Inhalt
Angriffe aufspüren – bevor großer Schaden entsteht
Compromise Assessment kann eine wertvolle Technik sein, um das Maturity Level der IT-Security zu erhöhen.
Die Angriffsversuche auf Unternehmen werden immer ausgeklügelter: Advanced Persistant Threats (APT) setzen keine Standardtools ein, die ein IPS (Intrusion Prevention System) oder IDS (Intrusion Detection System) erkennt, sondern eigene Tools mit unbekannten Signaturen. Ziel dabei: sich in die Infrastruktur des Opfers einzunisten und sich Hintertüren offen zu halten. Dafür werden Konfigurationen in der Registry hinterlegt oder ein Service installiert, der regelmäßig ausgeführt wird.
Traditionelle Schutzmaßnahmen wie das teilautomatisierte Vulnerability Management oder Penetrations-Tests sind in Unternehmen häufig genutzte IT-Sicherheits-Features gegen Cyberangriffe. Sie decken mögliche Angriffsvektoren auf, zeigen, ob diese in der Infrastruktur ausgenutzt werden können und welche Folgen sie haben: Welche Rechte kann ein Eindringling erlangen und wie schwer wiegen die Sicherheitslücken?
Die Ergebnisse basieren beim Vulnerability Management überwiegend auf den Datenbeständen und beim Penetrations-Test auf dem Fachwissen der Tester. Mangelt es in beiden Fällen an der Qualität, können die Ursachen von Angriffen nicht ermittelt werden. Darin liegt die größte Schwäche beider Maßnahmen. Bei Penetrations-Tests liegen weitere Herausforderungen in der festgelegten Scope von Systemen und in den Berechtigungen: Diese bestimmen, wie weit ein Tester gehen darf, ohne zusätzlich Schäden an Systemen zu hinterlassen. Denn Penetrations-Tests sind invasiv und greifen in die Systeme ein – da es zu Ausfällen und Mehrkosten kommen kann, sind sie mit hohen Risiken verbunden. Dennoch stellen sie nur Momentaufnahmen von der Sicherheit des Systems und der Konfiguration zum Testzeitpunkt dar.
Im Vulnerability Management zeigen hochgeladene CVE-Daten auf Basis der Softwarepakete, die im Unternehmen zum Einsatz kommen, ob Schwachstellen vorhanden sind. Oft ist hier auch das Patch-Management aufgehängt: Sicherheitslücken werden mit neuen Software-Versionen geschlossen.
Schwachstellen traditioneller Security-Maßnahmen
Beide Methoden zeigen nicht auf, ob vorhandene Schwachstellen bereits ausgenutzt wurden. Angriffe werden oft nur erkannt, wenn sich die Systeme anders als gewohnt verhalten. Eine Schwachstelle, die von diesen traditionellen Schutzmaßnahmen ebenfalls oft übersehen wird, sind Zero-Day-Lücken: unbekannte Sicherheitslücken, die neu entdeckt wurden und deswegen von einem Angreifer ausgenutzt werden können, um erheblichen Schaden anzurichten. Herkömmliche Maßnahmen erkennen diese Lücken nicht, da sie nur auf bekannte abzielen. Auch einfache Konfigurationsfehler können von den traditionellen Maßnahmen übersehen werden – für einen Angreifer sind sie dagegen offensichtlich. Dabei handelt es sich oft um zu großzügige Berechtigungsvergaben: Im Active Directory von Windows finden sich häufig Accounts und sogar Gruppen mit diversen Berechtigungen und schlechten Passwörtern. Im Ernstfall können diese leicht ausgenutzt und die komplette Infrastruktur kompromittiert werden. Best Practice ist, Usern so wenig Rechte wie möglich einzuräumen, doch gerade in kleineren Unternehmen mit wenig Manpower in der IT ist das nicht immer der Fall. Mitarbeiter ersetzen sich gegenseitig und benötigen dafür umfangreiche Rechte. Die Konfigurationen sind per se so ausgerichtet, dass die Systeme laufen und die tägliche Arbeit verrichtet werden kann. Der Fokus auf die Sicherheit fehlt.
Kommen nur traditionelle oder präventive Maßnahmen zum Einsatz, ist das Maturity-Level der IT-Security-Infrastruktur meist nicht ausreichend, um Angriffe und akute Bedrohungen zu erkennen, zu reagieren und damit fortlaufende Schädigungen jeglicher Art zu vermeiden: Systemausfälle kosten in der Regel viel Geld und müssen auf ein Minimum reduziert werden.
Compromise Assessment für ein besseres Security-Maturity-Level
Traditionelle Maßnahmen können mit sinnvollen Features ergänzt werden: Compromise Assessment zum Beispiel ist speziell darauf ausgelegt, Spuren von Angriffen zu finden, die sogenannten IOCs – Indicators of Compromise. Durch die Analyse und Bewertung dieser Indikatoren können zum einen kompromittierte Systeme erkannt werden und zum anderen die zugrunde liegenden Schwachstellen entdeckt und klare Handlungsempfehlungen zur Behebung der Schwachstellen abgeleitet werden. In Form einer Remediationsphase werden die Ursachen behoben und der gewünschte Soll-Zustand hergestellt, um laufende Angriffe zu beenden und künftige zu verhindern.
Compromise Assessment ist dabei keine präventive Disziplin in der IT-Security, sondern eine bewertende. Sie betrachtet nicht nur einen Teil, sondern die gesamte Infrastruktur und ermöglicht auch einen Blick in die Vergangenheit. Es handelt sich um eine ressourcenschonende und akkurate Methode um Angriffe, welche trotz präventiver Maßnahmen oftmals erfolgreich sind, schnell zu erkennen und etwaigen Schaden zu minimieren. Es hat sich gezeigt, dass mit Compromise Assessment das Sicherheitslevel stark erhöht werden kann: Studien verschiedener Unternehmen und Institute belegen, dass es in der Regel 2-3 Monate dauert, bis ein Angriff überhaupt entdeckt wird. Somit hat ein Angreifer mehrere Monate Zeit sein eigentliches Ziel zu erreichen. Der mögliche Schaden der dabei entsteht wird mit jedem Tag, an welchem der Angreifer unentdeckt bleibt, größer. Mit Compromise Assessment kann die Zeit zur Erkennung eines erfolgreichen Angriffs im besten Fall auf wenige Tage reduziert werden.
Mit forensischen Methoden den Angreifern auf der Spur
Compromise Assessment nutzt forensische Methoden und Tools, um Spuren von Angriffen zu finden: Es kommt in der Regel ein Agent auf dem Endsystem zum Einsatz, der einen Scan startet, überwacht und die Ergebnisse an ein zentrales System übermittelt. Auf dem Endsystem wird mit forensischer Gründlichkeit gezielt nach Angriffsspuren (IOCs – Indicators of Compromise) gesucht: Betrachtet werden zum Beispiel flüchtige und nicht-flüchtige Daten auf einem System, Konfigurationen, Anmeldungen, Nutzerinteraktionen oder Software, die installiert, ausgeführt oder heruntergeladen wurde. Die Indikatoren eines Angriffs beruhen dabei auf forensischen Artefakten, welche ein Angreifer zwangsläufig hinterlässt.
Allein in Windows gibt es rund 200 dieser Artefakte, Hinterlassenschaften von Angreifern wie Tools in typischen Verzeichnissen oder Konfigurationsschlüssel. Es kann sich auch um ungewöhnliche Netzwerkverbindungen zu verdächtigen Servern, IP-Adressen und Ports handeln oder um Logdateien, die während des Betriebes erzeugt werden, also Interaktionen, Anmeldungen und Prozessstarts. Sie alle werden für die Auswertung herangezogen.
Das Scannen nach Angriffsspuren (IOCs – Indicators of Compromise) und die Analyse können auch auf wiederkehrender Basis erfolgen. Dies hat den Vorteil, dass nicht nur eine Momentaufnahme entsteht, sondern fortlaufend nach neuen unbekannten Angriffsspuren gesucht wird und ein Angreifer im Idealfall innerhalb kurzer Zeit sehr zuverlässig entdeckt wird. Die SECUINFRA GmbH bietet beispielweise einen „Continuous Compromise Assessment“ Service an. Hierbei wird ein initialer Scan inklusive Auswertung durchgeführt, um eine erste Einschätzung über die generelle Lage beim Kunden zu erhalten. Dies ist meist recht aufwendig, da gegebenenfalls Millionen forensischer Artefakte untersucht werden müssen. Selbst die Profis von SECUINFRA benötigen mit ihren Tools hierfür mehrere Tage. Im Anschluss daran finden regelmäßig weitere Scans und Auswertungen statt, bei welchen nur noch die Änderungen an den für einen Angreifer verräterischen Artefakten analysiert werden müssen. Dies ist bedeutend einfacher und geht somit auch bedeutend schneller.
Fazit
Compromise Assessment stellt ein wertvolles Instrument dar, dass die Tools der IT-Security sinnvoll erweitern und ihr Maturity-Level erhöhen kann: Mit Compromise Assessment können die Spuren von Cyber Angriffen entdeckt und im Idealfall hoher Schaden verhindert werden.
Mehr über Compromise Assessment