Fünf Tipps für die Hacker-Jagd in Firmennetzen

David J. Bianco, IT-Security-Architect beim Anbieter Sqrrl, gibt fünf Praxis-Tipps für Unternehmen, die Hacker abwehren wollen, bevor diese Schaden anrichten können.

Ein simples Überwachen von IT-Systemen, Firewalls und Intrusion-Detection-System reiche heute schon lange nicht mehr aus, erklärt Bianco auf Darkreading.com. Aktuelle Bedrohungen verlangen eine aktivere Rolle beim Aufspüren und Isolieren komplexer Angriffe. Seine Tipps für die Praxis:

  1. Big Data: Bianco rät, die Daten von den wichtigen Security-Daten-Domains zu sammeln: Netzwerk-Transaktionen, Betriebssystem-Events und Applikationslogs. Man solle mit einer Teilmenge der Quellen starten und die Datenmenge langsam wachsen lassen. Authentifizierungs-Protokolle für Betriebssysteme und Anwendungen seien ein guter Anfang. Ebenso einige der häufigeren Arten von Netzwerk-Transaktionen, wie HTTP-Server und Proxy-Logs sowie Netflow-Datensätze. E-Mails, Mitarbeiterdaten und Zugangsrechte können dabei helfen, interne Bedrohungen und Anomalien zu erkennen. Da sich erweiterte Angriffe oft für Wochen oder Monate der Beobachtung entziehen können, kann es sinnvoll sein, diese Daten für ein Jahr oder länger zu speichern. Hierzu empfehlen sich Plattformen wie Apache Hadoop.
  2. Fragen stellen: Eine wichtige Frage wäre: "Werden Daten illegal kopiert oder transferiert?” Eine Hypothese wäre: "Wenn dies stattfindet, wo ist es am wahrscheinlichsten?” Dabei kann man Subnets überprüfen und versuchen herauszufinden, welche Protokolle der Angreifer verwenden würde und wie diese Aktivität in den Protokollen aussehen würde. Ein Hacker könnte Daten zum Beispiel durch FTP-Uploads stehlen – oder per HTTP, um mögliche Firewall-Einschränkungen zu umgehen. Admins müssen lernen, dass Angreifer ihre Ziele auf verschiedenen Wegen erreichen können und müssen Daten aus mehreren Blickwinkeln überprüfen, um dies zu kompensieren.
  3. Auf alle Daten achten: Um tief verwurzelte Bedrohungen zu finden, muss die Jagd nach Hackern dynamisch und anpassungsfähig sein. Darüber hinaus müssen Spuren eines Angreifers komplett ausgewertet werden können. Dazu gehört es beispielsweise, auf Betriebssystem-Ereignisse zu achten, auf Netflow-Daten und dann auf Anwendungsprotokolle. Das Toolset muss diese Art der schnellen Datenexploration unterstützen. Sobald ein Element von Interesse gefunden wird, muss es schnell identifiziert werden – einschließlich seines Kontextes und seiner Beziehungen zu anderen Daten im Netzwerk.
  4. Eine Strategie entwickeln: Kill-Chain-Mapping bietet einen nützlichen Rahmen um auf die Jagd nach Hackern zu gehen. In der Regel sollte man sich zunächst auf die letzten beiden Phasen der Kill-Chain konzentrieren (Command and Control und Act on Objectives). Hier hinterlassen Angreifer in der Regel die größten digitalen Spuren. Mit einer einfachen Strategie zu arbeiten kann eine Menge Zeit sparen.
  5. Daten-Wissenschaft betreiben: Data-Science wird in Sachen Sicherheitsbemühungen immer wichtiger. Im Allgemeinen wird ein Unternehmen so viele Daten speichern wollen, wie es kann. Wer tatsächlich Terabyte oder sogar Petabyte an Informationen nutzen möchte, benötigt eine intelligente und effektive Art, damit sinnvoll zu arbeiten. Mit Statistik-Tools lässt sich die Wirksamkeit einer Hacker-Abwehr vervielfachen, indem sie häufige Aufgaben wie die Aktivitätsüberwachung automatisieren. Oder sie suchen nach merkwürdigen Einheiten in einem Datensatz. Hacker-Jäger brauchen solche Tools, um mit Daten-Wissenschaft arbeiten zu können, ohne selbst Daten-Wissenschaftler zu werden.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates. 

Der ganze Artikel: TechNet Blog Deutschland : sicherheit