Ein globales Cyber-Sicherheitskonzept verbindet Monitoring, Angriffserkennung und Analyse sowie Incident Response dynamisch miteinander. Damit werden Advanced Persistent Threats bereits in einer frühen Phase erkannt.
Das Akronym UTM (Unified Threat Management) wurde ursprünglich für Firewall-Appliances entwickelt, die um zusätzliche Sicherheitsfunktionen wie IDS, IPS, URL-Filterung, SPAM-Filterung, Web Proxy mit Download-Virenprüfung erweitert wurden und nun auch Sandboxing-Lösungen für Dateidownloads und E-Mail-Anhänge beinhalten, – grundsätzlich also alles, was sich am Rande eines Netzwerks befindet, wo es ans Internet angebunden ist.
Dies hat sich dahin entwickelt, dass die meisten UTM-Anbieter nun auch ein Endpunkt-Schutzpaket anbieten, das typischerweise Host-Firewall, Virenschutz, Malware-Erkennung mittels Heuristiken und/oder Anomalie-Erkennung umfasst. Diese sind typischerweise mit einer Managementkonsole ausgestattet, die die Informationen aus dem Netzwerkverkehr der Appliance und den Host-Überwachungsfunktionen zusammenführt.
UTM-Appliance und Endpunktlösung.
Diese Lösungen können sehr kostengünstig sein und machen sie für kleine und mittlere Unternehmensgrößen mit einem begrenzten Budget attraktiv. UTM-Lösungen haben jedoch den Nachteil, dass sie gegen Verteidigung in der Tiefe wirken, weil eine Schwachstelle in der Appliance, der Host-Überwachung oder der Management-Anwendung den gesamten Schutz gefährden kann und weil die im Netzwerk und Host verwendete Antiviren- und Bedrohungserkennung in der Regel identisch ist und aus einer einzigen Quelle stammt.
UTM-Netzwerk-Appliances können auch in großen Netzwerken Leistungseinschränkungen aufweisen, wenn sie für viele Funktionen gleichzeitig verwendet werden. Aus diesen Gründen ist es zwar möglich, dass eine UTM-Appliance und eine Endpunktlösung für kleine Netzwerke geeignet sind, aber größere Unternehmen verwenden eher getrennte Geräte von verschiedenen Anbietern für eine bestmögliche Lösung und erhalten so Informationen über Bedrohungen aus verschiedenen Quellen. Wenn dies aufgrund des Budgets oder der Verfügbarkeit eines operativen Teams nicht möglich ist, können UTM-Appliances eine Option sein, beginnend mit der Basis-Firewall.
Bei der Abwehr der häufigsten Angriffe mit bösartigen Links in E-Mails oder dem Herunterladen von Malware auf kompromittierten Websites, können DNS und Webfiltering eine wirksame Verteidigung bieten, zusammen mit Virenprüfungen von E-Mail-Anhängen und Web-Downloads. Das Endpunktpaket kann dann weitere AV- und Verhaltensanalysen der ausführbaren Dateien liefern.
SIEM-Tool.
Für große Unternehmen ist das SIEM-Tool (Security Information and Event Management) das wichtigste Werkzeug, um die Ergebnisse der verschiedenen Detektions- und Protokollierungsgeräte zusammenzuführen. Hier werden Informationen aus verschiedenen Quellen zusammengeführt, um so eine Korrelation und Analyse dieser Informationen zu ermöglichen. Bösartige Aktivitäten werden so effektiver erkannt und die Reaktion auf Vorfälle beschleunigt. Dies ist in der Regel das einzige Tool, das einen Überblick über das gesamte Unternehmen bietet und beispielsweise die Korrelation von IDS-Alarmen und DNS-Anfragen ermöglicht. Das SIEM ermöglicht es auch, analytische Anwendungsfälle mit Hilfe aktueller Bedrohungsinformationen zu entwickeln. Bekannte oder neu auftretende Bedrohungen können so auf der Grundlage der verwendeten Techniken und Malware sowie der von den Sicherheitsgeräten gesammelten Informationen erkannt werden. Kontinuierliche Bedrohungserkennung ist für diese Aktivität von entscheidender Bedeutung.
MISP-Dienst.
Typischerweise werden eine Reihe von verschiedenen Toolsets verwendet, um Daten zu sammeln und zu verarbeiten, um aus den Rohdaten verwertbare Informationen zu gewinnen. Es gibt viele kostenlose Feeds, die in diese Tools aufgenommen werden können. Die häufigste Aggregation von Feeds wird innerhalb des MISP durchgeführt. Der MISP-Dienst ist Open Source und wird von vielen Unternehmen genutzt, zusammen mit einer Reihe von kostenpflichtigen und kostenlosen Feeds. Domänenrelevante Informationen können auch durch die Teilnahme an einer der vertikalen Informationsaustauschgruppen der Branche gewonnen werden.
Monitoring-Tools.
Die Überwachung des externen Fußabdrucks des Unternehmens ist auch der Schlüssel zur Identifizierung von Ein- und Ausstiegspunkten für Bedrohungsakteure. Premium-Tools sind das primäre Überwachungswerkzeug für jene Geräte, die für das Internet von außen sichtbar sind. Diese Tools zeigen auch potenzielle Schwachstellen, wenn sie für Host und offene Ports anwendbar sind. Monitoring-Tools können auch eingesetzt werden, um Sites zu identifizieren, die bestimmten Organisationen zuzuordnen sind. Diese Art der Überwachung ist im aktuellen Klima sehr relevant, wo etwa die Magecart-Gruppe gefälschte Websites und ähnliche Domainnamen verwendet, um den Datenverkehr umzuleiten. Die Tools überwachen auch, ob ähnlich benannte Domainnamen registriert werden.
Premium-Abonnements.
Schließlich ermöglichen es Premium-Abonnements für Malware-Samples dem CTI-Team, bösartige Samples herunterzuladen und Malware durch Reverse Engineering zu erkennen. So können IOCs identifiziert werden und Samples mit Bedrohungsgruppen verknüpft werden, um sich ein Bild von ihrer Funktionsweise und der Malware zu machen, die sie wahrscheinlich verwenden werden. Es hilft auch zu erkennen, ob ein Unternehmen gezielt attackiert wurde oder ob Samples im Rahmen einer größeren Kampagne blind ausgestreut wurden.
Michael Gerhards
Michael Gerhards, Head of Airbus CyberSecurity Germany
Weitere Informationen unter: www.airbus-cyber-security.com/de/
SOC als Sicherheitszentrale – Gefahr erkannt, Gefahr gebannt
Übergreifende Sicherheitsstrategien sichern nicht nur das lokale Netzwerk ab, sondern auch Fernzugriffe von Servicetechnikern. Ein Security Operation Center (SOC) koordiniert Technologien, Prozesse und menschliche Security-Expertise zu einem ganzheitlichen Sicherheitsansatz.
Unzureichend geschützte und undokumentierte Direktverbindungen zum Internet sind ein grundlegendes Sicherheitsrisiko im Fertigungs- und Industriebereich. So listet das BSI in seinen Top 10 der Bedrohungen für Industrial Control Systems (ICS) mit dem Internet verbundene Steuerungskomponenten auf Platz 6. Zu den sicherheitskritischen Faktoren zählen ebenso der Einbruch über Fernwartungszugänge (Platz 4) sowie die Kompromittierung von Smartphones im Produktionsumfeld (Platz 10).
Gefragt sind also Sicherheitsansätze, die sich nicht nur auf das lokale Netzwerk beschränken, sondern auch Fernzugriffe beispielsweise von Servicetechnikern absichern und kontrollieren. Denkbar sind hier zentrale Wartungsportale, die dem direkten Netzwerkzugang vorgeschaltet sind. Externe Zugriffe auf das Wartungsportal sind dann nur über eine verschlüsselte Verbindung möglich und erfordern eine Authentifizierung gegenüber einem zentralen Verzeichnisdienst.
Um sowohl die Absicherung von Remote-Aktivitäten als auch den Schutz des lokalen Netzwerks in Einklang zu bringen, ist ein umfassendes Sicherheitskonzept notwendig. An dessen Anfang steht im Best-Case immer ein detaillierter Security Check, der die individuelle Sicherheitslage eines Unternehmens untersucht. Hierbei können Administratoren auf externe Fachkräfte zurückgreifen, welche zusätzlich eine objektive Außensicht beisteuern.
Airbus CyberSecurity beispielsweise bewertet im Rahmen seines ICS Security Maturity Checks speziell die Cybersicherheit von Produktions- und Steuerungssystemen. Im ersten Schritt werden dafür relevante Dokumente zum ICS-Design, der Organisationsstruktur sowie zu Richtlinien und Prozessen evaluiert. Zudem wird eine Standortbesichtigung durchgeführt, der Netzwerkverkehr aufgezeichnet und das Active Directory analysiert. Die Ergebnisse werden dann zu Best-Practices und internationalen Standards (IEC 62443) in Relation gesetzt. Das Assessment liefert einen Überblick zum vorherrschenden Security-Niveau in der ICS-Architektur, validiert vorhandene Maßnahmen auf Wirksamkeit und gibt konkrete Handlungsempfehlungen zur Beseitigung bestehender Sicherheitsmängel.
Für eine langfristige Überwachung der IT-Infrastruktur ist die Integration eines Security Operation Centers (SOC) ratsam. Es stellt quasi die sicherheitsbezogene Kommandobrücke dar und koordiniert Technologien, Prozesse und menschliche Security-Expertise zu einem ganzheitlichen Sicherheitsansatz. Unternehmen, die nicht über die nötigen Ressourcen zum Betreiben eines eigenen SOC verfügen, können ein solches auch als »as-a-Service« nutzen.
Wie arbeitet das Airbus SOC? Die Konzeption eines SOC beginnt bei Airbus CyberSecurity mit dem Definieren von unternehmensspezifischen Prioritäten hinsichtlich IT-Infrastruktur, Informationsfluss und Geschäftsbereichen. Hier sind Fragen zu klären wie: Gibt es Netzwerksegmente mit unterschiedlichen Schutzbedarfen, sodass die Netzübergänge durch ein Security Exchange Gateway gesichert werden müssen? Darf der Datenaustausch bidirektional erfolgen? Ist eine Zonierung von Office-IT und industrieller Steuerungsumgebung zu beachten? Wird hier ein separates ICS SOC benötigt?
Diverse Monitorings sorgen anschließend für eine lückenlose Prüfung der Client-, Server- und DMZ-Layer. Dazu zählt die Kontrolle des Datenverkehrs zwischen Netzwerk und Internet (Web Traffic Monitoring) sowie der E-Mail-Kommunikation (E-Mail Traffic Monitoring) mittels zwischengeschaltetem Proxy. Sicherheitsmaßnahmen wie das Sperren ausgewählter Domains, der Einsatz von AV-Technologie sowie Sandboxing helfen, Schadsoftware aufzuspüren, zu blockieren und sicherheitskritische Programme zu separieren. Zum Malware-Monitoring gehört auch die Geräteanalyse im Rahmen der Endpoint Protection. Für die Angriffserkennung führt das SOC-Team zudem Sicherheitsanalysen mithilfe von IDS-Tools durch. Je nach individueller Sicherheitsarchitektur ergänzen diese die Aktivitäten der Deep Inspection Firewall oder laufen direkt auf den zu schützenden Systemen. Erkannte Angriffe werden dem SOC-Admin mittels Log-Files mitgeteilt. Zusätzlich verhindern IPSs proaktiv und automatisiert potenzielle Bedrohungen. Komplexe, zielgerichtete und anhaltende Attacken (APT) lassen sich durch ein spezielles APT Monitoring frühzeitig aufdecken und analysieren.
Das aktive Scannen des Datenverkehrs auf Clients und Server spürt mögliche Schwachstellen innerhalb des Netzwerks auf (Vulnerability Scanning). Zudem baut das SOC-Team an neuralgischen, aus Erfahrungswerten ermittelten Netzwerkpunkten passive Sensoren ein. Hierzu zählt auch die von Airbus eingesetzte KeelbackNET-Technologie. Als eine von mehreren passiven Sensoren überwacht sie den Netzwerkverkehr auf Auffälligkeiten im Verhalten von Systemen und Benutzern. Die in den Sensoren eingebrachten Regeln melden entsprechende Anomalien an ein Sicherheitsüberwachungssystem wie LMS (Log Management System) oder SIEM (Security Information and Event Management System). Auf diesem führen spezielle, meist eigenentwickelte Korrelationsregeln weitere Analysen durch, welche die zuständigen Analysten im SOC dann auf eine sicherheitsrelevante Situation hinweisen.
Bei Standardvorfällen wird gleichzeitig automatisch ein entsprechendes Troubleticket erzeugt. In diesem ist ein Mehrpunkteplan für die Analysten enthalten. Sie setzen die vorgesehenen Vorfallreaktionen um und protokollieren die Ergebnisse wieder im Ticket. Bei Nicht-Standardvorfällen nutzen die Analysten Korrelationsregeln aus dem SIEM, die sich auf früher bereits erkannte Angriffsszenarien beziehen, und erstellen unter Anwendung ihrer Erfahrungswerte manuelle Tickets. Besitzt ein Unternehmen zu überwachende Infrastrukturen an mehreren Standorten, sind die Sensoren über eine VPN-Verbindung angebunden und berichten entweder in ein eigenes oder ein gemeinsam genutztes, aber mandantenfähiges SIEM- und Ticketsystem.
Aufbau eines SOC. Das SOC bei Airbus gliedert sich in drei Ebenen, zwischen denen übergreifende Security-Prozesse stattfinden. Monitoring und Sicherheitsvorfall-Analyse gehören zur ersten Ebene, in der Echtzeitdaten und Log-Files aus Firewalls, AV, Servern, Clients und Applikationen zum SIEM und LMS gelangen und relevante Informationen an die Nachverfolgungs- und Dokumentationstools des SOC weitergegeben werden.
Das SOC-Team korreliert dann die erfassten Netzwerkdaten zu einem Gesamtbild der Bedrohungslage. Hier ist die tiefgreifende Expertise bei der Erstellung von Use Cases notwendig, um Auffälligkeiten (etwa C&C-Kommunikation) zu erkennen, die richtigen Schlüsse aus den sicherheitsrelevanten Daten zu ziehen und Vorfallreaktionen abzuleiten. Im SOC erstellte, standardisierte Security-Abläufe unterstützen Administratoren bei der Prävention und Reaktion künftiger Cyberangriffe.
Zentrales Aufgabenspektrum der zweiten SOC-Ebene ist das Management der Infrastruktur: Hier liegt das Augenmerk unter anderem darauf, IT-Systeme kontinuierlich zu überwachen, entdeckte Sicherheitsvorfälle zu analysieren und zu beheben (Equipment Infrastructure Incident Management) und gegebenenfalls die Infrastruktur zugunsten eines höheren Schutzlevels neu aufzustellen (Infrastructure Change Management).
Die größtmögliche Effizienz aller Security-Maßnahmen ist dabei durch automatisierte Prozesse zu erreichen. Die Automatisierung lässt sich nur umsetzen, wenn ein vorab definiertes Regelwerk und programmierte Algorithmen vorhanden sind. An dieser Stelle greifen die SOC-Leistungen der dritten Ebene: Das Vertrags-/Lizenz-Management und die Aufstellung von Service Level Agreements (SLAs). Nur mit dem Wissen, wie man die Compliance-Vorgaben des jeweiligen Unternehmens richtig in automatisierte Abläufe einbettet, kann gewährleistet werden, dass es zu keinen Sicherheitsverletzungen kommt, gerade wenn personenbezogene Daten im Spiel sind.
Marcus Pauli, Security Analyst bei Airbus CyberSecurity
https://airbus-cyber-security.com/
Bilder: © Airbus CyberSecurity