Intelligent Bedrohungen im Unternehmensnetzwerk bekämpfen

Der Angriff auf den Microsofts Exchange Server ist ein Beispiel für einen äußerst erfolgreichen internationalen Hack und zählt zu den größten Cyber-Angriffen der letzten Jahre: Schätzungsweise rund 250.000 Systeme waren betroffen, 30 Prozent davon alleine in der DACH-Region. Vielerorts, vor allem im Mittelstand, fehlt es noch immer am nötigen Sicherheitsbewusstsein und es vergehen noch immer mehrere Wochen, bis ein Angriff aufgedeckt wird. Das gibt den Hackern genügend Zeit, um wertvolle Daten zu stehlen oder die Systeme zu manipulieren.

Die Angreifer auf dem MS Exchange Server hatten sich vermutlich schon Ende 2020 über mehrere Sicherheitslücken eingenistet – zunächst unentdeckt. Microsoft stellte Anfang März ein erstes entsprechendes Sicherheitsupdate zur Verfügung. Damit wurde den Hackern bewusst, dass die Schachstelle nur noch für kurze Zeit verfügbar sein wird. Deshalb infizierten sie noch so viele Server wie möglich durch das automatische ausnutzen der Lücke und installierten  bei den Opfern so genannte Web-Shells.. Damit erhielten sie einen Remote-Zugriff auf den jeweiligen Server, welcher erhalten blieb, auch wenn die ursprüngliche Schwachstelle bereits gepatched wurde.   Aus diesem Grund sind Systeme auch nach der Installation des Microsoft-Patches nicht sicher davor, dass Angreifer ins Netzwerk eindringen, Daten herunterladen oder diese im Zuge von Ransomware-Attacken verschlüsseln. Web-Shell-Attacken gab es vorher, neu sind aber Häufigkeit und Ausmaß: Mitte April musste Microsoft nach einer Warnung des US-Geheimdiensts NSA erneut eine Sicherheitslücke in Exchange-Servern beheben. Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat zum ersten Mal seit sieben Jahren und zum dritten Mal seit seinem Bestehen die Alarmstufe „Rot“ ausgerufen.

Smarte Network Detection and Response als Antwort auf die aktuelle Bedrohungslage

Zeit ist in diesem Fall oft Geld – im Kampf gegen die Hacker ist es entscheidend, Bedrohungen, Angriffe und Datenlecks möglichst sofort zu entdecken und umgehende Gegenmaßnahmen einzuleiten. Angesichts der heutigen Bedrohungslage genügen herkömmliche Sicherheitsmaßnahmen wie die Installation einer Firewall nicht mehr. Im Bereich Netzwerkmonitoring schauen sich Sicherheitsexperten traditionell die von Endpunkten und Logging-Tools generierten Daten an. Diese Methode skaliert nicht, da es schlicht zu viele Daten zu verarbeiten gibt und eine ganzheitliche Sicht auf das gesamte Netzwerk fehlt. Firmen-Netzwerke produzieren oft Millionen oder gar Milliarden von Datenpunkten täglich. Diese manuell auf verdächtige Aktivitäten hin zu untersuchen, sprengt meist die vorhandenen Ressourcen. Zudem sind die Teams beinahe ständig mit Fehlalarmen konfrontiert. Die wirklich gefährlichen Vorfälle gehen daher oft im Datenwust unter. Erschreckenderweise dauert es dadurch im Durchschnitt mehrere Wochen, bis ein Cyber-Angriff entdeckt wird.

Gezielte Abhilfe schaffen Lösungen, die KI-gestützt in der Lage sind, die Angreifer schneller aufzuspüren, bevor sie wertvolle Unternehmensdaten manipulieren oder Systeme infiltrieren. Das Konzept hierfür lautet Network Detection and Response (NDR) – also eine Lösung, die auf KI-Algorithmen basierend das Netzwerk überwacht und wie eine Alarmanlage funktioniert, die anschlägt, sobald der Einbrecher ins Haus gelangt ist – und nicht erst Tage oder Wochen danach.

Im besten Fall entwickelt sich eine derartige Lösung  zudem mit der Bedrohungslage weiter. Sie lernt einerseits, welche Vorgänge im Netzwerk normal sind und erkennt andererseits aber auch atypische Verhaltens- oder sich ändernde Verbindungsmuster.

Bei Nutzung eines rein softwarebasierten Ansatzes brauchen Unternehmen nicht in proprietäre Hardware zu investieren. Dies bieten Lösungen, die bestehende Infrastrukturen nutzen, um Bedrohungen effektiv zu erkennen und darauf zu reagieren. Ein Ansatz, der auch in hybriden Umgebungen für umfassende Transparenz sorgt. Und durch die Integration gängiger Protokolldaten, wie Proxy-Protokolle oder AD-Protokolle können sehr einfach vertiefende Analysen gemacht werden. Dieser auf Meta-Protokolldaten basierende Ansatz untersucht auch Metadaten verschlüsselter Kommunikation und stellt so sicher, dass potenzielle Bedrohungen keinen Platz finden, um sich in einem Netzwerk zu verstecken.

Diese KI- und Big-Data-Algorithmen sind auf die zunehmende Verschlüsselung des Datenverkehrs vorbereitet und sorgen damit für eine bestmögliche Entlastung der IT-Security-Abteilung. Insbesondere auch deshalb, weil die Treffgenauigkeit der Alarme sehr hoch ist und damit Fehlalarme auf ein Minimum reduziert werden können, denn die KI-Algorithmen korrelieren, bewerten und priorisieren ausgelöste Alarme automatisch. Sie nutzen dabei auch Daten von anderen Sicherheitssystemen – etwa Endpoint Detection, Geräteüberwachung, Antivirus-Programme, Zugriffsmanagement – und gleichen sie miteinander ab. So lassen sich Fehlalarme minimieren und Security-Teams sich auf die relevanten Vorfälle konzentrieren. Zudem greift eine NDR-Lösung den IT-Security-Teams unter die Arme, um die identifizierten Bedrohungen effizient zu untersuchen und bekämpfen.

Fazit

Die durchschnittlichen Kosten eines Angriffs auf Unternehmensdaten belaufen sich laut IBM Security Report 2020 auf rund 3,18 Millionen Euro. Der Schaden durch den Reputationsverlust lässt sich allerdings nur schwer messen. Da die Cyber-Sicherheitsbedrohungen exponentiell wachsen und immer ausgefeilter werden, sollten Unternehmen alles daran setzen, um ihre Infrastruktur in Echtzeit zu schützen. Ein zukunftssichere Network Detection and Response wie beispielsweise von Exeon bildet die Grundlage für robuste, nachhaltige Cybersicherheitsstrategien.