Die Schweiz erlebte in den letzten Wochen und Monaten eine beispiellose Welle von Cyberattacken. Der klassische Protection- Ansatz reicht für die Abwehr längst nicht mehr, wenn trotz zweifellos bestehender Sicherheitsdispositive sogar grosse und namhafte Firmen vermelden müssen, Opfer von Cyberkriminellen geworden zu sein. Häufigster Infektionsvektor ist das Phishing, denn es lockt die Angreifer mit verhältnismässig geringem Aufwand bei zugleich hohen Erfolgsaussichten. Phishing ist nicht neu, aber das Vorgehen wird immer raffinierter und umgeht die meisten Verteidigungsstrategien. Im Vergleich zu früher hantieren die Angreife mittlerweile sogar mit «legalen» Absendern, indem sie E-Mailaccounts im Umfeld ihres Targets kompromittieren. Nicht minder gefährlich sind Exploits auf Schwachstellen über das Internet. Viele Unternehmen setzen noch proprietäre Systeme ein, die ursprünglich nicht für die Anbindung ans Web gedacht waren. Selbst bei nicht zielgerichteten Attacken stossen die Angreifer so früher oder später auf ungepatchte Server, die ein Einfallstor bieten. Angriffe wie diese sind schwer zu enttarnen, denn sie schlagen sich häufig nur in einem unregelmässigen Netzwerktraffic nieder.
Die Schweiz erlebte in den letzten Wochen und Monaten eine beispiellose Welle von Cyberattacken. Der klassische Protection- Ansatz reicht für die Abwehr längst nicht mehr, wenn trotz zweifellos bestehender Sicherheitsdispositive sogar grosse und namhafte Firmen vermelden müssen, Opfer von Cyberkriminellen geworden zu sein. Häufigster Infektionsvektor ist das Phishing, denn es lockt die Angreifer mit verhältnismässig geringem Aufwand bei zugleich hohen Erfolgsaussichten. Phishing ist nicht neu, aber das Vorgehen wird immer raffinierter und umgeht die meisten Verteidigungsstrategien. Im Vergleich zu früher hantieren die Angreife mittlerweile sogar mit «legalen» Absendern, indem sie E-Mailaccounts im Umfeld ihres Targets kompromittieren. Nicht minder gefährlich sind Exploits auf Schwachstellen über das Internet. Viele Unternehmen setzen noch proprietäre Systeme ein, die ursprünglich nicht für die Anbindung ans Web gedacht waren. Selbst bei nicht zielgerichteten Attacken stossen die Angreifer so früher oder später auf ungepatchte Server, die ein Einfallstor bieten. Angriffe wie diese sind schwer zu enttarnen, denn sie schlagen sich häufig nur in einem unregelmässigen Netzwerktraffic nieder.
Das Geld nicht als Ransomware zahlen, sondern in Endpoint Detection & Response investieren
Das Jahr 2021 sah eine weitere Steigerung von Ransomware-Angriffen, insbesondere von solchen, die nicht einmal versuchen, persistent zu sein. In Zeiten von mobiler und Remote-Arbeit nicht verwunderlich, denn im Home-Office werden viele Laptops gar nicht mehr heruntergefahren bzw. neu gebootet, so dass memory-only oder fileless Malware unentdeckt ihren Schaden anrichten kann. Herkömmliche Präventionsmassnahmen wie regelmässige Backups, die vor allem auch offline gehalten werden, Multifaktorauthentifizierung, VPN bei Systemen, die eigentlich gar nicht am Netz sein sollten, oder strikte Rechtekonzepte für Domain-Admins sind eine gute Basis, in der Angriffserkennung und -abwehr allerdings limitiert. Vor allem, wenn die Angriffe als Advanced Persistent Threats (ATP) über längere Zeiträume hinweg über die verschiedensten Endpunkte wie Clients und Server erfolgen. Der neueste Trend in den Sicherheitsdispositiven geht daher vom SIEM zu Endpoint Detection & Response (EDR) über.
Mehr Übersicht – gezieltere und schnellere ReaktionMit Endpoint Detection & Response können zunächst dezentral die Daten gesammelt werden, die den Analysten einen ganzheitlicheren Blick auf das Angriffszenario geben und ihn lokalisieren. Daraus lassen sich Schlussfolgerungen zum Charakter des «Indicator of Compromise (IoC)» treffen, so dass die Responseszenarien entsprechend gezielt erarbeitet werden können. Aus den Protokolldaten können zudem die Systeme und Devices eingegrenzt werden, die durch den Angriff betroffen sind, so dass nicht zwingend das gesamte Netzwerk stillgelegt werden muss. In Remote-Sessions können weitere Daten gesammelt und so mehr Verständnis bei komplexeren Angriffen geschaffen werden. Die erweiterten Analysefähigkeiten und der verbesserte Reviewprozess resp. die Möglichkeit des «Threat Hunting» erlauben es, bisher analysierte Alarme im Kontext neuer Informationen zu reevaluieren und Alarm-Trends nachzuvollziehen. Moderne Endpoint-Lösungen setzen KI- und verhaltensbasierende Analyseverfahren ein, um Angriffe automatisch zu erkennen. Werden verdächtige Prozesse oder Anomalien an den Endpunkten detektiert, wird die Ausführung durch eine Endpoint Protection (EPP) Komponente sofort und automatisiert gestoppt bzw. die passende Reaktionsmassnahme eingeleitet, um eine weitere Ausbreitung zu verhindern.
Im Idealfall läuft das EDR in einem SOC (Security Operations Center) zusammen, das die eingehenden Use Cases priorisiert und die Incident Response überwacht. 100-prozentige Sicherheit gibt es nie, doch modernste Tools und Spezialisten, die entsprechend up-to-date sind, minimieren die Risiken beträchtlich.
Mehr Infos:
https://www.t-systems.com
