung und Behandlung von APT sind Security Information und Event Management (SIEM) Systeme. Die Funktionalität von SIEM Systemen besteht im Kern darin, Log­dateien oder sonstige Maschinen­daten aus der IT Landschaft einzusammeln und sehr zeitnah Spuren von ungewöhnlichen oder potentiell schädlichen Aktivitäten zu suchen und zu reporten. Dabei werden die Daten korreliert und ein Gesamt­bild für die Bearbeitung durch ein Security Operations Team bereit­gestellt.

Erkennungs­muster für Angriffe müssen dabei fort­laufend gepflegt werden, damit auch neue Angriff­staktiken und -techniken erkannt werden. Moderne und leistungs­fähige SIEM Systeme unterstützen dabei, indem neue Erkennungs­muster für Bedrohungen regelmäßig aktualisiert werden oder auch künstliche Intelligenz zum Einsatz kommt.

Eine weitere wichtige Komponente ist die Bereit­stellung von Möglich­keiten der Analyse und Behandlung von erkannten Vor­fällen, idealer­weise unter Verwendung von Automatisierung.

Unser Partner Splunk bezeichnet das SIEM daher auch als Nerven­zentrum für Cyber­security in einem Unter­nehmen, welches Informationen aus verschiedensten Bereichen aggregiert, zu einem Gesamt­bild zusammen­setzt und dann – automatisiert oder manuell – eine angemessene und schnelle Reaktion auf Vorfälle ermöglicht.

COCUS und Splunk – eine starke Partner­schaft auch für SIEM Systeme

Um der gestiegenen Bedrohungs­lage zu begegnen, haben wir bei COCUS uns als mittel­ständisches Unter­nehmen entschieden, in ein SIEM System zu investieren. Hierbei setzen wir auf den Markt­führer Splunk. Als lang­jähriger Partner von Splunk sind wir von der Leistungs­fähigkeit der Lösung voll überzeugt und können bei der Implementierung auf unsere erfahrenen Splunk Engineers und Security Experten zurück­greifen.

COCUS kann deinem Unter­nehmen als externer Unter­stützer ein breit gefächertes Experten­wissen im IT-Sicher­heits­bereich für den Auf- und Ausbau eines maß­geschneiderten, effektiven Sicher­heits­systems anbieten. Sprich uns an, bevor es zu spät ist!
Wir bieten dir vollen Schutz, wenn es um die Sicherheit deines Unternehmens geht.
Bleib informiert und folge uns
Bleib informiert und folge uns
Du hast das Potenzial für 5G-Lösungen bereits erkannt? Wir sind dein 5G-Enabler und realisieren gemeinsam mit dir deine Use Cases!
Du hast das Potenzial für 5G-Lösungen bereits erkannt? Wir sind dein 5G-Enabler und realisieren gemeinsam mit dir deine Use Cases!