Vectra AI auf der RSA-Konferenz 2024
Buchen Sie eine 15-minütige Demo

Sich in die Gedanken eines Angreifers hineinversetzen

Mai 13, 2021
Henrik Davidsson
Direktorin für globale Partnerstrategie, Programme und Enablement, Vectra
Sich in die Gedanken eines Angreifers hineinversetzen

Cyberangriffe sorgen weltweit für Schlagzeilen, und der Lärm, den diese Angriffe verursachen, scheint kein Ende zu nehmen. Schlimmer als der Lärm ist natürlich der Schaden, den diese Angriffe bei den betroffenen Unternehmen verursachen, die offensichtlich einige ihrer Verhaltensweisen und Strategien ändern müssen, um die Lücke zu schließen.

Vor diesem Hintergrund und um besser zu verstehen, wie ein Unternehmen das Risiko einer Sicherheitsverletzung erhöht, habe ich einige Überlegungen angestellt:

  • Konzentrieren Sie sich darauf, Ihre komplexen Umgebungen mit neuen Arten von Endpunkten und cloud Verbindungen zu erweitern. Wo fängt Ihr Netzwerk an? Wo endet es? Wer kann sich mit ihm verbinden? Bringen Sie Ihr eigenes Gerät mit (BYOD)? Vielfalt der Geräte. COVID-19. Es gibt zahlreiche Einstiegspunkte sowie cloud und SaaS-Dienste, über die Daten ausgetauscht werden.
  • Anspruchsvollere Hacker, die durch finanzielle Anreize von organisierten Verbrechersyndikaten angetrieben werden, politisch motivierter Hacktivismus, staatlich geförderter Diebstahl geistigen Eigentums. Wie schützt man sich gegen staatlich gesponserte Angreifer, die über unbegrenzte Zeit und Ressourcen verfügen? Sie werden eindringen!
  • Hochqualifizierte Angriffe mit geringer Intensität sind bekanntermaßen schwer zu erkennen. Durch unterschiedliche Verschleierung des Malware-Transportmechanismus und der Angriffsquelle ist es schwierig, ein vollständiges Bild zu erhalten. Haben Sie einen ganzheitlichen Überblick über Ihre Sicherheitslage?
  • Der Versuch, Malware im Nachhinein zu entschlüsseln und neue Angriffsmuster zu lernen, ist reaktiv. Selbst Sandbox- und Log-Analysen erfordern ein bekanntes Muster und Anweisungen, wonach zu suchen ist. Wir haben bahnbrechende neue Arten von Angriffen wie SolarWinds/SUNBURST, Hafnium, Sodinikibi, Stuxnet mit einem völlig neuen Ansatz gesehen, der On-Prem-, cloud - und SaaS-Umgebungen umfasst.
  • Schlecht geschriebener/anfälliger Code, nicht offengelegte Hintertüren und gestohlene/geknackte Signierzertifikate. Root-Zertifikate wurden gestohlen und verwendet, um Malware als legitime Pakete zu signieren. Sogar Windows Update ist beschädigt worden.

Sich in die Gedanken eines Angreifers hineinversetzen

Stellen Sie sich folgendes Szenario vor: Ein Angreifer landet auf einer beliebigen endpoint in Ihrer Organisation. Was ist sein erstes Ziel? Zunächst müssen sie herausfinden, wo sie sich in der Organisation befinden, und dann die endpoint nach zwischengespeicherten Informationen durchsuchen. Dazu könnten gehören:

  • Anmeldeinformationen werden vorübergehend im Speicher und im Browser gespeichert
  • Verbundene Dateifreigaben
  • Verbundene Domänencontroller
  • Browserverlauf zu SharePoint-Ressourcen (der gespeicherte Anmeldeinformationen enthalten kann)
  • Schwachstellen, die ausgenutzt werden müssen, um lokaler Administrator zu werden

Bevor sie ihren nächsten Schritt machen, müssen sie natürlich vermeiden, dass Antivirenprogramme ausgelöst werden oder sie irgendwelche Spuren hinterlassen.

Tarnung ist das A und O, aber wohin jetzt?

Sie müssen mehrere Möglichkeiten finden, innerhalb des Unternehmensnetzwerks zu bleiben, um sich seitlich bewegen zu können. Es ist auch erwähnenswert, dass ein Angriff auf Netzwerk- und hybride cloud Infrastrukturen sehr effektiv sein kann, um hartnäckig zu bleiben. Sobald dies festgestellt wurde, ist das Spiel eröffnet! Sie werden in der Lage sein:  

  • Sammeln von Berechtigungsnachweisen - insbesondere von administrativen Berechtigungsnachweisen
  • Versuchen Sie, eine Verbindung zu Diensten herzustellen, die der Benutzer nutzt
  • Vermeiden Sie Scans, insbesondere zwischen Segmenten mit Firewalls
  • Erreichbare anfällige Dienste finden und ausnutzen
  • Gestohlene Zugangsdaten verwenden, um sich mit regulären IT-Tools zu bewegen - z. B. Remote Desktop, SSH, PowerShell usw. Brute-Force-Anmeldeinformationen offline und online wie Azure AD usw.

Nun, Aufklärung durch Beobachten und Lernen, aber was sind die Hauptziele des Angreifers?  

  1. Sie erhalten privilegierten Zugang zur Infrastruktur, zum lokalen Netzwerk, zu cloud und zu SaaS. Dies könnte die Möglichkeit bieten, Phishing- oder Social-Engineering-Betrügereien zu starten und sogar Zugang zu anderen Mitarbeitern oder Partnern zu erhalten.
  2. Ausdehnung auf die gesamte Infrastruktur, was die Verbreitung von Malware, die Erlangung eines erweiterten Zugangs und die weitere Kontrolle über die kompromittierten Konten bedeuten könnte.
  3. Sie führen das Ziel aus und stehlen oder zerstören wichtige Vermögenswerte. Neben dem Aufspüren wichtiger Vermögenswerte arbeiten sie daran, Daten zu sammeln, geistiges Eigentum zu stehlen, Gelder zu transferieren oder sogar die Geschäftskontinuität zu stören, indem sie DDoS- oder Ransomware-Angriffe starten. Und bevor sie sich aus dem Netzwerk tunneln, schürfen sie vielleicht sogar Bitcoin, wenn sich die Gelegenheit bietet.

Ich weiß, das ist eine Menge Schaden im letzten Schritt. Aber die gute Nachricht ist, dass wir, wenn wir einen Angreifer vor diesem Punkt erkennen und stoppen können, eine wirklich gute Chance haben, dass kein tatsächlicher Schaden entsteht.  

Was aber, wenn der Angreifer unentdeckt bleibt oder sein Ziel bereits erreicht hat?

Nun, sie können ihre Beweise, Backups, Protokolle und bösartigen Dateien löschen. Denken Sie daran, dass Ransomware effektiv ist, um die Aufmerksamkeit abzulenken und Beweise zu verschlüsseln. Und nicht nur das: Der künftige Zugang kann auch im Dark Web verkauft werden.

Wie wir alle in den Schlagzeilen gesehen haben, ist es oft "zu wenig zu spät", und alles, was bleibt, sind eine Menge Fragen.

  • Was war der Einstiegspunkt?
  • Waren sie darauf aus, zu stehlen, zu sabotieren oder zu erpressen?
  • Wer greift mich an, über welche Mittel verfügt er und was treibt ihn an?
  • Kann ich meine Schutzmaßnahmen, Erkennungen, Routinen oder das Bewusstsein der Benutzer verbessern, um dies zu vermeiden?

Was brauchen Sie also?

Die Sicherheitsabteilung muss mit dem Aufbau des Security Operations Center (SOC) der nächsten Generation beginnen, oder SOC v2.0, wenn Sie so wollen. Der Grundgedanke hinter dem SOC v2.0-Konzept ist, dass die derzeitigen Maßnahmen und die Art und Weise, wie SecOps mit einem ständigen Wechsel von Schlüsselressourcen, einer Informationsflut und isolierten Technologie-Tools aufgebaut ist, ein Sicherheitsrisiko darstellen, selbst wenn einige der Tools angemessen sind.

Der Aufbau eines SOC v2.0 bedeutet einen Ansatz, der erschwinglicher ist, weniger von einer großen Anzahl von Personen abhängt, Angriffe schneller erkennt, Automatisierung und neue Analysetechniken einführt und für den Kampf gegen noch nie dagewesene Angriffe bereit ist. Bleiben Sie dran für einen zukünftigen Beitrag, in dem wir näher auf das SOC v2.0 eingehen werden.

Wenn Sie mehr darüber erfahren möchten, wie Sie Ihrem Unternehmen helfen können, kostspielige Sicherheitsverletzungen zu vermeiden, nutzen Sie unsere Ressourcen zum Schutz vor Ransomware, sehen Sie, wie Vectra Ihre SOC-Transparenz erhöhen kann, oder kontaktieren Sie uns, um eine Demo zu vereinbaren.