Wozu braucht mein Unternehmen ein Compromise Assessment?
von Svenja Koch
Wozu braucht mein Unternehmen ein Compromise Assessment?
Cyberangriffe werden, soviel steht fest, immer ausgefeilter. Cyberkriminelle setzen im Rahmen von Advanced Persistent Threats auf hoch entwickelte Tools, die weder durch Intrusion Prevention Systems oder durch Intrusion Detection Systems erkannt werden können. Klassische Abwehrmaßnahmen der IT Security wie Vulnerability Management oder ein Penetrationstest allein reichen als Antwort auf Cyberbedrohungen nicht mehr aus. Die traditionellen IT-Sicherheitsmaßnahmen wie Antivirus, Endpoint Protection, Firewalling und IDS/IPS stellen für Angreifer häufig lediglich nur ein Ärgernis, jedoch kein tatsächliches Hindernis dar.
Wenn sich Cyberkriminelle in die IT-Infrastruktur ihrer Opfer einnisten und dort unbemerkt Daten abgreifen, kann der Schaden für das betroffene Unternehmen immens sein. Denn den Cyberkriminellen geht es längst nicht mehr nur um das schnelle Geld – vielmehr stehen Spionageaktivitäten oder das Abzapfen sensibelster Daten im Mittelpunkt. Bei den neuen Gefahren durch immer ausgeklügeltere Advanced Persistent Threats muss die IT Security daher auf ganzheitliche Ansätze in der Cyberabwehr setzen. Compromise Assessment ist einer dieser Ansätze. Erfahren Sie hier, was Compromise Assessment bedeutet und warum auch Ihr Unternehmen auf das optimierte Zusammenspiel von Tools und Knowhow setzen sollte.
Was ist Compromise Assessment?
Compromise Assessment ist ein Ansatz, der speziell darauf ausgelegt ist, Spuren von Hackerangriffen aufzudecken. Die sogenannten Indicators of Compromise (IOC) werden bei Cyberangriffen zwangsläufig hinterlassen – und ein Compromise Assessment findet diese Spuren. Durch die Analyse und Bewertung der IOCs lassen sich von Angriffen betroffene Systeme zum einen erkennen und zum anderen die für den Angriff genutzten IT-Schwachstellen aufdecken. Somit können zielführende Handlungsempfehlungen zur Beseitigung der Schwachstellen gegeben werden. Während einer Remediationsphase* werden die Schwachstellen beseitigt, um eventuell noch laufende Angriffe zuverlässig zu beenden – und gleichzeitig zukünftige Angriffe zu unterbinden.
Auch wenn man meinen könnte, dass Compromise Assessment eine präventive Disziplin in der IT Security darstellt, handelt es sich vielmehr um ein bewertendes Vorgehen. Compromise Assessment betrachtet IT-Infrastrukturen immer ganzheitlich und erlaubt darüber hinaus auch Blicke in die Vergangenheit. Gleichzeitig ist die Methode überaus akkurat, wenn es um das schnelle Erkennen von Cyberangriffen und Schadensminimierung geht.
* Remediation (Fehlerbehebung) sorgt für eine vorbeugende Korrektur von Schwachstellen, etwa bei Software-Patches oder Fehlkonfigurationen.
So funktioniert Compromise Assessment
Die Methode verwendet forensische Tools und Ansätze, um Spuren von Cyberangriffen aufzudecken. Hierzu wird meist ein Agent auf dem Endsystem installiert. Der Agent führt einen Scan aus, überwacht den Prozess und sendet die Ergebnisse an ein zentrales System. Der Agent geht dabei besonders gründlich und nach forensischen Richtlinien vor, um gezielt Indicators of Compromise, also Spuren von Angriffen, aufzudecken. Untersucht werden beispielsweise Konfigurationen im System, installierte und ausgeführte Software, Benutzerinteraktionen oder flüchtige und nicht-flüchtige Daten des Systems. Anzeichen für einen Angriff beruhen dabei immer auf forensischen Artefakten, die ein Cyberkrimineller grundsätzlich hinterlässt. Diese Artefakte können beispielsweise ungewöhnliche Netzwerkverbindungen zu verdächtigen IP-Adressen sein oder Tools in typischen Verzeichnissen. Auch Logdateien werden ausführlich unter die Lupe genommen, beinhalten Sie doch wertvolle Infos zu Anmeldungen, Prozessstarts und Interaktionen der Anwender mit einem System. Jede Spur, und sei sie noch so klein, wird durch ein Compromise Assessment aufgenommen. Die Plattform Threatfox sammelt durch Freiwillige eingereichte IOCs – und weist allein für den 25.05.2021 weit mehr als 5000 IOCs aus. Wohlgemerkt: 5000 Spuren von Angriffen täglich! Diese Zahl macht deutlich, dass der alleinige Einsatz herkömmlicher Tools zur Schadensabwehr nicht mehr mit den neuen Bedrohungen Schritt halten kann.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Die Grenzen herkömmlicher IT Security Maßnahmen
Herkömmliche Maßnahmen im Bereich der IT Security - wie das Vulnerability Management oder der Penetrationstests -haben durchaus auch Schwachpunkte. Beide Möglichkeiten stellen ausschließlich Momentaufnahmen von der Konfiguration und Sicherheit eines Systems dar. Die Ergebnisse in Sachen Schadensaufdeckung und -abwehr basieren heruntergebrochen entweder auf vorhandenen Datenbeständen (beim Vulnerability Management) oder, bei Penetrationstests, auf dem Knowhow der Tester. Ist Knowhow nicht in ausreichendem Maße vorhanden, werden die wahren Ursachen von Cyberangriffen ggf. nicht aufgedeckt.
So nützlich Vulnerability Management und Penetrationstests auch sind – beide Optionen zeigen nicht auf, ob vorhandene Schwachstellen bereits durch Cyberangriffe ausgenutzt worden sind. Insbesondere Zero-Day-Lücken stellen hier eine große Gefahr dar. Denn sind IT-Sicherheitslücken unbekannt und werden für Cyberangriffe genutzt, ist der Schaden groß – insbesondere dann, wenn es sich bei der Cyberbedrohung um Advanced Persistent Threat handelt! Eine weitere, überaus gängige Sicherheitslücke und eine echte Einladung für Cyberangriffe aller Art stellen einfache Konfigurationsfehler dar. Schlechte Passwörter oder Accounts mit umfangreichen Berechtigungen sind in vielen Unternehmen weit verbreitet. Im Fall der Fälle können aus derartig unscheinbaren Fehlern Einstiegstore für Cyberkriminelle werden, die mühelos im weiteren Verlauf der Advanced Persistent Threads die komplette IT-Infrastruktur eines Unternehmens kompromittieren können.
Mit Compromise Assessment die Zeitdauer bis zur Erkennung eines Angriffes drastisch reduzieren
Advanced Persistent Threats zeichnen sich dadurch aus, dass sie über einen längeren Zeitraum hinweg stattfinden – Wochen, Monate oder gar Jahre. Offizielle Studien belegen, dass es in der Regel 4 bis 6 Monate dauert, bis ein Cyberangriff überhaupt entdeckt wird. Fatalerweise wird der Schaden, der durch Advanced Persistent Threats entsteht, mit jedem Tag größer. Eile ist also geboten bei der Schadensabwehr! Hier kommt Compromise Assessment ins Spiel, denn die Lösung kann die Zeitdauer bis zur Aufdeckung eines Cyberangriffs im Idealfall auf nur wenige Tage reduzieren. Mithilfe eines durch die IT Security eines Unternehmens eingesetzten Compromise Assessments wird es möglich, Cyberangriffe in der Regel bereits kurz nach Beginn einer Analyse aufzudecken. Denn die Analyse im Rahmen von Compromise Assessments beginnt üblicherweise mit den Events, die die höchste Hitrate aufweisen. Der Zeitraum zwischen Start der Analyse und dem Aufdecken von erfolgten Cyberangriffen kann allerdings gerade bei Advanced Persistent Threats stark variieren, denn er ist immer abhängig von der Scankonfiguration, der Größe des IT-Systems und der Anzahl an Events, die zurückgeliefert werden.
Nach dem im Rahmen des Compromise Assessments erfolgten Scan, der zwischen wenigen Minuten und mehreren Tagen dauern kann, wird durch die IT Security umgehend mit der Analyse begonnen. Die durch den Scan aufgedeckten Events werden nach Schweregrad sortiert – die schwerwiegendsten ganz nach vorne auf die Agenda. Allerdings ist hierbei zu beachten, dass auch Events mit einem kaum auffälligen Schweregrad Anzeichen für einen Cyberangriff darstellen können! Von größter Wichtigkeit ist daher das Fachwissen der Analysten, insbesondere in den Bereichen Aufbau und Funktion des zu überprüfenden IT-Systems.
Von der Momentaufnahme zur Regel: Das Compromise Assessment als stetige IT-Sicherheitsüberprüfung
So effizient ein Compromise Assessment Scan auch ist – vom Basisprinzip her ist ein Scan immer nur ein Abbild des Augenblicks. Sobald eine Änderung an einem System durchgeführt wird, können sich Einfallstore für Cyberangriffe schließen – und andere, unbekannte Tore für neue Cyberbedrohungen öffnen. Um dieser Schwachstelle nachhaltig vorzubeugen, sollte ein Compromise Assessment immer als wiederholende Maßnahme verstanden werden!
Der erste Scan durch ein Compromise Assessment ist eine aufwändige Angelegenheit. Im Regelfall werden hier Millionen von forensischen Spuren untersucht, was viele Stunden, zumeist aber auch mehrere Tage andauern kann. Die Folgescans im Rahmen eines Continuous Compromise Assessments sind, genau wie deren Auswertungen, allerdings bedeutend schneller durchgeführt. Schließlich müssen bei Folgescans nur die reinen Änderungen unter die Lupe genommen werden. Wenn alle Maßnahmen aus früheren Scans umgesetzt werden und die IT Security regelmäßig die zu betreuenden Systeme erneut einem Scan unterzieht, kann Compromise Assessment die Zeitdauer bis zur Aufdeckung eines Angriffs durch Advanced Persistent Threats deutlich verkürzen. Werden die Maßnahmen mit höchster Priorität und zeitnah umgesetzt, lässt sich das gesamte IT-Sicherheitslevel eines Unternehmens deutlich erhöhen.
Zu den Maßnahmen können beispielsweise gehören:
• Die Implementation eines zentralisierten Log-Managements
• Änderungen der Domain Policy
• Einführung eins Berechtigungsmanagements
• SIEM
• Austausch alter Systeme
Fazit
Das Compromise Assessment ist eine höchst wirkungsvolle und von unseren IT Security Experten empfohlene Methode, um Kompromittierungen des Netzwerkes zu identifzieren. Im Rahmen von regelmäßig durchgeführten Compromise Assessments wird das IT-Sicherheitsniveau deutlich erhöht - Cyberbedrohungen, beispielsweise durch Advanced Persistent Threats, werden nicht nur schneller aufdeckt – sondern in vielen Fällen sogar verhindert. Vor allem ist Compromise Assessment ideal geeignet, um akute oder vergangene Cyberangriffe aufzudecken, zu bewerten und durch entsprechende Maßnahmen für die Zukunft zu verhindern.
Compromise Assessment ist eine überaus sinnvolle Erweiterung der IT Security – aber als singuläre Maßnahme nicht ausreichend, um das IT Security Level eines Unternehmens insgesamt zu erhöhen. Denn erst in Kombination mit anderen IT-Sicherheitstools und Maßnahmenpaketen entsteht ein wirklich umfassender Sicherheits-Kosmos, der ganzheitlich das gesamte IT-Sicherheitsniveau erhöht und zuverlässigen Schutz gegen Advanced Persistent Threats bietet.