Fachartikel

1-10-60 als neue Formel in der Cybersicherheit

Geschwindigkeit wird zu einer zentralen Messgröße für Cybersicherheit. Da sich Angriffe immer ausgefeilter geben, lautet die Frage für IT-Verantwortliche nicht mehr ob, sondern wann es ein Angreifer schafft, sich Zugang zum System zu verschaffen. Die Gegenmaßnahmen sollten daher der Formel 1-10-60 folgen: Angriffe innerhalb einer Minute erkennen, innerhalb von zehn Minuten untersuchen und verstehen und innerhalb von 60 Minuten beheben. Dadurch lässt sich die Abwehrbereitschaft der IT-Systeme nicht nur erhöhen, sondern auch messbar machen.
Die Zeit läuft: Bei der Erkennung von Cyberangriffen ist eine schnelle Reaktionszeit gefragt.
Russische Hacker benötigen im Mittel nur 18 Minuten, um sich nach dem Eindringen in einem System auszubreiten. Dies haben die Analysen des aktuellen Global Threat Reports 2019 von CrowdStrike ergeben. Darin werden jedes Jahr die wichtigsten Ereignisse und Trends zur Cybersicherheit des vergangenen Jahres dargestellt, Angriffsfälle und Taktiken – sowohl von staatlichen als auch von e-Crime-Akteuren – analysiert und Empfehlungen abgegeben, wie Unternehmen ihre Cybersicherheit verbessern können. Unter anderem misst der Report die kritische Zeitspanne, die ein Eindringling benötigt, um in weitere Systeme eines Netzwerks vorzudringen, nachdem er den ersten Endpunkt kompromittiert hat (Breakout-Zeit).

Damit lautet die Frage für IT-Verantwortliche also nicht mehr ob, sondern wann ein Angreifer es schafft, sich Zugang zum System zu verschaffen. Und wie lange es dauert, bis er sich Zugang zu einer sensiblen Ressource verschaffen kann. Sobald es dem Akteur nämlich gelingt, ein weiteres Netzwerk zu kompromittieren, weitet sich ein kleines Sicherheitsereignis schnell zu einem unternehmenskritischen Problem aus. Im Schnitt benötigen Angreifer dafür nur knapp zwei Stunden.

Geschwindigkeit ist entscheidend
Administratoren haben also weniger als zwei Stunden Zeit, um einen Eindringling zu erkennen und aus dem System zu entfernen, bevor er von seinem ursprünglichen Einstiegspunkt aus weitere IT-Systeme kompromittiert und enormen Schaden anrichten kann. Denn früher oder später wird es Angreifern gelingen, ins System einzudringen. Deshalb lautet die Frage: Wie schnell müssen ihre Experten handeln, um einen Angreifer zu stoppen, bevor er sein Ziel erreicht?

Dazu führt der jährliche Global Threat Report umfassende Analysen durch, wobei sich eine Zeitspanne herausgebildet hat, in der Gegenmaßnahmen besonders wirksam sind. CrowdStrike hat daraus die so genannte 1-10-60-Regel abgeleitet: Wenn Angriffe innerhalb einer Minute erkannt, innerhalb von zehn Minuten untersucht und verstanden und innerhalb von 60 Minuten behoben werden können, ist die Abwehrbereitschaft der IT-Systeme deutlich erhöht.

Unternehmen, die diese 1-10-60-Regel befolgen, gelingt es häufig, Angreifer zu eliminieren, bevor es diese schaffen, vom Einstiegspunkt ausgehend in das Zielnetzwerk vorzudringen. So verhindern sie negative Auswirkungen bis hin zur Eskalation. Darüber hinaus ist es essenziell, Einblicke in die Netzwerkumgebung zu haben, um heimliche Angreifer zu erkennen, die sich wie Insider verhalten.

Die Formel gibt eine Orientierung und sie sollte für IT-Verantwortliche ein Maßstab sein, mit dem sie das allgemeine Niveau der Sicherheitssysteme evaluieren können. Sind Reaktionszeiten und Maßnahmen zu langsam, muss korrigierend gehandelt werden. Das macht es auch Führungskräften, die keine IT-Experten sind, leichter, die Leistung der IT-Sicherheit innerhalb ihrer Organisation zu verstehen und zu bewerten.
So lässt sich 1-10-60 umsetzen
Der größte Unsicherheitsfaktor ist und bleibt der Mensch. Deshalb wird es nicht reichen, nur auf schnelle, automatisierte Systeme zu setzen. Bewusstseinsbildung oder Schulungen zur firmeneigenen Sicherheitsstrategie sind zu empfehlen. Hinsichtlich der technischen Maßnahmen zur Optimierung der IT-Sicherheit lohnt es sich, Schritt für Schritt daran zu arbeiten. Institutionen und Unternehmen, die aktuelle Technologien einsetzen, können diese Benchmarks mittlerweile umsetzen.

Entscheidend dabei ist, über alle Systeme eines Netzwerks Transparenz herzustellen. Dadurch lassen sich bekannte und unbekannte Bedrohungen im Netzwerk schneller erkennen. Hierbei ist es nützlich und sogar notwendig, dass Unternehmen Werkzeuge nutzen, die mit einer Kombination aus maschinellem Lernen, Endpoint Detection und Response (EDR) und Antivirenprogrammen der nächsten Generation arbeiten.

Nur so sind verdeckt agierende Angreifer schnell erkennbar und wirksam zu bekämpfen. Und derer gibt es viele: Beispielsweise warnte das BSI vor einer massenhaften Angriffswelle mit Malware auf Unternehmen. BSI-Präsident Arne Schönbohm empfahl in diesem Zusammenhang, dass Unternehmen selbst kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen sollten, da es sich dabei durchaus um vorbereitende Angriffe handeln könne.

Beispielprotokoll eines "Living-off-the-Land"-Angriffs
Stellen wir uns vor, ein mittelständisches Industrieunternehmen wird Opfer eines PowerShell -basierten "Living-off-the-Land"-Angriffs:

Freitag 5. Juli 2019 - 15:48:03 Uhr: In einem fertigenden Industriebetrieb hat der Mitarbeiter Paul Müller per E-Mail eine Spreadsheet-Datei erhalten. Die E-Mail kam von einem gespooften Absender und hatte einen unverfänglichen Dateinamen mit geschäftlichem Bezug (Spear-Phishing/Social Engineering).

15:51:16 Uhr: Der Empfänger öffnet die Datei auf seinem Dienstcomputer und ein eingebettetes Objekt kommt durch die Ausnutzung eines Features in der verwendeten Office-Anwendung zur Ausführung (Initial Access through Removable Media & Ausnutzung einer Schwachstelle).

15:51:19 Uhr: Über die Schwachstelle wird ein automatisches Script über die PowerShell gestartet, um aktiv weiteren Schadcode von einem kompromittierten Webserver eines anderen ebenfalls deutschen Unternehmens nachzuladen und in den Speicher eines laufenden Systemprozesses zu injizieren (Umgehung von klassischen Erkennungsverfahren, da der Angriff ohne Schadcode auf der Festplatte zum Ziel führt = Fileless Attack).

15:52:32 Uhr: Der Client baut das erste Mal eine IP-Verbindung zu einem System auf, das unter der Kontrolle des Angreifers steht (Command and Control).

15:55:38 Uhr: Der Angreifer prüft, welche Berechtigung er hat und wo er sich befindet (Reconnessaince).

15:57:33 Uhr: Der Angreifer wendet eine Technik an, um Administrationsberechtigungen zu erhalten (Privilege Escalation).

15:57:59 Uhr: Es wurde ein neuer Benutzer Account mit Administrationsrechten angelegt.

15:58:01 Uhr: Das auf den Computern vorhandene Administrations-Tool "PSExec" ermöglicht es dem Angreifer, sich frei auf andere Systeme zu bewegen (Lateral Movement).

16:04:20 Uhr: Paul Müller macht Feierabend und schaltet seinen Computer aus.

16:08:34 Uhr: Über das Anlegen eines Registry-Schlüssels verschafft sich der Angreifer dauerhaften Zugang zum System, auch wenn dieses zwischenzeitlich neu gestartet wird (Maintain Access/Persistence).

17:23:45 Uhr: Die Suche nach vertraulichen Informationen beginnt.

17:33:12 Uhr: Die ersten Dateien werden über eine SSL-verschlüsselte Verbindung auf einen externen dritten Webserver (eine ebenfalls kompromittierte Webseite eines branchenverwandten Betriebes) übertragen.

Sonntag 7.Juli 2019 - 14:25:45 Uhr: Die Datenübertragung ist abgeschlossen. Es wurden rund 380 Megabyte an Betriebsgeheimnissen (Pläne und besonderes Fertigungs-Prozesswissen) übertragen. Der Angreifer hat auf dem Domänen-Controller der Organisation eine Hintertür in Form einer manipulierten DLL-Datei des Windows Betriebssystem hinterlassen und alle anderen Spuren seiner Tätigkeit aus den Event-Logs der betroffenen Systeme gelöscht.


Fazit
Das Beispiel zeigt, wie schnell Betriebsgeheimnisse in falsche Hände geraten können. Es lohnt sich also, seine eigene IT-Abwehrbereitschaft immer wieder unternehmensintern zu prüfen und mit der 1-10-60 Regel zu messen. Selbst wenn Ihr Unternehmen diese schnellen Reaktionszeiten zunächst nicht erreichen kann, so dient sie doch als Benchmark, anhand dem man beispielsweise auf monatlicher oder vierteljährlicher Basis feststellen kann, ob die Tendenz in die richtige Richtung geht und das Unternehmen den heutigen Bedrohungen aus dem Netz standhalten kann.
21.08.2019/ln/Tuncay Eren, Director Central Europe bei CrowdStrike

Nachrichten

Schutz und Kontrolle für macOS-Rechner [13.12.2019]

Mit der neusten Version des Privilege Managers von Thycotic lassen sich Least-Privilege-Zugriffskontrollen ab sofort auch auf Workstations und Laptops umsetzen, die auf macOS laufen. [mehr]

Deutliche Zunahme an Bedrohungen [12.12.2019]

Im Jahr 2019 ist die Zahl einzigartiger, schädlicher Bedrohungsobjekte, die durch die webbasierten Antivirenlösungen von Kaspersky identifiziert wurden, im Vergleich zum Vorjahr um knapp 13,7 Prozent angestiegen, so das Ergebnis der im Rahmen des Kaspersky Security Bulletin 2019/2020 veröffentlichten Jahresstatistik. [mehr]

Kampf der Schatten-IT [9.12.2019]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen