Cyberangriffe frühzeitig zu erkennen und damit zeitnah abwehren zu können, bleibt für Unternehmen herausfordernd - denn Sicherheitsereignisse, die auf einen Cyberangriff oder eine Kompromittierung hindeuten, heben sich häufig nicht von der Masse ab. Der Schlüssel zum frühzeitigen Erkennen komplexer Bedrohungen liegt darin, Anzeichen für Angriffe aus möglichst vielen Teilen der Angriffskette zu erkennen.

Layered Analytics: Dieser Cybersecurity Ansatz bereitet Hackern Kopfzerbrechen

Nach einer Studie von Verizon aus dem Jahre 2021* sind etwa zwei Drittel aller Cyberangriffe auf Unternehmen entweder auf Hacking oder auf Social Engineering zurückzuführen. Social Engineering – die Manipulation von Mitarbeitern mit dem Ziel, bewusst oder unbewusst Malware in ein Unternehmen einzuschleusen – wird immer populärer.

Cyberangriffe frühzeitig zu erkennen und damit zeitnah abwehren zu können, bleibt für Unternehmen herausfordernd – denn Sicherheitsereignisse, die auf einen Cyberangriff oder eine Kompromittierung hindeuten, heben sich häufig nicht von der Masse ab. Die Suche nach Anzeichen für einen stattgefundenen oder laufenden Angriff kann sehr subtil sein: Eine Handvoll fehlgeschlagener Anmeldeversuche, der Zugriff auf eine Anwendung von einer unbekannten Internetadresse, Versuche, eine Verbindung zu eingeschränkten Unternehmensressourcen herzustellen oder die erstmalige Verwendung von Tools oder Prozessen. Künstliche Intelligenz und maschinelles Lernen können zwar helfen, indem sie anormale Aktivitäten aufzeigen, aber eine solche Automatisierung „weiß nicht“, ob das anormale Verhalten gut oder schlecht ist – es fehlt der situative Kontext.

Mit welchem Ansatz aber können Unternehmen das elementare Ziel, Cyberangriffe auf ihr Netzwerk zeitnah zu erkennen und umgehend abzuwehren, erreichen?

Exkurs: Warum die Reaktionszeit bestenfalls bei 0 liegen sollte

Wenn ein Cyberangriff auf ein Unternehmen startet, ist die Zeitspanne zwischen Angriffserkennung und Angriffsabwehr besonders kritisch. Ist die Zeitspanne groß genug, kann ein Angreifer massiven Schaden verursachen, Daten entwenden, verschlüsseln, Systeme zerstören oder gar die Admin-Hoheit über das gesamte Netzwerk erlangen.

Ein Unternehmen ist umso besser gesichert, je näher die Zeitpunkte der Detektion und Reaktion bei Null liegen, siehe Abbildung.

Realtime-Event-Correlation, idealerweise in Verbindung mit einer Verhaltensanalyse, ermöglichen eine sehr frühzeitige, wenn nicht sogar unmittelbare, Erkennung von Cyberangriffen.

Das unmittelbare Erkennen eines Cyberangriffs ist jedoch nur ein relevanter Aspekt – eine schnellstmögliche Reaktion darauf der andere. Diese ist vor allem dann nicht gesichert, wenn Angriffe außerhalb der normalen Arbeitszeiten erfolgen oder wenn das Security Team von Alarmen, ggf. Fehlalarmen, überflutet ist.

Neben der drastischen Reduzierung von Fehlalarmen durch eine leistungsfähige Analyse spielt die Automatisierung der nachgelagerten Prozesse, insbesondere der Abwehrprozesse, eine kritische Rolle.

Wie erkenne ich frühzeitig Cyberangriffe?

Die wichtigsten Methoden, um Cyberangriffe zeitnah zu erkennen, sind Real-Time-Correlation von Events und die Analyse von Verhaltensauffälligkeiten.

Real-Time-Correlation analysiert in Echtzeit eingehende Event Logdaten der Systeme auf bestimmte Verhaltensmuster von bekannten Angriffstaktiken. Diese können entweder aus bekannten Threat-Analysis Frameworks (z.B. MITRE ATTACK) abgeleitet sein (siehe auch MITRE ATTACK TechTalk Beitrag), auf der Erfahrung des Unternehmens beruhen oder durch einen Austausch in der Community erlangt werden – oder auch einer Kombination aus allem. Real-Time Correlation kann sehr performant sein – allerdings erkennt Real-Time Correlation auch nur die Angriffsmethoden und -Taktiken, die grundsätzlich schon bekannt sind.

Die Analyse von Verhaltensauffälligkeiten beobachtet das Verhalten jedes einzelnen Nutzers innerhalb der Systemlandschaft, um dann Abweichungen zu erkennen und auf ihr Risikopotential zu bewerten. Man spricht hierbei von UEBA – User and Entity Behavior Analytics. Ein Alarm wird ausgelöst, wenn ein bestimmter Schwellenwert in der Risikobewertung überschritten wird. Hier finden künstliche Intelligenz und Machine Learning ihre Anwendung.

Nur eine Kombination aller drei Ansätze ist die Grundlage für eine wirksame Cybersecurity. Wir sprechen nachfolgend vom Layered Analytics Ansatz.

Warum brauche ich einen Layered Analytics Ansatz?

Layered Analytics – die Kombination von Korrelation, Verhaltensanalyse und Threat Hunting – hilft Unternehmen, die Auswirkungen eines Cyberangriffs zu minimieren. Wachsame Unternehmen, die über die richtigen Tools verfügen, erkennen, dass es sich bei den heutigen Bedrohungen nicht um einzelne bösartige Vorfälle handelt, die aus dem Nichts auftauchen, sondern um eine Reihe von Aktionen, die bei jedem Schritt der Angriffskette erkannt werden können. Verschiedene Technologien und Techniken eignen sich besser für die Analyse von z. B. Protokollereignissen, Benutzeraktionen und anormalem Datenverkehr.

Beispielsweise führt der Layered Analytics Ansatz von ArcSight diese verschiedenen Analysetypen zusammen und kombiniert Signale, die von potenziellen Bedrohungen erzeugt werden.

Layered Analytics maximiert damit die Fähigkeit eines Unternehmens, einen Angriff zu erkennen und darauf zu reagieren, indem es die Anzeichen eines Angriffs während der gesamten Angriffskette erfasst:

  1. Die Real-Time-Correlation führt Sicherheitsereignisse, Bedrohungsdaten und Protokolldaten zusammen, um Bedrohungen besser zu erkennen und Fehlalarme zu minimieren.
  2. Die Funktionen für Verhaltensanalysen und maschinelles Lernen erkennen Benutzer- und Geräteverhalten, das von der erwarteten normalen Aktivität abweicht.
  3. Die Big-Data-Analyse- und Suchfunktionen unterstützen umfangreiche Bedrohungssuche und Incident-Response-Aktivitäten.

Durch die Kombination der Ansätze und ihrem Zusammenspiel erhalten Unternehmen schnellere, umsetzbare Erkenntnisse mit Kontext und werden bei der zentralen Herausforderung unterstützt, die Zeit zu minimieren, in der sie einem erfolgreichen Cyberangriff ausgesetzt sind. Nur durch umgehende und angemessene Reaktion lassen sich hohe finanzielle Verluste und Reputationsschäden verhindern.

fazitanfang

Fazit

Der Schlüssel zum frühzeitigen Erkennen komplexer Bedrohungen liegt darin, Anzeichen für Angriffe aus möglichst vielen Teilen der Angriffskette zu erkennen. Da man sich nicht auf eine einzige Informationsquelle verlassen kann, hilft der Layered Analytics Ansatz Unternehmen dabei, die subtilen Anzeichen eines Angriffs zu einer einzigen, kontextbasierten Entscheidung korrelieren, da er den gesamten Lebenszyklus von Bedrohungsdaten einbezieht.

Die Echtzeit-Korrelation ermöglicht es Unternehmen, bekannte Bedrohungsdetails zu nutzen, um die Bedrohungserkennung zu automatisieren. Die Analyse des Benutzer- und Entitätsverhaltens (UEBA) kann feststellen, welche Aktivitäten in Ihrem Unternehmen normal sind und was als Anomalie betrachtet werden sollte. Die Bedrohungsjagd (Threat Hunting) gibt IT-Sicherheitsteams die Werkzeuge an die Hand, um anhand aktueller Indikatoren für eine Gefährdung die entsprechenden historischen Daten in die Analyse miteinzubeziehen.

Layered Analytics unterstützt den gesamten Lebenszyklus von Bedrohungsdaten. In einer Welt sich schnell verändernden Bedrohungslandschaft dient der Layered Analytics Ansatz als Multiplikator für Ihr SOC-Team, so dass es sich auf das konzentrieren kann, was wirklich wichtig ist: Die Erhöhung der Cyber-Resilienz Ihres Unternehmens.

Sie wünschen eine Beratung zum Layered Analytics Ansatz? Kontaktieren Sie uns gerne via E-Mail oder telefonisch unter: +49 30 5557021 11 – wir beraten Sie gerne! 

fazitende

Felix Gutjahr · Autor

Cyber Defense Consultant

Seit Mai 2020 gehört Felix zum Team von SECUINFRA und hat bereits nach kurzer Zeit die Betreuung mehrerer unserer Kunden im Bereich ArcSight übernommen. Er unterstützt dort beim Betrieb und Ausbau der SIEM-Umgebung, sowie bei der Use-Case Entwicklung.

Felix hat mit seiner Ausbildung zum Fachinformatiker für Systemintegration den Grundstein für seine Karriere in der Informatik gelegt. Er durchlief dort unterschiedlichste Themengebiete und konnte in mehreren Projekten wertvolle, praktische Erfahrungen sammeln, insbesondere auch in der Kundenberatung. Während dieser Zeit entdeckte er seine Leidenschaft für IT-Security und entschied sich, seine Karriere in diesem Bereich fortzusetzen. Seit Mai 2020 gehört Felix zum Team von SECUINFRA und hat bereits nach kurzer Zeit die Betreuung mehrerer unserer Kunden im Bereich ArcSight übernommen. Er unterstützt dort beim Betrieb und Ausbau der SIEM-Umgebung, sowie bei der Use-Case Entwicklung. Durch seinen engen Kontakt zum Hersteller Micro Focus hat Felix die Rolle des ArcSight Product Leads innerhalb unseres Unternehmens übernommen.

Cyber Defense Consultant

Since May 2020, Felix has been part of the SECUINFRA team and has already taken over the support of several of our customers in the ArcSight area after a short time. There, he supports the operation and expansion of the SIEM environment, as well as the use case development.

Felix laid the foundation for his career in information technology with his training as an IT specialist for system integration. There, he went through a wide variety of topics and was able to gain valuable, practical experience in several projects, especially in customer consulting. During this time, he discovered his passion for IT security and decided to continue his career in this field. Since May 2020, Felix has been part of the SECUINFRA team and has already taken over the support of several of our customers in the ArcSight area after a short time. There, he supports the operation and expansion of the SIEM environment, as well as the use case development. Through his close contact to the manufacturer Micro Focus, Felix has taken on the role of ArcSight Product Lead within our company.

Marcel Röhrl · Autor

Portfolio Sales Specialist - NextGen Security Operations

Spezialist für das Security Operations Portfolio von Micro Focus Cyberres. Seit über 20 Jahren in der IT unterwegs, mit Stationen in Big Data Analytics, Projektmanagement und Cybersecurity.

Spezialist für das Security Operations Portfolio von Micro Focus Cyberres. Seit über 20 Jahren in der IT unterwegs, mit Stationen in Big Data Analytics, Projektmanagement und Cybersecurity.

Portfolio Sales Specialist - NextGen Security Operations

Specialist in the Security Operations portfolio of Micro Focus Cyberres. Has been in IT for over 20 years, with stints in Big Data Analytics, Project Management and Cybersecurity.

Specialist in the Security Operations portfolio of Micro Focus Cyberres. Has been in IT for over 20 years, with stints in Big Data Analytics, Project Management and Cybersecurity.
Beitrag teilen auf: