von Ivan Vinogradov, Security Analyst bei Logpoint, und Jan Quach, Global Director of Customer Success Engineering bei Logpoint

Angesichts der jüngsten Ereignisse in der Ukraine ist zu erwarten, dass die Cyberangriffe, mit denen Unternehmen konfrontiert sein werden, aggressiver, hochentwickelter und hartnäckiger werden, da staatliche Akteure und organisierte kriminelle Gruppierungen beteiligt sind, die über die notwendigen Mittel verfügen, solche Angriffe über längere Zeiträume hinweg durchzuführen und aufrechtzuerhalten.

Eine dieser Gruppierungen, Conti, ist mit der Absicht an die Öffentlichkeit getreten, Vergeltungsmaßnahmen gegen Regierungen zu ergreifen, die Sanktionen gegen Russland, deren Sitz, einführen.

Niemand sollte dies auf die leichte Schulter nehmen, denn jeder kann Opfer dieser Cyberangriffe werden – sowohl direkt als auch indirekt.

Handeln Sie jetzt – praktische Schritte zur Verbesserung Ihres Sicherheitsniveaus

In der gegenwärtigen Situation scheint die Bedrohung vor allem Branchen zu betreffen, die für die Regierung oder die Gesellschaft von Bedeutung sind – oder einfach auch große Unternehmen, die die Aufmerksamkeit der Medien auf sich ziehen würden.

Angesichts unseres Ökosystems und unserer Lieferketten hat sich bereits in der Vergangenheit gezeigt, dass Unternehmen, auch wenn sie nicht direkt betroffen sind, dennoch indirekt von Cyberangriffen auf Unternehmen betroffen sein können, mit denen sie zusammenarbeiten oder die sie unter Vertrag haben.

Auch wenn dies beängstigend klingt, es gibt Maßnahmen, wie Sie die Cybersicherheit Ihres Unternehmens stärken können.

Im Folgenden finden Sie unsere fünf Empfehlungen:

  1. Setzen Sie potenzielle Bedrohungen in einen Kontext und analysieren Sie diese

Threat Intelligence ist eine wichtige Wissensbasis zu Cyberbedrohungen und deren Modus Operandi. Bedrohungsinformationen sind insofern wertvoll, als sie Unternehmen in die Lage versetzen, erkannte Bedrohungen zu analysieren und ihre potenziellen Auswirkungen auf Ihr Unternehmen zu bewerten.

Es ist unerlässlich, qualitativ hochwertige Threat-Intelligence-Feeds zu nutzen und auf Anbieter wie Recorded Future, CrowdStrike oder Mandiant zu setzen, um nur einige zu nennen, die sich in der Vergangenheit mit relevanten Bedrohungsinformationen im Zusammenhang mit staatlich organisierten Angriffen bewährt haben. Darüber hinaus gibt es auch kostenfreie und öffentlich zugängliche Threat Intelligence-Angebote, die Sie nutzen können. Einige dieser Quellen können jedoch eine beträchtliche Menge an False-Positives (Fehlalarmen) erzeugen, die eine weitere Analyse oder Automatisierung erfordern.

Die Computer Emergency Response Teams (CERTs) von Regierungsbehörden, branchenspezifische Cybersecurity-Publikationen sowie die Veröffentlichungen von Herstellern sind zuverlässige Quellen für Informationen zu Bedrohungen und Sicherheitsmaßnahmen, auch wenn einige von diesen für neuartige Angriffe unzureichend sein könnten.

Die meisten Anbieter von SIEM, Endpunkt-Management und anderen übergeordneten Sicherheitslösungen lassen sich über STIX/TAXII oder auch direkt mit den Quellen für Bedrohungsinformationen verbinden.

  1. Nutzen Sie die Erkennungsmechanismen

Eine gute Verteidigung erfordert einen wirksamen Erkennungsmechanismus, der in der Regel von einer SIEM-Lösung umgesetzt wird, auf dem grundlegenden Mechanismus von Sysmon basiert, und die Erkennung einer Vielzahl von Angriffen ermöglicht. Eine Angriffsform ist Ransomware, ein Grundpfeiler für Angreifer, die hochentwickelte und persistente Cyberangriffe durchführen. Ein Beispiel für die Erkennung sind PowerShell-Aktivitäten, die fast allen Arten von Malware gemeinsam sind.

Wir empfehlen, mit der hier veröffentlichten Konfigurationsvorlage für Sysmon zu beginnen. Sie können Sysmon von der Microsoft-Website herunterladen und über Gruppenrichtlinien bereitstellen. Wir raten IT- und Security-Managern, Sysmon sowohl auf Endpunkten als auch auf Servern einzusetzen.

  1. Setzen Sie auf etablierte Sicherheitsfunktionen

Die Überwachung der Benutzerkonten ist der wichtigste Aspekt der Sicherheit in einem Unternehmen. Alle Cyberkriminellen, ob Einzeltäter oder staatlich organisierte Gruppierungen, nutzen die Strategie, die Kontrolle über gültige Anmeldedaten zu erlangen.

Die meisten Sicherheitslösungen sind für den Umgang mit Account-Takeover (ATO, Kontoübernahmen) gerüstet. LogPoint SIEM+SOAR verfügt beispielsweise über MITRE ATT&CK-basierte Erkennungsregeln und Playbooks für die Automatisierung, um ATOs automatisch zu erkennen, zu untersuchen und zu reagieren, während die Lösung LogPoint UEBA automatisch auf Verhaltensänderungen in Benutzerkonten hinweist. Es ist jedoch nicht notwendig, eine ausgefeilte und automatisierte Lösung zu einzusetzen, um die Benutzerkonten Ihres Unternehmens zu schützen. Die Einschränkung von Berechtigungen und die Einrichtung von Passwort-Anforderungen im Active-Directory sind die ersten wichtigen Schritte in Richtung Account-Sicherheit.

Dies ist auch mit Orchestrierungslösungen wie Puppet möglich, wenn Ihre Umgebung heterogen oder Linux-basiert ist – oder wenn Ihr Unternehmen eine hohe Zahl an virtuellen Maschinen benötigt.

Dies wiederum ermöglicht es, Gegenmaßnahmen gegen einige höchst zerstörerische Malware-Stämme zu ergreifen, beispielsweise gegen die Ransomware-Angriffe von Conti. Ebenso wichtig sind die kontinuierlichen, bewährten Sicherheitspraktiken, wie regelmäßige Backups, MFAs, usw.

Allerdings haben die Akteure im Fall von Conti bereits böswillige Absichten angekündigt, die sich nicht nur auf finanzielle Vorteile beschränken. In diesem Fall empfehlen wir, angesichts der aggressiven Natur des Angreifers auch weniger etablierte Kontrollmechanismen in Betracht zu ziehen, beispielsweise die Segmentierung wichtiger Infrastruktur-Komponenten und vor allem der Daten sowie die Implementierung zumindest eines einfachen Honeypots.

Letzteres wäre für eine schnelle Erkennung von Angriffen wichtig, da selbst ein einzelner Server, auf den die Benutzer nicht zugreifen, mit nahezu jeder Lösung leicht zu überwachen ist – und die meisten Ransomware-Taktiken immer noch die Methoden Discovery (Erkundung des Netzwerks) sowie Lateral-Movement (Ausbreitung im Netzwerk) nutzen, die letztlich auch diesen Server betreffen können.

  1. Denken Sie an die Reaktionsmaßnahmen

Threat Intelligence, Sysmon und Zugriffskontrollen sind allesamt Teile des Sicherheitspuzzles. In einer modernen Umgebung ist es jedoch entscheidend, einen zentralen Überblick zu bewahren. Dies können Sie mit einer Lösung für das Logdaten-Management (SIEM), oder einem SIEM, das erweiterte Funktionen für die Automatisierung bietet, erreichen.

Eine SIEM-Lösung bietet die Möglichkeit, mehrere Sicherheitsmechanismen in einen Kontext zu setzen, zu bewerten, zu validieren und zu untersuchen. So erhalten die Operations- und Response-Teams den dringend erforderlichen Überblick über den Ist-Status der IT-Infrastruktur des Unternehmens und können schneller auf potenzielle Bedrohungen reagieren.

Setzen Sie eine SIEM-Lösung oder eine andere Lösung für die Aggregation und Orchestrierung ein, ist es einfach, viel engere Feedback-Schleifen hinsichtlich der Time-to-detect (Zeit bis zur Erkennung einer bestimmten Bedrohung) zu konfigurieren. LogPoint löst dies beispielsweise mit Hilfe von Warnmeldungen, die so konfiguriert sind, dass sie breitere Muster statt einer einzelnen Nachricht erkennen können.

Eine erweiterte Version eines SIEM wäre eine SIEM-Lösung, die Automatisierung unterstützt, zum Beispiel LogPoint SIEM+SOAR. Wir empfehlen jedoch, sich zunächst darauf zu konzentrieren, Warnmeldungen zur Erkennung von Bedrohungen zu implementieren und die erforderlichen Logdaten zu sammeln, die diese auslösen, bevor Sie Ihre Aufmerksamkeit auf einen automatisierten Incident-Response-Prozess richten.

  1. Wiederherstellung – kontinuierlicher Geschäftsbetrieb

Im Hinblick auf die Ausfallsicherheit sollten Sie Pläne für die Business-Continuity einführen, testen und üben. Stellen Sie sich darauf ein, dass es zu Beeinträchtigungen kommen könnte. Sorgen Sie dafür, dass Ihre Mitarbeiter aufgeklärt und geschult sind, Ihre Systeme über die notwendigen Funktionen für eine Wiederherstellung verfügen, und Ihre Response-Teams die erforderlichen Tools haben, um eine Wiederherstellung der IT-Infrastruktur im Falle von Beeinträchtigungen gewährleisten zu können. Sie benötigen Disaster-Recovery-Tools, Tools für das Incident-Management, sichere Kommunikationskanäle, Wiederherstellungspunkte, etc. Ist die IT-Infrastruktur aufgrund eines Angriffs nicht verfügbar, benötigt das Incident-Team separate Plattformen, um die Reaktion auf den Vorfall, die Kommunikation sowie den Zugang zu den Plänen für die Wiederherstellung und den Wiederherstellungspunkten effektiv gewährleisten zu können.

Machen Sie Angreifern das Leben schwer

Diese fünf Schritte sollten Ihre Sicherheitssituation angesichts der aktuellen Angriffswelle verbessern. Sie umfassen sowohl einige Standard-Empfehlungen als auch einige weniger bekannte Praktiken. Es ist wichtig zu wissen, dass es keine perfekte Sicherheitsstrategie gibt. Sie können es raffinierten Angreifern jedoch mit ein wenig Aufwand deutlich erschweren, erfolgreich zu sein.

 

Discover More About Logpoint