Wir erklären dir heute auf was du bei der Cybersecurity achten solltest und wie du dich und dein Unternehmen durch Security Information und Event Management (SIEM) Systeme schützen kannst.
LockBit hat zugeschlagen – dieses Mal hat es Autozulieferer Continental erwischt: 40 TB teilweise sensibler Daten konnten die Angreifer extrahieren. Es droht die vollständige Veröffentlichung der Daten durch die Erpresser. Dabei hatte Continental anscheinend Glück im Unglück: Der Angriff wurde erkannt, bevor die Cyberkriminellen die Daten bei Continental verschlüsseln oder löschen konnten.
LockBit hat zugeschlagen – dieses Mal hat es Autozulieferer Continental erwischt: 40 TB teilweise sensibler Daten konnten die Angreifer extrahieren. Es droht die vollständige Veröffentlichung der Daten durch die Erpresser. Dabei hatte Continental anscheinend Glück im Unglück: Der Angriff wurde erkannt, bevor die Cyberkriminellen die Daten bei Continental verschlüsseln oder löschen konnten.
LockBit ist ein Beispiel für immer fortgeschrittenere Angriffe
LockBit ist nur eine Variante ständig weiterentwickelter Ransomware-Angriffe in einer langen Reihe von Erpressungs-Cyberattacken. Bei „Ransomware-as-a-Service“ Modellen können Cyberkriminelle komplette Infrastrukturen für Ransomware-Angriffe mieten und für Angriffe auf Unternehmen verwenden. LockBit ist damit nur ein Beispiel für die immer professioneller ausgeführten Angriffe, auch durch nichtstaatliche Organisationen. Cyberkriminelle und sogenannte „Advanced Persistent Threats (APT)“ agieren hochorganisiert und sind ständig auf der Suche nach neuen Wegen, um in Unternehmen einzubrechen.
Vor 10-15 Jahren waren Viren und Spyware noch die größte Sorge für Unternehmen im Bereich Cybersecurity. Antivirus (AV) Lösungen kamen auf den Markt, die verdächtige Dateien scannen und auf Virussignaturen prüfen. Im Laufe der Zeit traten zusätzlich Phishing- und Malware-Angriffe auf. Auch hier kann mit einem ähnlichen Ansatz wie beim Virenschutz in E-Mail-Filtern nach Phishing-Versuchen oder kompromittierten Links gesucht werden, um den Erfolg der Angreifer zu verhindern.
Mit zunehmender Zeit und Zahl der Attacken wurden die Angriffe immer gezielter. Cyberkriminelle lernten immer professioneller zu agieren, da sie ständig nach neuen Wegen suchen, um in Unternehmen einzubrechen. Bei „Advanced Persistent Threats (APT) handelt es sich um fortgeschrittene Angriffe durch organisierte Gruppen, die in mehreren Phasen in ein Netzwerk eindringen, sich systematisch im Unternehmen ausbreiten und dabei der Entdeckung entziehen. Ihr übergeordnetes Ziel ist dabei, Informationen aus kommerziellen oder politischen Motiven zu stehlen, zu manipulieren, zu verschlüsseln oder zu löschen.
Vor 10-15 Jahren waren Viren und Spyware noch die größte Sorge für Unternehmen im Bereich Cybersecurity. Antivirus (AV) Lösungen kamen auf den Markt, die verdächtige Dateien scannen und auf Virussignaturen prüfen. Im Laufe der Zeit traten zusätzlich Phishing- und Malware-Angriffe auf. Auch hier kann mit einem ähnlichen Ansatz wie beim Virenschutz in E-Mail-Filtern nach Phishing-Versuchen oder kompromittierten Links gesucht werden, um den Erfolg der Angreifer zu verhindern.
Mit zunehmender Zeit und Zahl der Attacken wurden die Angriffe immer gezielter. Cyberkriminelle lernten immer professioneller zu agieren, da sie ständig nach neuen Wegen suchen, um in Unternehmen einzubrechen. Bei „Advanced Persistent Threats (APT) handelt es sich um fortgeschrittene Angriffe durch organisierte Gruppen, die in mehreren Phasen in ein Netzwerk eindringen, sich systematisch im Unternehmen ausbreiten und dabei der Entdeckung entziehen. Ihr übergeordnetes Ziel ist dabei, Informationen aus kommerziellen oder politischen Motiven zu stehlen, zu manipulieren, zu verschlüsseln oder zu löschen.
Schutz vor fortgeschrittenen Angriffen durch Detektion
Um sich vor jeglicher Art von Angriffen zu schützen ist eine Vorsorge durch präventive Schutzmaßnahmen im Bereich Cybersecurity weiterhin essenziell. Security-Tools wie Virenscanner sind Hygienefaktoren im Bereich Cybersecurity. Auch die Anwendung von Designprinzipien wie Security-By-Design oder Zero Trust helfen bei der Abwehr von Angriffen.
Prävention reicht aber aufgrund der gestiegenen Komplexität und des Faktors Mensch nicht aus. Studien wie der M-Trends Report von Mandiant zeigen, dass fortgeschrittene Angriffe nur schwer erkennbar sind:
Durch den ausschließlichen Einsatz präventiver Security Tools lassen sich solche Angriffe nur schwer verhindern. Insbesondere wenn Angriffe mit Hilfe gestohlener User Accounts oder durch Schwachstellen in ungepatchter Software erfolgen, können solche Sicherheitsmaßnahmen umgangen werden.
Prävention reicht aber aufgrund der gestiegenen Komplexität und des Faktors Mensch nicht aus. Studien wie der M-Trends Report von Mandiant zeigen, dass fortgeschrittene Angriffe nur schwer erkennbar sind:
- • In nahezu jedem untersuchten, fortgeschrittenen Angriff wurden im Laufe des Angriffs ausgespähte, valide Nutzercredentials verwendet
- • Angreifer breiteten sich im Schnitt über 40 Systeme aus
- • Im Median dauerte es 101 Tage, bis ein Angriff entdeckt wurde
Durch den ausschließlichen Einsatz präventiver Security Tools lassen sich solche Angriffe nur schwer verhindern. Insbesondere wenn Angriffe mit Hilfe gestohlener User Accounts oder durch Schwachstellen in ungepatchter Software erfolgen, können solche Sicherheitsmaßnahmen umgangen werden.
SIEM Systeme als Nervenzentrum im Security Operations Center
Ein wichtiges Hilfsmittel zur Erkennung und Behandlung von APT sind Security Information und Event Management (SIEM) Systeme. Die Funktionalität von SIEM Systemen besteht im Kern darin, Logdateien oder sonstige Maschinendaten aus der IT Landschaft einzusammeln und sehr zeitnah Spuren von ungewöhnlichen oder potentiell schädlichen Aktivitäten zu suchen und zu reporten. Dabei werden die Daten korreliert und ein Gesamtbild für die Bearbeitung durch ein Security Operations Team bereitgestellt.
Erkennungsmuster für Angriffe müssen dabei fortlaufend gepflegt werden, damit auch neue Angriffstaktiken und -techniken erkannt werden. Moderne und leistungsfähige SIEM Systeme unterstützen dabei, indem neue Erkennungsmuster für Bedrohungen regelmäßig aktualisiert werden oder auch künstliche Intelligenz zum Einsatz kommt.
Eine weitere wichtige Komponente ist die Bereitstellung von Möglichkeiten der Analyse und Behandlung von erkannten Vorfällen, idealerweise unter Verwendung von Automatisierung.
Unser Partner Splunk bezeichnet das SIEM daher auch als Nervenzentrum für Cybersecurity in einem Unternehmen, welches Informationen aus verschiedensten Bereichen aggregiert, zu einem Gesamtbild zusammensetzt und dann – automatisiert oder manuell – eine angemessene und schnelle Reaktion auf Vorfälle ermöglicht.
Erkennungsmuster für Angriffe müssen dabei fortlaufend gepflegt werden, damit auch neue Angriffstaktiken und -techniken erkannt werden. Moderne und leistungsfähige SIEM Systeme unterstützen dabei, indem neue Erkennungsmuster für Bedrohungen regelmäßig aktualisiert werden oder auch künstliche Intelligenz zum Einsatz kommt.
Eine weitere wichtige Komponente ist die Bereitstellung von Möglichkeiten der Analyse und Behandlung von erkannten Vorfällen, idealerweise unter Verwendung von Automatisierung.
Unser Partner Splunk bezeichnet das SIEM daher auch als Nervenzentrum für Cybersecurity in einem Unternehmen, welches Informationen aus verschiedensten Bereichen aggregiert, zu einem Gesamtbild zusammensetzt und dann – automatisiert oder manuell – eine angemessene und schnelle Reaktion auf Vorfälle ermöglicht.
COCUS und Splunk – eine starke Partnerschaft auch für SIEM Systeme
Um der gestiegenen Bedrohungslage zu begegnen, haben wir bei COCUS uns als mittelständisches Unternehmen entschieden, in ein SIEM System zu investieren. Hierbei setzen wir auf den Marktführer Splunk. Als langjähriger Partner von Splunk sind wir von der Leistungsfähigkeit der Lösung voll überzeugt und können bei der Implementierung auf unsere erfahrenen Splunk Engineers und Security Experten zurückgreifen.
COCUS kann deinem Unternehmen als externer Unterstützer ein breit gefächertes Expertenwissen im IT-Sicherheitsbereich für den Auf- und Ausbau eines maßgeschneiderten, effektiven Sicherheitssystems anbieten. Sprich uns an, bevor es zu spät ist!
COCUS kann deinem Unternehmen als externer Unterstützer ein breit gefächertes Expertenwissen im IT-Sicherheitsbereich für den Auf- und Ausbau eines maßgeschneiderten, effektiven Sicherheitssystems anbieten. Sprich uns an, bevor es zu spät ist!
