Cybersicherheit: Maßnahmen gegen Data Exfiltration

Cyberangriffe nehmen seit Jahren stark zu, in der Corona-Pandemie hat das Problem einen Höhepunkt erreicht. Vor allem die Exfiltration von Daten kann dabei langfristige Folgen für Unternehmen haben wie mögliche Erpressungsversuche oder Reputationsschaden für die Organisation. Sind zudem Kundendaten von dem Angriff betroffen, weitet sich der Kreis der Opfer sogar noch aus. Eine effektive Verteidigung erfordert, über die Netzwerkgrenze hinauszudenken und die nachfolgenden Aktionen des Angreifers abzudecken. Wie genau das in der Praxis abläuft, erfahren Sie im Folgenden.

Neue Art der Bedrohung

Die Datenexfiltration ist ein Eckpfeiler für böswillige Cyberoperationen. Allerdings haben sich die Art der Exfiltration und ihre Auswirkungen in den letzten Jahren erheblich verändert: In der Vergangenheit haben Angreifer, die mit staatlichen Sponsoren oder ähnlichen Aktivitäten in Verbindung standen, Datendiebstahl betrieben, um Industriespionage oder den Diebstahl geistigen Eigentums zu betreiben. In jüngerer Zeit haben sich Widersacher an der Exfiltration nicht aufgrund des Wertes der Daten für sie selbst oder ihre Sponsoren beteiligt, sondern aufgrund des Wunsches der Opfer, diese Daten nicht preiszugeben. Das Ergebnis ist ein Ökosystem aus Exfiltration und Offenlegung zu monetären oder hacktivistischen Zwecken, bei dem die böswillige Partei versucht, dem Opfer Schaden zuzufügen oder mit Schaden zu drohen. Angesichts dieser Trends müssen Netzwerkeigentümer, -betreiber und -verteidiger sicherstellen, dass Kontrollen vorhanden sind, um solche Aktivitäten zu erkennen, einzudämmen oder angesichts der potenziellen Kosten ganz zu unterbinden.

Auswirkungen der Exfiltration

Auf den ersten Blick scheint die Exfiltration weniger besorgniserregend zu sein als andere Auswirkungen von Cyber-Angriffen wie beispielsweise Netzwerkunterbrechungen. Während die Datenexfiltration in der Regel einige unmittelbare Auswirkungen auf ein Unternehmen hat, kann der Verlust sensibler Daten durch langfristige Gefahren sogar noch zerstörerischer sein als ein besonders virulenter Ransomware-Vorfall.

Drei Hauptrisiken sind mit Datenverlusten oder Exfiltrationsereignissen verbunden:

• Verlust von sensiblen Daten oder geistigem Eigentum: Dies kann für ein Unternehmen einen Wettbewerbsnachteil bedeuten oder im Fall von sensiblen Kunden- oder Klienten-Daten sogar ein regulatorisches Risiko nach sich ziehen.
• Rufschädigung: Nach einem öffentlich gemachten Vorfall und der sich daraus ergebenden Konsequenzen für die Öffentlichkeitsarbeit.
• Erpressung: Durch Cyber-Kriminelle, die dem Unternehmen damit drohen, Daten zu extrahieren und diese zu veröffentlichen, wenn das Unternehmen nicht den Forderungen der Erpresser nachkommt.

Insgesamt sind die Risiken zwar beträchtlich, aber ihre Quantifizierung und der Zeitraum bis zur Manifestation sind in der Regel nur schwer zu beurteilen. Der Diebstahl von geistigem Eigentum kann Auswirkungen haben, die erst Jahre oder Jahrzehnte nach der Aktion spürbar werden, während potenzielle Reputationsverluste unter keinen Umständen angemessen quantifiziert werden können. Angesichts der Zunahme von Hackerangriffen und insbesondere von Erpressungen durch Ransomware, die ein Datenleck oder eine Datenerpressung beinhalten, wird die Datenexfiltration jedoch schnell zu einem akuteren und unmittelbareren Problem als in den vergangenen Jahren. Daher müssen Netzwerkverteidiger und -betreiber ihre Verteidigungsmaßnahmen so ausrichten, dass solche Aktivitäten erkannt und gegebenenfalls sogar verhindert werden können.

Identifizierung von Exfiltrationsaktivitäten

Man würde erwarten, dass Exfiltrationsaktivitäten relativ leicht zu erkennen sind, da große Datenmengen zu neuen oder unbekannten Quellen verschoben werden. Doch selbst diese Entdeckung erfordert eine Kombination aus Netzwerksichtbarkeit und aktiver Netzwerküberwachung, so dass die meisten Unternehmen entweder keinen Einblick in solche Verhaltensweisen haben, oder solche Aktivitäten so sehr mit legitimen Aktivitäten vermischen, dass sie ein erhebliches „Rauschen“ bei der Erkennung erzeugen.

Darüber hinaus setzen Angreifer verschiedene Techniken ein, um die Sichtbarkeit zu minimieren und sich der Erkennung zu entziehen, entweder durch Verschleierung oder durch Überlagerung mit anderen Aktivitäten. Beispiele hierfür sind:

• Verwendung von legitimen Drittanbieterdiensten wie z. B. Cloud-Backup-Systemen oder webbasiertem Speicher als Ziel für durchgesickerte Daten. Die Beispiele reichen von gängigen Produkten wie Google Drive und Dropbox bis hin zu spezielleren Produkten eines Ökosystems wie bspw. im Zusammenhang mit dem Mega.io-Dienst.
• Datenverkehr über Nicht-HTTP-Dienste tunneln oder alternative Protokolle für große Datenübertragungen verwenden, die möglicherweise nicht mit demselben Maß an Sorgfalt überwacht werden.
• Aufteilung der Daten in kleinere Stücke für die Exfiltration, um zu vermeiden, dass abnormal große Datenströme das Netzwerk verlassen.

Obwohl all diese Faktoren besorgniserregend sind, ist es nicht unmöglich, sie zu erkennen. Vielmehr können Verteidiger eine Kombination aus der Überwachung allgemeiner Traffic-Muster-Anomalien zusammen mit der spezifischen Identifizierung bestimmter Techniken oder Verhaltensweisen einsetzen, um diese Art von Aktivitäten zu erkennen. Selbst in Fällen, in denen Daten verschlüsselt sind oder der Einblick in die Netzwerkaktivitäten eingeschränkt ist, bietet der Zugriff auf Datasets wie den Netzwerk-Flow eine Reihe von Möglichkeiten, verdächtige Vorgänge zu erkennen.

Auf der allgemeinsten Ebene stellt die Identifizierung verdächtiger Netzwerk-Flows eine potenziell leistungsstarke Technik zur Identifizierung von Exfiltrationsaktivitäten dar. Abgesehen von der Suche nach großen Datenströmen, wobei „groß“ wahrscheinlich von den normalen Abläufen und Erwartungen innerhalb des überwachten Netzwerks abhängt, ist die Identifizierung der Richtungsabhängigkeit und des Upload-/Download-Verhältnisses eine notwendige Bereicherung, um die Überwachung von Datenströmen genau nutzen zu können. Ein „großer“ Datenfluss kann zum Beispiel ein Hinweis auf eine lang andauernde, datenintensive Verbindung sein wie Streaming, Fernzugriff oder ähnliche Aktivitäten. Wenn jedoch auch die Richtungsabhängigkeit und das Datenverhältnis betrachtet werden, kann die Identifizierung großer Flows, bei denen der Großteil der Daten (80-90 Prozent) das Netzwerk verlässt, auf eine große Upload-Sitzung hinweisen. Obwohl es sicherlich zulässige Anwendungsfälle für solche Aktivitäten gibt, wie z. B. die gemeinsame Nutzung großer Projektdateien oder Datensätze, können diese Flüsse auch auf Datenverlust oder andere nicht autorisierte Aktivitäten hinweisen.

Obengenanntes wird noch leistungsstärker, wenn es mit einem analytischen Ansatz für Netzwerkverbindungen kombiniert wird. Die Identifizierung nicht nur von anomalen, ausgehenden Datenströmen, sondern auch die Verbindung dieser Datenströme mit einer neuen, zuvor nicht beobachteten oder verdächtigen Netzwerkinfrastruktur ermöglicht leistungsstarke Erkennungsmöglichkeiten. Zum Beispiel kann die Verknüpfung eines verdächtigen ausgehenden Datenflusses mit einer neuen Netzwerkinfrastruktur oder einer Virtual Private Server (VPS)-Instanz verdächtige Aktivitäten identifizieren. Darüber hinaus kann die gleiche Logik auch auf nicht standardmäßige Verbindungen (wie FTP oder andere Protokolle) zu unbekannten oder nicht vertrauenswürdigen Bestimmungsorten angewendet werden, um potenzielle Exfiltrationsaktivitäten zu identifizieren.

Diese Strategien sind zwar effektiv, um zu erkennen, wann ein Exfiltrationsereignis auftritt, aber sie haben den Nachteil, dass solche Ansätze grundsätzlich rückblickend ausgerichtet sind. Mit anderen Worten, diese Elemente identifizieren die Exfiltration, wenn oder kurz nachdem sie tatsächlich stattfindet. Dies kann wertvoll sein, um Unternehmen darauf aufmerksam zu machen, dass etwas nicht stimmt, und so Reaktions- und Schadensbegrenzungsmaßnahmen zu ermöglichen und die Zeit bis zur Entdeckung und die Zeit bis zur Reaktion zu reduzieren. Idealerweise wären Verteidiger und ihre jeweiligen Arbeitgeber jedoch in der Lage, eine Exfiltration überhaupt zu verhindern.

Anwendung der „Whole of Kill Chain“-Verteidigung

Die Verhinderung der Exfiltration erfordert eine „Whole of Cyber Kill Chain“-Sichtweise in Bezug auf die Netzwerküberwachung und -verteidigung. In diesem Szenario suchen Verteidiger nach übergreifenden Eindringpfaden und Abhängigkeiten, um die notwendigen Wegbereiter zu identifizieren (erster Zugriff, laterale Bewegung, Datensammlung und Datenbereitstellung), bevor die Daten das Netzwerk verlassen.

Durch eine kritische Untersuchung dessen, was ein Angreifer benötigt, um erfolgreich zu sein, kann man damit beginnen, allgemeinere Kontrollen sowohl auf dem Host als auch im Netzwerk zu implementieren, um nicht nur Exfiltrationsoperationen, sondern eine Vielzahl von Eindringversuchen abzuwehren. Zumindest kann die Wahrscheinlichkeit, dass ein Bedrohungsakteur Zugriff auf die Umgebung erhält, durch die Identifizierung der wahrscheinlichen Eindringmechanismen des Angreifers und deren genaue Überwachung oder die Implementierung von Kontrollen zur Reduzierung der Angriffsfläche erheblich verringert werden. Zu den relevanten Kontrollen gehören das Patchen von nach außen gerichteten Systemen, die Reduzierung von für den externen Zugriff verfügbaren Services, die Begrenzung der in das Netzwerk eingehenden Trafficarten und das Monitoring sensibler Aktivitäten wie Fernadministration oder -zugriffssitzungen.

Viele Unternehmen konzentrieren sich auf diese Schritte, um das Angriffsrisiko zu reduzieren. Jedoch erfordert eine echte, mehrstufige Verteidigung, dass man über die Netzwerkgrenze hinausgeht, um auch die nachfolgenden Aktionen des Angreifers abzudecken. Angesichts der nahezu unbegrenzten Anzahl möglicher anfänglicher Zugriffsmechanismen, die Angreifern zur Verfügung stehen, sowie der Möglichkeit, Systeme oder Benutzer zu unterwandern, selbst wenn Elemente gepatcht oder anderweitig überwacht werden, muss sich die Verteidigung auf interne Netzwerkverkehrsströme und Host-Items ausdehnen. Verteidiger müssen Techniken für laterale Bewegungen und deren Artefakte sowohl im Netzwerk als auch im Host-Verhalten identifizieren.

Während die zunehmende Einführung von EDR-Produkten (Endpoint Defense and Response) hostzentrierte Beobachtungen abdeckt, sind Investitionen in die Sichtbarkeit und Überwachung des Ost-West-Traffics unerlässlich, um das Eindringen von Angreifern in geschützte Netzwerke zu erfassen. Verteidiger müssen Techniken für laterale Bewegungen und deren Artefakte sowohl im Netzwerk als auch im Host-Verhalten identifizieren. Wenn diese Elemente zusammen implementiert werden, können sie sicherstellen, dass gegnerische Operationen abgedeckt werden, die von opportunistischen kriminellen Akteuren über gezielt vorgehende Hacktivisten bis hin zu staatlich gesponserten Bedrohungen reichen.

Insgesamt müssen Verteidigungskräfte das Verhalten und die Tendenzen des Gegners verstehen, um festzustellen, wie der Gegner vorgeht und welche Techniken für Einbruchsversuche relevant sind. Sobald dies festgestellt wurde, muss eine Kombination aus EDR und Netzwerkverteidigung und -reaktion (NDR) eingesetzt werden, um eine mehrstufige Erkennung und Überwachung zu gewährleisten und potenzielle Lücken in der Sichtbarkeit zu schließen, die Angreifer möglicherweise zu ihrem Vorteil zu nutzen versuchen.

Fazit

Die Exfiltration von Daten wird zunehmend in die Aktionen einer Vielzahl von Bedrohungen einbezogen, von Kriminellen über Aktivitäten von Hacktivisten bis hin zu staatlich gelenkten Eindringlingen. Durch die Anwendung und Überwachung von starken Netzwerkkontrollen können Verteidiger und Asset-Besitzer sicherstellen, dass solche Verhaltensweisen erkannt werden, wenn sie auftreten: Das ermöglicht eine schnellere Reaktion und potenzielle Schadensbegrenzung.

Verteidiger können sich nicht nur auf die Erkennung anomaler ausgehender Datenströme konzentrieren: Stattdessen erfordert eine robuste Verteidigung die Identifizierung von gegnerischen Aktionen in allen Phasen der Angriffe. Sobald dies verstanden ist, können Schutzmaßnahmen im Netzwerk und auf dem Host implementiert werden, um jeden Schritt eines Eindringens abzudecken. Nur durch diesen stabilen, in die Tiefe gehenden Abwehransatz können Verteidiger nicht nur das Bewusstsein für potenzielle böswillige Aktivitäten sicherstellen, sondern auch die Unterbindung oder Unterbrechung eines Eindringens ermöglichen, wenn die Aktionen frühzeitig im Lebenszyklus des Angreifers erkannt werden. Die Verteidigung gegen moderne Cyber-Bedrohungen, von Ransomware-Operationen bis hin zur Datenexfiltration zu verschiedenen Zwecken, ist zwar weder einfach noch kostengünstig, erfordert aber solche Investitionen, um sicherzustellen, dass die Verteidiger mit der sich schnell entwickelnden Bedrohungslandschaft Schritt halten.