Categories: AnzeigeWorkspace

Verhaltensbasierte Analysen entlasten das SOC-Team und beenden Attacken im Ansatz

Gleichzeitig nehmen die Bedrohungen zu: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) meldete in seinem Cybersicherheitsbericht für Deutschland 2020 (S. 10) pro Tag bis zu 322.000 neue Bedrohungsvarianten. Zudem tarnen Angreifer ihr Tun immer perfekter. Einzelne ihrer Aktionen, etwa der Zugriff auf ein bestimmtes System, sind für sich genommen nicht unbedingt bösartig. Erst wenn man sie in einen Kontext setzt, wird ihre schädigende Absicht klar.

Ein Beispiel dafür ist der lang unentdeckte Angriff über die SolarWinds-Supply Chain, der im Winter 2020 bekannt wurde. Wie das Online-Portal Heise schreibt, hat SolarWinds Orion 18.000 Microsoft-Servicekunden infiziert, darunter auch öffentliche Einrichtungen aus Gesundheitswesen, Verwaltung oder Militär. Rund 30 Prozent der angegriffenen Firmen und Organisationen nutzten allerdings Solarwinds Orion gar nicht. Die Sicherheitslösung war also nur einer von mehreren Eindringpunkten in die Systeme der Anwender. Der Hack blieb wegen raffinierter Tarnung fast ein ganzes Jahr unentdeckt. Und dies ist kein Einzelfall: Im weltweiten Durchschnitt dauert es 56 Tage, bis ein Cyberangriff entdeckt wird.

Von der frühestmöglichen Detektion bis zu intelligenter Analyse und Gegenmaßnahmen bietet Cybereason Defense Platform alle Funktionen, um die Sicherheitsteams in den Unternehmen wieder in die Offensive zu bringen (Bild: Cybereason)

SOC-Teams: Unterbesetzt und von Alerts überflutet

Dazu tragen auch das bisherige Konzept der Endpoint-Security und die verwendeten Tools bei. Durch Mobile, Home Office und Cloud ist der Rand des eigenen Netzwerks unscharf geworden. Um möglichst viele Angriffe zu entdecken, arbeiten Unmengen IT-Security-Werkzeuge unverbunden nebeneinander: Virenscanner, Firwalls, Intrusion Detection und so weiter – jeweils mit eigenen Benutzeroberflächen, Abfragesprachen, Alarmen, darunter viele falsche. Eine sinnvolle Priorisierung ist da kaum möglich.

In diesem Umfeld reichen die Indicators of Compromise (IoCs) konventioneller Systeme, etwa Virussignaturen, Hashes, bekannte Dateinamen von Schädlingen und Ähnliches, nicht mehr. Deshalb werden jetzt neue Konzepte entwickelt, etwa von Cybereason.

Verhaltensanalyse stoppt die Alert-Flut

Cybereason Defense Platform verwendet deshalb einen neuen Ansatz. Er orientiert sich neben weiterhin verwendeten IoCs am beobachteten Verhalten in der gesamten Infrastruktur in seiner Gesamtheit. Einzelne Aktionen oder Verhaltensweisen werden zu sogenannten Indicators of Behavior (IoBs) verdichtet, die eine verdächtige Verhaltenskette systemübergreifend charakterisieren.

Dafür werden alle Systemereignisse registriert, mit Hilfe von ML-Algorithmen korreliert und mit internen und externen Daten kontextualisiert. Auch vorhandene Tools von Drittanbietern lassen sich über Schnittstellen einbinden und können Daten liefern. Entsprechen Verhaltensweisen im Kontext einem Indicator of Behavior (IoB), wird erhöhte Wachsamkeit und bei Vorliegen weiterer Indikatoren gegebenenfalls ein Alarm ausgelöst.

Cybereason Defense Platform bezeichnet den Gesamtzusammenhang eines potentiell maliziösen Verhaltens als MalopsTM (Malicious Operations). MalopsTM sind integrierte, interaktive Bildschirmdarstellungen eines Verhaltenszusammenhangs mit umfassenden Drill-Down-Möglichkeiten.

MalopTM : Der Angriff im Detail

Sie zeigen den gesamten Angriff im Zeitverlauf mit seinen einzelnen Phasen vom Erstkontakt bis zur aktuellen Situation mit allen wichtigen Fakten: Welche Maschinen wurden wann, wie und mit welchen Konsequenzen angegriffen? Welche User sind betroffen und wie weit ist der Angriff ins System eingedrungen? Welche Rechte hat sich ein Angreifer erschlichen?

Um MalopsTM zu verstehen, sind keine umfangreichen Trainings nötig: Mit nur wenigen Klicks und ohne das umständliche Erlernen einer Abfragesprache können auch SOC-Mitarbeiter mit geringeren Qualifikationen Angriffe verstehen und stoppen. Denn passgenaue Gegenmaßnahmen – entweder voll automatisiert oder als interaktiver Bildschirmdialog zur Ausführung durch SOC-Mitarbeiter – sind ebenfalls in MalopsTM integriert.

Malops zeigen den gesamten Angriff in seinem zeitlichen Zusammenhang mit allen Angriffsvektoren und betroffenen Ressourcen (Bild: Cybereason)

Mehr Effizienz, schnellere Reaktionen

Der ML-unterstützte verhaltensbasierte Ansatz sortiert Unmengen falsch positiver Alerts aus. Die Mitarbeiter des Security-Teams können sich auf die relevanten Meldungen und Bedrohungen konzentrieren. Deshalb kann ein einzelner SOC-Mitarbeiter mit Cybereason Defense Platform bis zu 200.000 Endpunkte überwachen. Unternehmen brauchen so weniger hoch qualifizierte Mitarbeiter fürs SOC, die auch geringer qualifiziert sein dürfen.

Gleichzeitig beschleunigt sich die Reaktion auf Angriffe: Die in den MalopsTM integrierten, maßgeschneiderten und direkt zugänglichen Gegenmaßnahmen verringern die Zeit bis zur Reaktion gegenüber konventionellen Sicherheitsumgebungen um bis zu 93 Prozent. Aus Stunden werden so Minuten.

Ein Sensor für alles

Für die Datengewinnung verwendet die Cybereason Defense Plattform einen einheitlichen Softwaresensor, der auf allen Endgeräten und in allen Umgebungen arbeitet, handele es sich nun um typische Mobilsysteme, Laptops, Arbeitsplatz-PCs oder die Cloud. Das vereinfacht den Betrieb und die Installation des Systems.

Dieser Sensor funktioniert auch, wenn der Endpunkt nicht ins Firmennetz eingeloggt ist, solange er übers Internet mit der Cybereason-Cloud kommunizieren kann. Dabei wertet er bis zu 400 Indikatoren pro Endpunkt in Echtzeit aus. Diese werden mit weiteren Echtzeit-Datenquellen etwa aus Tools von Drittanbietern und zum weltweiten Bedrohungsgeschehen angereichert und mit ML-Algorithmen korreliert. Pro Woche verarbeitet Cybereason bis zu 9,8 PByte Threat Intelligence. Zum Vergleich: Google Drive speichert aktuell rund 3,5 TByte pro Woche.

Team Nocturnus: Die Sicherheits-Experten im Hintergrund

Im Hintergrund arbeitet zudem das Cybereason Nocturnus Team, eine Gruppe hochkarätiger Experten aus Israel, den USA und Europa. Die hochqualifizierten Sicherheitsexperten beobachten ständig das aktuelle Bedrohungsgeschehen, registrieren neue Angriffsformen und entwickeln Gegenmaßnahmen. Im Notfall greift das Team bei betroffenen Anwendern direkt ein, um Attacken zu stoppen.

Mit diesem Gesamtkonzept sorgt Cybereason dafür, dass die Sicherheitsteams in Organisationen und Unternehmen wieder in die Offensive kommen und Schaden umgehend abwenden können.

Maria Jose Carrasco

Recent Posts

Microsoft veröffentlicht Edge 92

Das Update erweitert den Browser um ein Password Health Dashboard. Es prüft die Stärke von…

2 Tagen ago

Hacker nennen im zweiten Quartal 740 Ransomware-Opfer auf Data-Leak-Websites

Das ist ein Anstieg von 47 Prozent gegenüber dem ersten Quartal. Die Zahlen basieren auf…

2 Tagen ago

Hardware: Grafikkarten trotz Engpass gefragt

Die Karlsruher ITscope GmbH beleuchtet vierteljährlich im ITscope Marktbarometer Q2/2021, welche Hardware in Deutschland besonders…

2 Tagen ago

Immer mehr Risiken durch Informationstechnologie – wie können sich IT-Dienstleister absichern?

Informationstechnologie spielt gerade in der aktuellen Lage in Deutschland eine immer größere Rolle. Zugleich werden…

2 Tagen ago

Hackerangriffe behindern Produktions- und Lieferketten

Nach dem ersten Cyber-Katastrophenfall in Deutschland wird klar, dass weitere harte Angriffswellen bevorstehen. Angriffe auf…

2 Tagen ago

Brite auf Betreiben der US-Justiz in Spanien wegen Twitter-Hack verhaftet

Es handelt sich um einen 22-Jährigen. Ihm droht nun die Auslieferung in die USA. Dort…

3 Tagen ago