Verhaltensbasierte Analysen entlasten das SOC-Team und beenden Attacken im Ansatz

Eine Studie des Branchenverbandes BITKOM aus dem Jahr 2017spricht von 55.000 freien IT-Stellen in Deutschland. Besonders stark wuchs mit 20 Prozent der Bedarf nach IT-Sicherheitsspezialisten. Und die Situation dürfte sich zwischenzeitlich nicht verbessert haben.

Gleichzeitig nehmen die Bedrohungen zu: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) meldete in seinem Cybersicherheitsbericht für Deutschland 2020 (S. 10) pro Tag bis zu 322.000 neue Bedrohungsvarianten. Zudem tarnen Angreifer ihr Tun immer perfekter. Einzelne ihrer Aktionen, etwa der Zugriff auf ein bestimmtes System, sind für sich genommen nicht unbedingt bösartig. Erst wenn man sie in einen Kontext setzt, wird ihre schädigende Absicht klar.

Ein Beispiel dafür ist der lang unentdeckte Angriff über die SolarWinds-Supply Chain, der im Winter 2020 bekannt wurde. Wie das Online-Portal Heise schreibt, hat SolarWinds Orion 18.000 Microsoft-Servicekunden infiziert, darunter auch öffentliche Einrichtungen aus Gesundheitswesen, Verwaltung oder Militär. Rund 30 Prozent der angegriffenen Firmen und Organisationen nutzten allerdings Solarwinds Orion gar nicht. Die Sicherheitslösung war also nur einer von mehreren Eindringpunkten in die Systeme der Anwender. Der Hack blieb wegen raffinierter Tarnung fast ein ganzes Jahr unentdeckt. Und dies ist kein Einzelfall: Im weltweiten Durchschnitt dauert es 56 Tage, bis ein Cyberangriff entdeckt wird.

Von der frühestmöglichen Detektion bis zu intelligenter Analyse und Gegenmaßnahmen bietet Cybereason Defense Platform alle Funktionen, um die Sicherheitsteams in den Unternehmen wieder in die Offensive zu bringen (Bild: Cybereason)

SOC-Teams: Unterbesetzt und von Alerts überflutet

Dazu tragen auch das bisherige Konzept der Endpoint-Security und die verwendeten Tools bei. Durch Mobile, Home Office und Cloud ist der Rand des eigenen Netzwerks unscharf geworden. Um möglichst viele Angriffe zu entdecken, arbeiten Unmengen IT-Security-Werkzeuge unverbunden nebeneinander: Virenscanner, Firwalls, Intrusion Detection und so weiter – jeweils mit eigenen Benutzeroberflächen, Abfragesprachen, Alarmen, darunter viele falsche. Eine sinnvolle Priorisierung ist da kaum möglich.

In diesem Umfeld reichen die Indicators of Compromise (IoCs) konventioneller Systeme, etwa Virussignaturen, Hashes, bekannte Dateinamen von Schädlingen und Ähnliches, nicht mehr. Deshalb werden jetzt neue Konzepte entwickelt, etwa von Cybereason.

Verhaltensanalyse stoppt die Alert-Flut

Cybereason Defense Platform verwendet deshalb einen neuen Ansatz. Er orientiert sich neben weiterhin verwendeten IoCs am beobachteten Verhalten in der gesamten Infrastruktur in seiner Gesamtheit. Einzelne Aktionen oder Verhaltensweisen werden zu sogenannten Indicators of Behavior (IoBs) verdichtet, die eine verdächtige Verhaltenskette systemübergreifend charakterisieren.

Dafür werden alle Systemereignisse registriert, mit Hilfe von ML-Algorithmen korreliert und mit internen und externen Daten kontextualisiert. Auch vorhandene Tools von Drittanbietern lassen sich über Schnittstellen einbinden und können Daten liefern. Entsprechen Verhaltensweisen im Kontext einem Indicator of Behavior (IoB), wird erhöhte Wachsamkeit und bei Vorliegen weiterer Indikatoren gegebenenfalls ein Alarm ausgelöst.

Cybereason Defense Platform bezeichnet den Gesamtzusammenhang eines potentiell maliziösen Verhaltens als MalopsTM (Malicious Operations). MalopsTM sind integrierte, interaktive Bildschirmdarstellungen eines Verhaltenszusammenhangs mit umfassenden Drill-Down-Möglichkeiten.

MalopTM : Der Angriff im Detail

Sie zeigen den gesamten Angriff im Zeitverlauf mit seinen einzelnen Phasen vom Erstkontakt bis zur aktuellen Situation mit allen wichtigen Fakten: Welche Maschinen wurden wann, wie und mit welchen Konsequenzen angegriffen? Welche User sind betroffen und wie weit ist der Angriff ins System eingedrungen? Welche Rechte hat sich ein Angreifer erschlichen?

Um MalopsTM zu verstehen, sind keine umfangreichen Trainings nötig: Mit nur wenigen Klicks und ohne das umständliche Erlernen einer Abfragesprache können auch SOC-Mitarbeiter mit geringeren Qualifikationen Angriffe verstehen und stoppen. Denn passgenaue Gegenmaßnahmen – entweder voll automatisiert oder als interaktiver Bildschirmdialog zur Ausführung durch SOC-Mitarbeiter – sind ebenfalls in MalopsTM integriert.

Bild: CybereasonMalops zeigen den gesamten Angriff in seinem zeitlichen Zusammenhang mit allen Angriffsvektoren und betroffenen Ressourcen (Bild: Cybereason)

Mehr Effizienz, schnellere Reaktionen

Der ML-unterstützte verhaltensbasierte Ansatz sortiert Unmengen falsch positiver Alerts aus. Die Mitarbeiter des Security-Teams können sich auf die relevanten Meldungen und Bedrohungen konzentrieren. Deshalb kann ein einzelner SOC-Mitarbeiter mit Cybereason Defense Platform bis zu 200.000 Endpunkte überwachen. Unternehmen brauchen so weniger hoch qualifizierte Mitarbeiter fürs SOC, die auch geringer qualifiziert sein dürfen.

Gleichzeitig beschleunigt sich die Reaktion auf Angriffe: Die in den MalopsTM integrierten, maßgeschneiderten und direkt zugänglichen Gegenmaßnahmen verringern die Zeit bis zur Reaktion gegenüber konventionellen Sicherheitsumgebungen um bis zu 93 Prozent. Aus Stunden werden so Minuten.

Ein Sensor für alles

Für die Datengewinnung verwendet die Cybereason Defense Plattform einen einheitlichen Softwaresensor, der auf allen Endgeräten und in allen Umgebungen arbeitet, handele es sich nun um typische Mobilsysteme, Laptops, Arbeitsplatz-PCs oder die Cloud. Das vereinfacht den Betrieb und die Installation des Systems.

Dieser Sensor funktioniert auch, wenn der Endpunkt nicht ins Firmennetz eingeloggt ist, solange er übers Internet mit der Cybereason-Cloud kommunizieren kann. Dabei wertet er bis zu 400 Indikatoren pro Endpunkt in Echtzeit aus. Diese werden mit weiteren Echtzeit-Datenquellen etwa aus Tools von Drittanbietern und zum weltweiten Bedrohungsgeschehen angereichert und mit ML-Algorithmen korreliert. Pro Woche verarbeitet Cybereason bis zu 9,8 PByte Threat Intelligence. Zum Vergleich: Google Drive speichert aktuell rund 3,5 TByte pro Woche.

Team Nocturnus: Die Sicherheits-Experten im Hintergrund

Im Hintergrund arbeitet zudem das Cybereason Nocturnus Team, eine Gruppe hochkarätiger Experten aus Israel, den USA und Europa. Die hochqualifizierten Sicherheitsexperten beobachten ständig das aktuelle Bedrohungsgeschehen, registrieren neue Angriffsformen und entwickeln Gegenmaßnahmen. Im Notfall greift das Team bei betroffenen Anwendern direkt ein, um Attacken zu stoppen.

Mit diesem Gesamtkonzept sorgt Cybereason dafür, dass die Sicherheitsteams in Organisationen und Unternehmen wieder in die Offensive kommen und Schaden umgehend abwenden können.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Verhaltensbasierte Analysen entlasten das SOC-Team und beenden Attacken im Ansatz

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *