Wie Verhaltensanalyse dabei hilft, die »Dwell Time« erfolgreicher Angriffe zu verkürzen

Anzeige

Erfolgreiche Hacks früher erkennen.

In Filmen werden Hacks oft als eine Art digitaler Bankraub dargestellt: Die Hacker durchbrechen die Schutzmechanismen ihres Ziels auf dramatische Weise und haben dann nur wenige Minuten, um die begehrten Daten zu stehlen, während die IT-Sicherheit verzweifelt versucht die Angreifer zu stoppen. Die Realität sieht ganz anders aus, denn tatsächlich machen es sich die Cyberkriminellen meist im Netzwerk gemütlich und verbringen dort mitunter Monate oder Jahre, bevor sie entdeckt werden. Wer so viel Zeit hat, kann natürlich sehr großen Schaden anrichten und die Verweildauer, auf Englisch »Dwell time« genannt, ist bei der Analyse von erfolgreichen Hacks eine der wichtigsten Indikatoren, um festzustellen, wie schwerwiegend ein Angriff war. In vielen Fällen können bereits wenige Stunden Zugriff zu einer Kompromittierung erheblicher Datenmengen führen.

Angreifer verbringen vor ihrer Entdeckung 56 Tage in der Zielumgebung
In einem kürzlich erschienenen Bericht lag der globale Mittelwert der Dwell Time von Cyberkriminellen vor ihrer Entdeckung bei 56 Tagen. Dieser Wert war zwar deutlich besser als der des Vorjahres, als die Angreifer noch satte 78 Tage Zeit hatten, bevor sie entdeckt wurden. In einigen Fällen blieben Verstöße jedoch mehrere Jahre lang unentdeckt, was für alle Beteiligten schwerwiegende Folgen hatte. Einer der Gründe dafür, dass Angriffe so lange unentdeckt bleiben können, ist die zunehmende Ausdehnung der Netzwerke der meisten Organisationen. Je größer, verstreuter und unorganisierter solche Netzwerke werden, desto leichter fällt es Kriminellen, im Verborgenen zu bleiben. Einmal angekommen, navigieren die Angreifer unentdeckt durch das Netzwerk und scannen und exfiltrieren dabei Daten. Für Unternehmen, die sensible Kunden- oder geheime Forschungsdaten vorhalten, ist es natürlich ein Albtraum sich vorzustellen, dass sich Angreifer Monate oder gar Jahre unerkannt im Netzwerk aufhalten können. Wie schwerwiegend solche lang andauernden Datenlecks für die betroffenen Unternehmen sind, belegen zahlreiche Beispiele.

Der Albtraum der IT-Sicherheit: Jahrelang unentdeckte Angreifer im Netzwerk
Es gibt unzählige Beispiele von Unternehmen, die Opfer von erfolgreichen Hacks wurden, deren Schäden in die Milliarden gingen. Der US-amerikanische Finanzdienstleister Equifax verlor nach Bekanntwerden eines großen Datenlecks 2017 beispielsweise 35 Prozent seines Börsenwerts, musste einen immensen Rufschaden hinnehmen und mehr als eine halbe Milliarde US-Dollar an Strafen bezahlen. Legendär, und in Sachen Verweildauer fast schon unerreicht, ist auch der Fall von Cathay Pacific aus dem Jahr 2018, bei dem 9,4 Millionen Passagierdaten kompromittiert wurden. Cathay Pacific brauchte mehr als sechs Monate für die Untersuchung, die eine Reihe schockierender Enthüllungen aufdeckte: Der früheste bekannte Zeitpunkt des unbefugten Zugriffs auf das Netzwerk war fast vier Jahre alt, nämlich im Oktober 2014. Die Angreifer waren also ganze vier Jahre unentdeckt im Netzwerk! Und als wäre dies für Cathay Pacifics IT-Sicherheit nicht schon peinlich genug, war die Schwachstelle, über die die Angreifer eingedrungen waren, einfach auszunutzen und darüber hinaus sogar längst öffentlich bekannt.

Beide Fälle dienen als Warnungen dafür, was im schlimmsten Fall geschehen kann und als Beispiel, dass der Schaden begrenzt werden kann, wenn die Verletzung der IT-Sicherheit so früh wie möglich erkannt wird. Dabei hat sich längst die Erkenntnis breitgemacht, dass jedes Unternehmen angreifbar und es nur eine Frage der Zeit ist, bis eine Sicherheitsverletzung auftritt. Damit stellt sich die Frage, welche Lösungen und Fertigkeiten die IT-Sicherheit benötigt um diese böswilligen Aktivitäten so frühzeitig wie möglich erkennen zu können.

Fortschrittliche Verhaltensanalyse bietet ein viel besseres Frühwarnsystem
Offenbar ist es um die Fertigkeiten und eingesetzten Lösungen in vielen Unternehmen nicht gut bestellt, wenn Angreifer im Schnitt gut zwei Monate Zeit haben es sich in einer Zielumgebung bequem zu machen. Bei der Aufgabe, Angriffe entweder ganz zu verhindern oder die Verweildauer zu verkürzen, stehen viele Sicherheitsteams auf ziemlich verlorenem Posten. Denn viele gängige Sicherheitslösungen produzieren vor allem eines: Fehlalarme. Um die Flut von Alarmen manuell abzuarbeiten, müssen die Teams viel Zeit aufwenden. Dies lässt, wenn überhaupt, wenig Zeit sich mit dem noch längeren Prozess zu beschäftigen, Angreifer aufzuspüren, die es bereits ins Netzwerk geschafft haben, und diese zu beseitigen.

Eine Technologie, die deutliche effektiver ist als die manuelle Bewertung von Sicherheitswarnungen, ist die Verhaltensanalyse. Sie kann dabei helfen, verdächtige Benutzer- oder Netzwerkaktivitäten effektiver zu identifizieren. Lösungen zu Verhaltensanalyse nutzen bereits bestehende Logs für Sicherheitsvorfälle, was bedeutet, dass sie bereits den vollen Umfang und Kontext der zugehörigen Ereignisdetails kennen. Infolgedessen müssen Sicherheitsanalytiker nicht mehr eine große Anzahl von Ereignisprotokollen durchforsten, um von Hand Zeitleisten für Vorfälle zu erstellen. Durch den Wegfall dieses zeitaufwändigen Prozesses lassen sich potenzielle Sicherheitsverletzungen viel schneller erkennen, wodurch die Sicherheitsteams Angreifern schnell auf die Spur kommen und die Verweildauer der Angreifer praktisch eliminiert wird.

Fazit: Die Analyse des Verhaltens von Benutzern und Entities erkennt Bedrohungen früher
Moderne Datenschutzbestimmungen sind strenger denn je, was bedeutet, dass Unternehmen es sich einfach nicht mehr leisten können, in Sachen Datensicherheit selbstgefällig zu sein. Aber da die Netzwerke heute größer und verstreuter sind als je zuvor, ist es unrentabel geworden, sie mit traditionellen Sicherheitswerkzeugen und manueller Analyse zu schützen. Neue Technologien, wie etwa die fortschrittliche Verhaltensanalyse, machen die zeitraubende Kleinarbeit, die ältere Tools erfordern, überflüssig, vermeiden Fehlalarme und helfen echte Bedrohungen viel früher zu erkennen.

Egon Kando, Exabeam

13 Artikel zu „Verweildauer Hack“

Hacker durchschnittlich 106 Tage unentdeckt in Unternehmensnetzwerken der EMEA-Region

Dreiste Angreifer nutzen Telefonanrufe, um ihre Opfer zu überlisten. Unternehmen entdecken Cyberangriffe schneller – und haben dennoch Schwierigkeiten, mit der Kreativität der Cyberkriminellen mitzuhalten. Dies zeigt der jährliche Report »M-Trends«, der in seiner siebten Ausgabe von FireEye veröffentlicht wurde [1]. Der Report zeigt: Angreifer halten sich in der EMEA-Region im Schnitt dreieinhalb Monate im Unternehmensnetzwerk…

Digitalisierung und Industrie 4.0 für Krankenhaus-Organisationen

Vor ähnlichen Herausforderungen wie Industrieunternehmen stehen auch Krankenhäuser: Sie müssen gleichzeitig die (medizinische) Versorgung sichern, profitabel wirtschaften und widerstandsfähig gegen verschiedenste Risiken sein. Helfen können den hochkomplexen Organisationen dabei Industrie-4.0-Technologien. Der Lehrstuhl für Betriebswirtschaftslehre, insb. Betriebliche Anwendungssysteme (Prof. Dr. Stefan Smolnik) der FernUniversität in Hagen stellte mit einer Gap-Analyse fest, dass sich die Wertschöpfung in…

SEO Trends 2020: Nutzersignale berücksichtigen – User und Google zufrieden stellen

SEO-Trends kommen und gehen – doch zentral und permanent in den Google-Guidelines ist der Fokus darauf, den User zufrieden zu stellen und seine Anfrage möglichst gut zu beantworten. Entsprechend sollten Content und Usability von Websites stimmen, damit die User nicht nur dran bleiben, sondern auch interagieren und konvertieren. Die Nutzersignale, ihr Feedback auf die Website,…

Cyber-Security: Sicherheitsprognosen für das Jahr 2020

  Die Sicherheitsforscher von Malwarebytes geben ihre Sicherheitsprognosen für das Jahr 2020 bekannt. Dabei prognostizieren die Experten zunehmende Gefahren für Unternehmen durch Ransomware-Angriffe, erwarten vermehrt Exploit-Kit-Aktivitäten und VPN-Skandale. Im Folgenden werden sechs Sicherheitsprognosen vorgestellt und in die Entwicklungen der jüngsten Zeit eingeordnet.   Ransomware-Angriffe auf Unternehmen und Regierungen werden dank neu gefundener Schwachstellen zunehmen. Bereits…

»Nightmare Before Christmas« oder wie Sie verhindern, dass Saisonkräfte zum Sicherheitsalbtraum werden

Viele Einzelhändler sind in der Weihnachtszeit mehr denn je auf Saisonkräfte angewiesen. Eine bewährte Praxis. Allerdings ist sich die Branche oftmals nicht ausreichend bewusst, welche Sicherheits- und Datenschutzrisiken sie sich quasi mit einkauft. Im vergangenen Jahr haben Einzelhändler in den USA über 757.000 Zeitarbeiter eingestellt. Auch europäische Unternehmen suchen nicht zuletzt in der Logistik- und…

1,36 Millionen offene Stellen: Leichter Rückgang bei der Personalnachfrage

Im dritten Quartal 2019 gab es bundesweit rund 1,36 Millionen offene Stellen auf dem deutschen Arbeitsmarkt. Gegenüber dem zweiten Quartal 2019 sank die Zahl der offenen Stellen um rund 30.000. Sie liegt damit aber noch um 120.000 über dem Vorjahresniveau im dritten Quartal 2018. Das geht aus der IAB-Stellenerhebung hervor, einer regelmäßigen Betriebsbefragung des Instituts…

Schwachstellen zu Cyberwaffen formen – oder doch lieber schließen?

  Regierungen diskutieren regelmäßig, IT-Schwachstellen als Cyberwaffen für Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv überlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Schäden für Bürger und Unternehmen wirklich überwiegen.   Am 12. Mai 2017 begann der Trojaner WannaCry…

Immer mehr Europäer wohnen in Smart Homes, Deutschland zieht nur langsam mit

  Nach einer Studie im Auftrag von Linksys, einem Spezialisten für Home-Networking-Lösungen, wird das Zuhause der meisten Europäer durch den Einsatz von IoT-Geräten immer »smarter«. Die Bandbreite reicht von smartem Licht, Temperaturreglern und Kühlschränken hin zu selbstlernenden Haushaltsgeräten. Die Deutschen halten sich beim Kauf vernetzter Heimgeräte jedoch im Vergleich eher zurück – ein Trend, den…

Smart Home: Nur Geräte mit Datenschutzerklärung kaufen

Effiziente Energienutzung, erhöhte Sicherheit sowie gesteigerte Wohn- und Lebensqualität: Ein Smart Home bietet dank vernetzter und fernsteuerbarer Geräte sowie Installationen viele Möglichkeiten. Doch obwohl das Ergebnis verlockend ist, sorgen sich viele Konsumenten um die Sicherheit ihrer Daten und um ihre Privatsphäre. Zu Unrecht, wie Günter Martin, Internet-Experte bei TÜV Rheinland, sagt: »Um die volle Kontrolle…

Cybersecurity-Trends 2018: In fünf Jahren rund 500 vernetzte Geräte in jedem Privathaushalt

Smart Home schon bald Standard. Datensicherheit und Schutz vor »Cybereinbrüchen« hängt hinterher. Unabhängige Prüfungen für vernetzte »smarte« Produkte erforderlich.   Das Smart Home ist längst Realität, aber noch nicht Standard. Experten von TÜV Rheinland gehen davon aus, dass sich das sehr schnell ändern wird: Bereits in fünf Jahren werden sich ihrer Einschätzung nach in jedem…

8 Cybersecurity Trends 2018

Wie können sich Unternehmen besser vor der wachsenden Zahl und der Komplexität an Cyberattacken schützen und sich zugleich für die Chancen der Automatisierung und Digitalisierung der Wirtschaft rüsten? Diese Fragen beleuchtet TÜV Rheinland in seinen »Cybersecurity Trends 2018«, die jetzt zum Download bereitstehen unter https://www.tuv.com/cybersecurity-trends-2018   »Unser Ziel ist, das Bewusstsein für die zunehmenden Cybersecurity-Risiken,…

Cyberangriffe bleiben meist über ein Jahr unentdeckt

Die EMEA-Region schneidet schlecht ab: 469 Tage brauchten Firmen in EMEA im Durchschnitt, um das Eindringen von Hackern zu bemerken – der weltweite Durchschnitt liegt bei 146 Tagen. Dies ist eines der Ergebnisse des aktuellen M-Trends Report für EMEA von Mandiant [1]. 88 Prozent der Firmen verlassen sich nur auf ihre internen Abwehrressourcen. Von offizieller…

Fünf wesentliche Trends in der IT-Sicherheit 2016

IT-Sicherheitsexperten haben die gravierendsten Sicherheitslücken 2015 analysiert. Nicht nur die Zahl der Sicherheitsvorfälle ist 2015 um 38 Prozent im Vorjahresvergleich angestiegen, auch die Angriffsarten haben sich weiter verändert. Für das Jahr 2016 hat Bitdefender daraus fünf wesentliche Trends abgeleitet. Dazu gehören Angriffe auf verschiedene Plattformen, vernetzte Objekte im Internet der Dinge und Weiterentwicklungen von bereits…