Verhaltensanalysen sowie ein mehrschichtiger Sicherheitsansatz unterstützen Unternehmen, Cyberattacken schneller und zielgenauer aufzudecken. Gastbeitrag von Gérard Bauer.

Foto: Vectra Networks Der Autor Gérard Bauer ist Vice President EMEA bei Vectra Networks Hackerangriffe und andere IT-Sicherheitsvorfälle sind nicht nur ärgerlich, sie können auch enorme Kosten und einen riesigen Image-Schaden für das betroffene Unternehmen mit sich bringen. Doch auch wenn sich die meisten Unternehmen und Organisationen dieser Gefahr bewusst sind und entgegen steuern wollen, nimmt die Bedrohung für sensible Firmendaten durch Cyberangriffe stetig zu. Gründe sind unter anderem eine zunehmende Professionalisierung der Werkzeuge und Methoden der Hacker. Doch auch die unternehmensseitigen IT-Systeme sind oftmals nur mangelhaft und zu einseitig, um einen wirksamen Schutz gegen moderne Angriffsmethoden zu leisten. Eine Kombination aus bekannten Ansätzen, maschinellem Lernen, Data Science und Verhaltensanalyse kann Abhilfe schaffen. Denn derartige Lösungen helfen, Angriffe auf das Netzwerk schnell und automatisch zu identifizieren – egal, mit welcher Methode die Cyberkriminellen vorgehen.

Gezielte Angriffe steigen rapide.

Doch wogegen müssen sich IT-Abteilungen und Entscheider 2016 besonders absichern? Antworten finden sich im aktuellen Post-Intrusion Report des IT-Sicherheitsspezialisten Vectra Networks, der ein außergewöhnliches Wachstum bei der Erkennung von Lateralbewegungen (580 Prozent) sowie interner Reconnaissance (270 Prozent) verzeichnet. Derartige Verhaltensweisen deuten auf gezielte Angriffe hin, bei denen die Angreifer in die vermeintlich geschützte Zone innerhalb des Sicherheitsperimeters eindringen. Während Command-and-Control-Kommunikation das geringste Wachstum (6 Prozent) verzeichnet, war auch ein deutlicher Anstieg bei hochriskanter TOR-Kommunikation und externem Remote-Zugriff erkennbar. Im neuen Report schossen die TOR-Erkennungen um mehr als das Zehnfache gegenüber dem Vorjahr nach oben und machten einen Anteil von 14 Prozent am gesamten Command-and-Control-Verkehr aus. Der externe Remote-Zugriff stieg ebenfalls deutlich, um 183 Prozent gegenüber dem Vorjahr. Zudem bevorzugen viele Angreifer für versteckte Tunnel HTTPS gegenüber HTTP, um ihre Kommunikation zu verbergen.
Zusammenfassend lässt sich sagen: Es gibt immer mehr Netzwerkbedrohungen, die Next-Generation-Firewalls, Intrusion-Prevention-Systeme, Malware-Sandboxing, Host-basierte Sicherheitslösungen und andere Verteidigungsmaßnahmen für Unternehmen umgehen können.

Verhaltensanalysen schützen vor APT-Angriffen.

Eine weitere große Bedrohung, der sich Firmen vermehrt stellen müssen, sind außerdem Advanced Persistent Threat (APT)-Angriffe. Sogar professionell geschützte Netzwerke und IT-Infrastrukturen stellen ein potentielles Angriffsziel dar. Um hierauf zu reagieren, sollte das Hauptaugenmerk nicht länger alleinig auf Prävention gelegt werden, sondern stattdessen auf die rechtzeitige Erkennung von Angriffen. Eine fundierte Verhaltensanalyse typischer Angriffsmuster ist hier zwingend notwendig – sowohl für Angriffe von innen als auch Attacken von außen. 
Das Problem besteht aber darin, die Bedrohung aufzudecken bevor diese auftritt oder Schaden zufügen kann. Was ist der nächste Schritt der handelnden Person? Was deutet auf die Vorbereitung einer Attacke hin? In den vergangenen Jahren haben sich Predictive Analytics-Werkzeuge stark weiterentwickelt. Auch Tools wie Google Now, Siri oder Cortana sind darauf fokussiert, die Bedürfnisse des Users zu erkennen bevor dieser überhaupt von ihnen weiß. Dies ist möglich durch die riesige Menge an Verhaltensdaten, die gesammelt und indiziert werden. Nicht vergessen werden dürfen Technologien wie Stimmerkennung, Bildanalyse und maschinelles Lernen. Die neuen vorausschauenden Analysemöglichkeiten riesiger Mengen an Verhaltensdaten werden zumeist unter dem Begriff Data Science zusammengefasst. Moderne Data Science-Ansätze sind heute in der Lage, bekannte Indikatoren für Cyberangriffe zu erlernen. Beispiele sind Exfiltration-Situationen wie der Upload von Daten in einen Dropbox Account, das extensive Nutzen von USB-Sticks in einem Unternehmen oder auch eine große Anzahl oder Menge an Downloads von internen Servern. Um auch künftige und bislang unbekannte Attacken aufdecken zu können, müssen zudem Anomalien im beobachteten Verhalten herauskristallisiert werden.

Überblick behalten.

Moderne und professionelle Netzwerk-Behaviour-Analysesysteme geben IT-Sicherheitsteams den Überblick, den sie benötigen, um schnell auf Cyberbedrohungen zu reagieren. Sie helfen, auch Angriffe aufzudecken, die von Perimeter-Sicherheitslösungen wie Firewalls, Sandboxes oder IPS nicht aufgespürt wurden. Sogenanntes „Security Information and Event Management“ (SIEM) kann die von Netzwerkverhaltensanalysesystemen gesammelten Informationen nutzen, um Attacken schnell zu identifizieren und auf sie zu reagieren.

Fazit.

In der heutigen IT-Security-Welt ist jeder Tag ein „Zero Day“. Netzwerksicherheit muss daher auf verschiedenen Lösungen und Ansätzen aufbauen, um so effizient wie möglich zu sein. Unternehmen sollten auf eine Mischung aus Perimeter Security, Sandboxes und SIEMs nebst Netzwerk-Behaviour-Analyse setzen. Hinzukommen Endpoints, die bereits verifizierte Intelligence wie Signaturen nutzen, im Zusammenspiel mit spekulativen, vorausschauenden Warnsystemen.