Vectra AI auf der RSA-Konferenz 2024
Buchen Sie eine 15-minütige Demo

Cyberangriffe aufspüren, bevor sie erfolgreich sind

November 18, 2022
Stijn Rommens
Direktor Sicherheitstechnik, Vectra AI
Cyberangriffe aufspüren, bevor sie erfolgreich sind

Erfolgreiche Cyberangriffe sind weiter auf dem Vormarsch

Bei der Lektüre des Berichts von Verizon über die Untersuchung von Datenpannen im Jahr 2022 wird deutlich - und leider auch traurig -, dass 2021 erneut ein Jahr mit zahlreichen erfolgreichen Cyberangriffen war:

  • Wir sahen Sicherheitsverletzungen, die Zero-Day-Schwachstellen und kritische CVEs ausnutzten, einige davon in MS Exchange (Hafnium) und mit Log4J.
  • Im Jahr nach SolarWinds gab es wieder einige Angriffe auf die Lieferkette, wie z. B. Kaseya.
  • Sehr oft wurden viele Verstöße jedoch immer noch durch einfache Fehler und Fehlkonfigurationen verursacht.

Das Ergebnis oder "Endspiel" solcher Sicherheitsverletzungen - sehr oft in Verbindung mit einer fortgeschrittenen anhaltenden Bedrohung (Advanced Persistent Threat, APT) oder, wie wir heute sagen sollten, "hochgradig ausweichenden" APT - ist der Diebstahl von Daten oder das Einschleusen von Ransomware. Häufig wird sogar beides parallel eingesetzt, die sogenannte "doppelte Erpressung".

Ein genauerer Blick auf die Rubrik Ransomware zeigt, dass Verizon einen Anstieg von 13 % im Vergleich zum Vorjahr beobachtet hat, wodurch Ransomware für 25 % aller Cybersecurity-Vorfälle verantwortlich ist.

Was den Modus Operandi einer APT betrifft, so stellt sich heraus, dass ein solcher Angriff meist, wenn nicht sogar immer, in mehreren Phasen abläuft. Dies wirft die Frage auf, warum man sich immer noch so sehr auf das Ergebnis eines Angriffs, nämlich Ransomware, konzentriert, anstatt die Ähnlichkeiten zu erörtern, die beim Erreichen dieses "Endspiels" zu beobachten sind.

Hinzu kommt, dass alle Unternehmen, in die eingebrochen wird, bereits einen Mix aus Sicherheitslösungen einsetzen, der vom Netzwerk bis zu endpoint reicht und Signaturen sowie den "neuen Goldstandard" KI/ML nutzt.

Das Problem der präventiven Cybersecurity-Strategien

Warum passiert das immer noch und immer wieder? Warum können wir solche Angriffe nicht früher erkennen und verhindern, bevor sie erfolgreich sind?

Konzentrieren wir uns auf einige Zahlen aus der Forschung, um etwas Kontext zu schaffen. Betrachten wir zum Beispiel die Anzahl der gemeinsamen Schwachstellen und Gefährdungen (CVEs), mit denen wir umgehen müssen:

  • Im vergangenen Jahr wurden mehr als 20.000 neue Sicherheitslücken (CVEs) aufgedeckt, etwa 10 % mehr als im Jahr zuvor.
    Nach Angaben von Tanium war die älteste entdeckte Schwachstelle 21 Jahre alt und tauchte in SNMPv2 auf, das immer noch häufig zur Verwaltung von Geräten in einem IP-Netzwerk verwendet wird.
  • Mehr als 10 % dieser CVEs sind als "kritisch" eingestuft. Das sind mehr als 2000! Oder über 165 pro Monat. Selbst wenn nicht alle davon auf Ihre Umgebung zutreffen, müssen Sie sich dennoch mit vielen von ihnen befassen.
  • Im ersten Quartal 2022 enthält die National Vulnerability Database (NVD), die CVEs beobachtet, bereits über 8.000 CVEs (25 % mehr als im gleichen Zeitraum des Vorjahres).

Die obigen Statistiken sind beeindruckend, da sie die unmögliche Aufgabe aufzeigen, alle diese Schwachstellen in der jeweiligen Umgebung zu erforschen, zu erkennen und zu flicken. Das ist einfach nicht möglich wegen der Menge, aber auch wegen des Risikos, kritische Systeme lange genug offline zu nehmen, um sie zu patchen. Ganz zu schweigen von Systemen, die man überhaupt nicht patchen kann, weil man sich nicht traut, sie anzufassen ...

Das Problem der Präventiv- und Abhilfestrategien wird noch deutlicher, wenn man sich die Angriffe ansieht, die unter Ausnutzung dieser CVEs tatsächlich stattgefunden haben:

  • 75% der Angriffe im Jahr 2020 nutzten über 2 Jahre alte Schwachstellen, berichtet Check Point in seinem Cyber Security Report 2021.
    18% waren sogar mindestens 7 Jahre alt ...
  • Die meisten dieser kritischen CVEs wurden bereits als Waffe eingesetzt/ausgenutzt, lange bevor das CVE veröffentlicht und den Bedrohungsjägern zur Verfügung gestellt wurde.
    Laut Palo Alto Networks wurden etwa 80 % der öffentlichen Exploits veröffentlicht, bevor das CVE bekannt wurde.
    Es dauerte durchschnittlich 23 Tage, bis das CVE veröffentlicht wurde.
  • Schließlich liegt die MTTR (Mean Time To Remediation) laut Edgescan immer noch bei 58 Tagen.
    Und vergessen Sie nicht, den Durchschnitt von 23 Tagen vor der Veröffentlichung des CVE hinzuzufügen.

Ein nüchterner Blick auf diese Daten zeigt, so wage ich zu behaupten, dass signaturbasierte Ansätze, entweder zur Verhinderung von Bedrohungen oder zu deren (nachträglicher) Erkennung, einfach nicht ausreichen, um Ihr Anwesen vor Cyberangriffen zu schützen.

Es liegt auf der Hand, dass viele anfängliche Sicherheitsverstöße von den gängigen Präventivmaßnahmen nicht erkannt werden können - entweder, weil sie nicht bekannt sind oder weil sie die vorhandenen Präventivmaßnahmen umgehen können.

Darüber hinaus haben jüngste Untersuchungen des Berliner Unternehmens SRLabs ergeben, dass die Umgehung von EDR ein echtes Problem ist und nun rationalisiert werden kann. Sie weisen darauf hin, dass es sich nicht mehr um ein "Handwerk" handelt. Ihre Schlussfolgerung ist ziemlich verblüffend und sollte als Weckruf verstanden werden: "Insgesamt erhöhen EDRs den Aufwand für Hacker um etwa 12 % oder 1 Woche, wenn ein großes Unternehmen kompromittiert wird, basierend auf der typischen Ausführungszeit einer Red-Team-Übung."

Mit anderen Worten: EDR ist nicht der Heilige Gral: Es ist nicht mehr als eine erforderliche Komponente einer mehrschichtigen Sicherheitsstrategie.

Wir sollten unsere bewährten Praktiken im Bereich der Cybersicherheit überarbeiten

Um das Problem zu entschärfen, müssen wir unsere bewährten Verfahren für die Cybersicherheit überarbeiten:

  • Zero-Trust-Konzepte reichen nicht aus, auch wegen der Komplexität, die mit ihrer vollständigen Umsetzung verbunden ist.
  • Mehrschichtige Sicherheit ist ein Muss.
  • Präventive Maßnahmen allein sind ebenfalls unzureichend: Es wird immer mindestens einen Irrgarten im Netz geben.
  • Man muss in eine nicht-invasive Netzwerkerkennungsfähigkeit investieren, kombiniert mit einer umfassenden Orchestrierungspraxis, um zu reagieren.

Es ist ein Muss für jedes Unternehmen, das sich um die Kontinuität seines Geschäftsbetriebs sorgt, sich mit effektiver Datenwissenschaft als Instrument zur Skalierung seiner Cybersicherheitsverfahren und zur Gewährleistung ihrer Wirksamkeit zu befassen.

Die Datenwissenschaft kann jedoch nicht ohne Weiteres ein Übermaß an Bedrohungsindikatoren verarbeiten. Die wirtschaftliche Umsetzung besteht darin, die Datenwissenschaft zu nutzen, um sich von einer geringen Anzahl von Indikatoren zu einem wirklichen Wert hochzuarbeiten, indem nur eine begrenzte Anzahl von äußerst wertvollen und vertrauenswürdigen Sicherheitsvorfällen aufgedeckt wird.

Nur so lassen sich bedeutsame Vorfälle finden, bevor sie zu einer Sicherheitsverletzung werden. Es ist eigentlich ganz einfach.

Jeder kennt die Herausforderung, eine Nadel in einem Heuhaufen zu finden. Der Weg durch das Heu ist der begrenzende Faktor, auch wenn die Datenwissenschaft Ihnen helfen kann, mehr Heu zu verarbeiten. Aber wäre es nicht besser, gar nicht erst einen Heuhaufen zu produzieren, den man bearbeiten muss, damit man die Nadel vor sich liegen sieht?

Datenwissenschaft zu nutzen bedeutet, sich nicht auf Bausteine zu konzentrieren, wie etwa das Auffinden einer Zero-Day-Schwachstelle oder eines Exploits, der eine solche nutzt. Sie sind zu zahlreich und unendlich. Die bessere Wahl ist, das Potenzial der Datenwissenschaft zu nutzen, um zu verstehen und zu sehen, was ein Angreifer tun könnte, sobald er eine dieser Schwachstellen auf ein System anwendet. Mit anderen Worten, nutzen Sie sie, um TTPs zu identifizieren, und wenden Sie sie in Verbindung mit einem guten Rahmenwerk an, wie dem von MITRE.

Die verfügbaren Aktionen oder Taktiken nach dem Zero-Day sind nicht zahlreich, aber sehr beständig.

Wie Hänsel, der sich bemühte, mit Hilfe von Pflastersteinen eine Spur für sich und Gretel nach Hause zu legen, legt auch ein Angreifer eine Spur in Ihrem Netzwerk an. Vectra kann dabei helfen, diese Spur zu identifizieren und die Pflastersteine in Brotkrumen zu verwandeln, so dass der Angreifer verloren geht und identifiziert werden kann.

Schlussfolgerung

Versuchen Sie nicht, das Endspiel des Angreifers zu verhindern, sondern konzentrieren Sie sich darauf, den entstehenden Pfad aufzuspüren und zu blockieren, bevor es überhaupt zu einem Endspiel kommen kann.

Quellen:

https://www.verizon.com/business/resources/reports/dbir/

https://www.comparitech.com/blog/information-security/cybersecurity-vulnerability-statistics/ ‍

https://arstechnica.com/information-technology/2022/08/newfangled-edr-malware-detection-generates-billions-but-is-easy-to-bypass/