Cyber Defense Archive - SITS

Microsoft Sentinel als Azure SIEM –Vorteile & Kosten

Microsoft Sentinel in Azure – was kann die SIEM-SOAR-Kombination?

Microsoft Sentinel schützt als SIEM-SOAR-Lösung in Azure mit Defender XDR die komplette IT von KMU & Konzernen. Als All in One-Sicherheits-Tool entlastet Sentinel IT-Teams – bei richtiger Implementierung: Dann reduziert das Microsoft SIEM Fehlalarme und Routineaufgaben, SecOps sparen Zeit. Die Kosten des Cloud-SIEM berechnen sich nach Datenverbrauch. Nachteile gibt’s aber auch. In diesem Artikel erfahren Sie alles rund um Microsoft Sentinel, die Integration mit anderen Microsoft-Plattformen sowie alle Vorteile der Lösung:

  • All in One-Sicherheit für KMU & Konzerne: Microsoft Sentinel in Azure schützt als SIEM-SOAR-Lösung mit Defender XDR Ihre komplette IT.
  • Entlastet IT-Teams bei richtiger Implementierung: Automatisierung und KI im Microsoft SIEM reduzieren Routineaufgaben, SecOps sparen Zeit.
  • Sentinel-Kosten nach Datenverbrauch: Das Cloud-SIEM bietet flexible Preise und Skalierbarkeit.

 

Microsoft Sentinel (früher Azure Sentinel) hilft, wenn die Unternehmens-IT in einer Flut an Sicherheitswarnungen untergeht: Wie lassen sich Fehlalarme von echten Bedrohungen unterscheiden? Welche Gefahren sollten zuerst angegangen werden und wie verteidigt man eigene Systeme am besten gegen moderne Angreifer?

Die Antwort ist eine smarte Kombination mächtiger Security-Tools – einer SIEM-Datensammlung (Security Information Event Management), der automatischen Analyse und Reaktion (Security Orchestration Automation Management) sowie einer starken Plattform zum Bekämpfen von Bedrohungen.

Microsoft Sentinel vereint SIEM und SOAR in einer zentralen, Cloud-nativen Security-Plattform: Im Zusammenspiel mit Microsofts Defender XDR (früher Microsoft 365 Defender) bündelt Sentinel die komplette Sicherheitsarchitektur von Unternehmen in der Azure-Cloud. Von SIEM-Überwachung bis zur aktiven Bedrohungsabwehr befindet sich alles unter einem Dach –System-Admins verwalten alles über eine einzige Konsole.

Microsoft Sentinel: Wer profitiert vom All In One-SIEM?

Davon profitieren einerseits Mittelständler, die mit Microsoft Sentinel existenzbedrohende Lücken in ihrer IT-Sicherheit schließen– zuverlässig und trotz begrenztem Budget, etwa durch einen Managed Sentinel Service. 

Und anderseits sorgt es für Ressourcenersparnis bei Konzernen mit komplexen IT-Umgebungen, deren Sicherheit faktisch unter unübersichtlich vielen, teuren und zeitintensiv zu verwaltenden Lösungen leidet. Statt zig Sicherheits-Tools gleichzeitig bezahlen und steuern zu müssen, sparen IT-Abteilungen mit dem „Azure-SIEM“ Microsoft Sentinel samt Defender XDR deutlich Kosten und Aufwand – und erhöhen dabei gleichzeitig signifikant ihre IT-Sicherheit.

Weniger ausgeben, aber die Sicherheit erhöhen – und das funktioniert?
Ja, und zwar nicht nur durch weniger kostspielige IT-Ausfälle und Datenlecks (die deutschen Unternehmen im Durchschnitt 4,3 Millionen Euro pro Vorfall kosten). Tatsächlich bietet sich das Microsoft-SIEM als Paradebeispiel an: Traditionelle SIEM-Lösungen sammeln lediglich Log-Daten und übergeben sie an eine Vielzahl weiterer Tools, etwa an eine Endpoint Detection and Response-Lösung. Dieser fragmentierte Ansatz hat Folgen:

  • Zahlreiche Sicherheits-Tools und Dashboards müssen neben dem SIEM aufwendig integriert, gewartet und im Blick behalten werden.
  • Kosten für Lizenzen und On Premise-Betrieb in der eigenen IT-Infrastruktur laufen aus dem Ruder.
  • Die Datenspeicherung und -verarbeitung verteilt sich auf mehrere Orte, Tools und Hersteller. Das erhöht Sicherheitsrisiken, nicht nur aus CISO-Sicht.

Microsoft Sentinel hingegen ermöglicht eine umfassendere Sicherheitslösung für das Cloud-Zeitalter, indem es sich nahtlos mit der hauseigenen SOAR- und Defender-Plattform verbindet. Die Vorteile:

  • Eine Security-Plattform mit planbaren Kosten pro Gigabyte: Die Cloud-Technologie bietet eine flexible und skalierbare SIEM- und SOAR-Lösung – abgerechnet wird nach Datenverbrauch.
  • Automatisierte Log-Analytics und Reaktion durch integrierte Security Orchestration, Automation and Response mit Defender XDR auf Basis von KI und Automatisierung für schnelle Bedrohungsreaktionen und vereinfachtes Sicherheitsmanagement.
  • Native Integration ins Microsoft-Ökosystem, einschließlich Defender, Microsoft Azure, Azure Firewall und Microsoft 365 mit Exchange, SharePoint, OneDrive, Teams & Co.
  • Mit Security Copilot soll Microsofts SIEM-SOAR-XDR-Plattform künftig von künstlicher Intelligenz profitieren.

Forrester-Studie: Wie Sentinel SIEM mit XDR-Integration Kosten reduziert

Um die Vorteile der Verzahnung von Microsoft Sentinel mit Defender XDR zu veranschaulichen, beauftragte Microsoft bei den renommierten IT-Marktforschern von Forrester 2022 eine Untersuchung mit ausführlicher Kostenkalkulation – veröffentlicht unter dem sperrigen Titel:«The Total Economic Impact Of Microsoft SIEM And XDR, Cost Savings And Business Benefits Enabled By Microsoft SIEM and XDR“. 

Die Ergebnisse beeindrucken: Demzufolge bietet die Microsoft SIEM-XDR-Kombination aus der Azure-Cloud (bestehend aus Microsoft Sentinel und Microsoft 365 Defender / Defender for Cloud) deutliche finanzielle und operationelle Vorteile:

  • In der Forrester-Kalkulation reduzierte sich mit Microsoft Sentinel die Zeit für die Untersuchung von Bedrohungen um 65% und die Reaktionszeit um 88%.
  • Die Zeit für die Erstellung einer neuen Sentinel-Arbeitsmappe beschleunigte sich um 90%.
  • Die Einarbeitungszeit neuer Sicherheitsfachkräfte reduzierte sich um 91%.
  • Das Risiko eines relevanten Sicherheitsvorfalls reduzierte sich um 60%, was laut Forrester beim zur Berechnung herangezogenen Beispielunternehmen einer jährlichen Einsparung von 1,6 Millionen US-Dollar entspricht.
  • Eine starke Steigerung der Produktivität aller Mitarbeitenden, etwa durch reduzierte IT-Ausfallzeiten (im Beispiel-Unternehmen der Studie mit 8.000 Mitarbeitern wurden fast 68.000 Stunden jährlich eingespart).
  • Einsparungen von fast 1,6 Millionen US-Dollar jährlich durch Anbieter-Konsolidierung und Reduzierung vorhandener SIEM- und EDR- und SOAR-Tools.
  • Weitere Vorteile wie verbesserte Sichtbarkeit, Compliance und besseres IT-Asset-Management.

Über drei Jahre gesehen betrug der Return on Investment 207 Prozent und der Netto-Gesamtgewinn fast zwölf Millionen US-Dollar (durch die eingesparten Kosten mit konsolidierten Microsoft SIEM/Sentinel- und XDR-Gebühren, schnellere Bereitstellung und Integration, eingesparte Zeit bei Schulung und laufendem Management, Abwehr und schnellere Behebung von Datenlecks usw.).

Definition: Microsoft Sentinel

Microsoft Sentinel (früher Azure Sentinel) ist eine Cloud-native SIEM- und SOAR-Lösung. Sie unterstützt Unternehmen bei der Erkennung, Untersuchung und Reaktion auf Sicherheitsbedrohungen. Durch die smarte Bündelung von Sicherheitsdaten aus verschiedenen Quellen sorgt Microsoft Sentinel für eine einfache und einheitliche Sicht auf die Sicherheitslage des Unternehmens. Die SIEM-SOAR-Plattform nutzt KI und maschinelles Lernen, um aus Milliarden von Signalen die sprichwörtliche Nadel im Heuhaufen zu finden: Sie identifiziert sicherheitsrelevante Bedrohungen und reagiert sofort auf erkannte Vorfälle. Als Microsoft-Produkt integriert sich Sentinel nahtlos in Azure, Microsoft 365 Defender, Defender für Cloud und andere Microsoft-Produkte, bietet aber auch umfassenden Support für Drittanbieter-Quellen, um eine ganzheitliche und proaktive Sicherheitsstrategie zu realisieren. Diese Integration ermöglicht es SecOps-Teams, Bedrohungen schneller zu erkennen und zu neutralisieren, indem sie die Stärken von SIEM- und XDR-Technologien in einer einzigen Lösung vereint.

So arbeitet Microsoft Sentinel als SIEM

Das Wort „Orchestration“ bei einem SIEM/SOAR kommt nicht von Ungefähr: In einem Orchester arbeiten viele verschiedene Instrumente harmonisch zusammen, um ein beeindruckendes musikalisches Werk zu schaffen. Ähnlich verhält es sich mit der Orchestrierung in der IT-Sicherheit: Hier koordiniert Sentinel die Daten eines SIEM, reagiert per SOAR automatisch darauf und sorgt per Defender sofort für die Gefahrenbeseitigung. Jedes Tool kennt seinen Part und setzt zum richtigen Zeitpunkt an. Und das funktioniert wie folgt:

  • Zentralisierte Datenerfassung: Sentinel aggregiert mit SIEM-Funktionen sämtliche Daten (nicht nur Sicherheitsdaten) aus einer Vielzahl von Quellen – von Endpunkten über Cloud-Dienste bis hin zu Log-Dateien von Anwendungen. Beispielsweise überwacht das Microsoft SIEM Anmeldedaten über verschiedene Plattformen hinweg, um ungewöhnliche Zugriffsversuche, die etwa auf Credential Stuffing hindeuten könnten, frühzeitig zu erkennen.
  • KI-basierte Erkennungsalgorithmen: Durch die Einbindung von Defender XDR profitiert das Sentinel SIEM von fortgeschrittenen Erkennungsmechanismen, die auf KI und maschinellem Lernen basieren. So identifiziert und priorisiert Sentinel automatisch komplexe Angriffsketten, die herkömmliche Erkennungsmethoden umgehen könnten.

So arbeitet Microsoft Sentinel als SOAR

Mit seinen SOAR-Funktionen verringert Sentinel die Zeit, die zwischen der Erkennung und der Reaktion auf eine Bedrohung vergeht – was das Risiko wie auch die Dauer von kostspieligen Ausfallzeiten und Datenlecks reduziert.

  • Dynamische Sentinel-Playbooks: Die Möglichkeit, Reaktionsstrategien für bestimmte Sicherheitsvorfälle zu automatisieren, entlastet das SecOps-Team und gibt Stunden für wichtigere Dinge frei, etwa für strategische Sicherheitsfragen. Beispiel: Ein automatisiertes Playbook erkennt Phishing-Versuche, isoliert und untersucht die betroffenen Daten ohne manuellen Aufwand für einen Admin, noch bevor sich Ransomware installieren oder sonstiger Schaden entstehen kann.
  • Tiefe Integrationen: Die enge Verzahnung mit dem Microsoft Sicherheitsökosystem, einschließlich Defender XDR und Microsoft 365 Defender, erweitert die Überwachungs- und Reaktionskapazitäten über das gesamte digitale Umfeld eines Unternehmens.

Sentinel mit Defender XDR-Anbindung

Erst die Integration von Sentinel mit seinen SIEM- und SOAR-Funktionen in Microsofts Defender XDR schafft eine ganzheitliche Sicherheitslösung, die Echtzeit-Analysen samt Reaktionen ermöglicht.

  • 360-Grad-Rundumblick: Durch die Verknüpfung mit Defender XDR erhält Sentinel umfassende Einsicht in alle Ebenen der IT-Umgebung, von Endpunkten bis hin zu Cloud-Anwendungen. Beispiele: die nahtlose Überwachung von Endpunktaktivitäten und die frühzeitige Erkennung von unautorisierten lateralen Bewegungen innerhalb des Netzwerks.
  • Beschleunigte Incident Response: Die Kombination von Sentinel und Defender XDR ermöglicht schnellere Reaktionszeiten nach identifizierten Bedrohungen.  So erfolgt etwa die Quarantäne betroffener Systeme automatisiert, um eine Ausbreitung frühestmöglich zu verhindern.

Vorteile von Sentinel: Warum das Microsoft-SIEM die richtige Wahl für Ihre IT sein kann

Vorteil 1: Umfassende Integration und Transparenz

Microsoft Sentinel enthält eine native Integration mit Microsoft-Produkten und bietet gleichzeitig mit zahlreichen Data Connectors Möglichkeiten zur Einbindung von mehr als 180 Drittanbieter-Systemen. Diese umfassende Kompatibilität ermöglicht eine zentralisierte Sicht auf Bedrohungen in sämtlichen Datenbeständen über das gesamte digitale Ökosystem hinweg.
Durch die Aggregation von Sicherheitsdaten aus verschiedenen Quellen vereinheitlicht Sentinel die Sicht auf die Sicherheitslage – so können IT-Teams auch verborgene Bedrohungen identifizieren und analysieren.

Vorteil 2: Kosten nach Datenverbrauch und Skalierbarkeit

Die cloudbasierte Infrastruktur von Sentinel bietet eine flexible Preisgestaltung, die sich nach dem tatsächlichen Verbrauch pro Gigabyte richtet. Das hilft, die Gesamtbetriebskosten zu senken. Die Implementierung von Sentinel kann – wenn man der oben genannten Forrester-Kalkulation folgt – das Risiko erheblicher Sicherheitsverletzungen um bis zu 60% reduzieren, was in dem Beispiel-Szenario zu einem ROI von 207% über drei Jahre führte. Hinzu kommt: Als Cloud-native Plattform passt sich Microsoft Sentinel dem Wachstum und den Sicherheitsbedürfnissen des Unternehmens an.

Vorteil 3: Effizienzsteigerung für SecOps-Teams

Mehr Zeit für wichtigere Tasks: Microsoft Sentinel automatisiert Routineaufgaben und hilft SecOps-Teams Ihren Fokus auf kritische Bedrohungen oder strategische Planung zu legen. Durch tiefgreifende Analyseprozesse und maschinelles Lernen minimiert Sentinel zudem die Anzahl von Fehlalarmen und verbessert somit die Genauigkeit der Bedrohungserkennung.

Herausforderungen & Nachteile mit Microsoft Sentinel

Trotz der genannten Vorteile bietet die Implementierung von Sentinel auf einige Herausforderungen: Diese betreffen nicht nur technische Aspekte, sondern auch Kostenstrukturen und die strategische Planung, die oft nur durch erfahrene externe Dienstleister zu bewältigen ist.

Herausforderung 1: Verständnis der tatsächlichen SIEM-Kosten

Zwar basiert das Preismodell von Microsoft Sentinel auf einfachem Datenverbrauch (Preis pro verarbeitete Gigabyte), dennoch berichten Kunden von einer schwer kalkulierbaren Preisgestaltung, insbesondere in Kombination mit anderen Microsoft-Lizenzen – eine saubere Kosten-Nutzen-Rechnung ist somit das A und O.

Herausforderung 2: Microsoft-Bindung und Abhängigkeit

Die einfache Integration von Microsoft-Produkten in Sentinel kann zu einer Abhängigkeit von nativen Microsoft-Funktionen und -Preisen führen: Eine zu starke Abhängigkeit von einem einzigen Anbieter kann die eigene Flexibilität einschränken, wenn man auf einen anderen Service umsteigen möchte. Darum ist es wichtig, die Auswahl von Sicherheits-Tool gründlich zu planen, um solche Abhängigkeiten zu minimieren.

Herausforderung 3: Sentinel-Implementierung und 24/7-Monitoring sind komplex

Mit der Aktivierung einer Sentintel-Lizenz ist es bei Weitem nicht getan: Die 24/7-Wartung kann sich mitunter als große Herausforderung herausstellen, angefangen beim Aufsetzen von Logs über die Einbindung von Datenquellen bis hin zur Feinjustierung im Unternehmen – all das erfordert ein tiefgreifendes Verständnis und entsprechende Ressourcen. Beispiele:

  • Sammeln von Sicherheitssignalen über verschiedene Umgebungen: Microsoft Sentinel muss konfiguriert werden, damit die Sammlung von Sicherheitssignalen wie gewünscht funktioniert – über alle Geräte, Benutzer und Anwendungen hinweg, unabhängig davon, ob sie in der Cloud oder On-Premise sind. Um Bedrohungen effektiv zu identifizieren und zu bekämpfen, ist diese lückenlose Überwachung essenziell. Je nach Grad der Heterogenität und Komplexität einer IT-Landschaft kann diese Aufgabe kompliziert werden – und nicht „nebenbei“ erledigt werden.
  • Fehlalarme und Untersuchungszeiten: „False Alerts“ sind für Sicherheitsteams lästig und zeitfressend – zumal sie die Reaktion auf echte Bedrohungen, die in der Masse untergehen, verzögern. Dies kann schwerwiegende, kostspielige Folgen haben. Durch den Einsatz von KI, maschinellem Lernen und Microsofts Threat Intelligence kann Sentinel Fehlalarme minimieren und die Untersuchung und Reaktion auf Vorfälle beschleunigen. Doch auch hier gilt: Auf die korrekte Implementierung kommt es an.
  • Komplexität der Sicherheitsoperationen: Viele Unternehmen empfinden das Management Ihrer kompletten Security schwieriger als noch vor zwei Jahren. Zudem sehen 70 Prozent der Unternehmen Schwierigkeiten beim Recruiting von gutem Sicherheitspersonal. Die Kombination aus komplexen Lösungen und Fachkräftemangel sorgen für Überforderung – und das wiederum resultiert in möglichen Sicherheitslücken.

Lizenzen & Kosten von Microsoft Sentinel

Vor der Entscheidung für Microsoft Sentinel als Kernelement der IT-Sicherheit entscheiden, müssen sich Unternehmen mit den damit verbundenen Kosten und Lizenzmodellen auseinandersetzen – logischerweise muss Microsofts SIEM-Lösung effektiv budgetiert und rentabel sein. Zu den Kalkulationen zählen nicht nur die Kosten der Plattform selbst, sondern auch die Übertragung von Daten aus On-Premises und Drittanbieter-Cloud-Assets.

Kostenstruktur und Lizenzen von Sentinel

Microsoft Sentinel zeichnet sich auf den ersten Blick durch eine klare und vorhersehbare Kostenstruktur aus, die eine Bewertung seiner Effektivität für Unternehmen aller Größen ermöglicht: Die Sentinel-Preise richten sich, wie eingangs erwähnt, nach den analysierten und den im Azure Monitor Log Analytics-Workspace gespeicherten Daten.

Aber auf den zweiten Blick kommen weitere Kosten hinzu:

  • Azure Monitor-Kosten: Sentinel nutzt Azure Monitor zur Datensammlung, wobei sich die Kosten nach dem Volumen und der Speicherdauer der Daten richten. Dies bietet eine planbare Kostenbasis abhängig vom tatsächlichen Verbrauch.
  • Kosten für Azure Logic Apps: Zur Automatisierung und Erstellung von Playbooks werden Azure Logic Apps eingesetzt. Die Kosten hierfür basieren auf der Anzahl der Ausführungen, was eine flexible Anpassung an die Sicherheitsbedürfnisse erlaubt.

Zusammenfassung

  1. Integrierte Sicherheitsarchitektur: Microsoft Sentinel kombiniert SIEM und SOAR, wodurch Unternehmen ihre gesamte IT-Sicherheit vereinfachen und Geld sparen. Durch die enge Verzahnung mit Defender XDR kann auf Sicherheitsvorfälle viel schneller reagiert werden.
  2. Blitzschnelle Reaktion auf Bedrohungen: Automatisierte Analysen und KI-gestützte Erkennung helfen bei der schnellen Beseitigung von Malware. Die native Integration in das Microsoft-Ökosystem ermöglicht eine schnelle Anpassung an neue Sicherheitsherausforderungen.
  3. Kostenkontrolle und Skalierbarkeit: Als Cloud-Lösung ist Sentinel kostenseitig gut zu kontrollieren und lässt sich schnell skalieren.
  4. Innovation durch KI: Die zukünftige Integration von KI-Tools wie Security Copilot verspricht eine bessere Erkennung von neuen Bedrohungen und entlastet Sicherheitsteams.

 

Die Lösung? Sentinel-Kosten senken mit dediziertem MSSP

Um die Kosten von Tag 1 an unter Kontrolle zu halten und auch im Betrieb nachhaltig zu senken, sollten Sie sich von einem starken Beratungs- und Implementierungspartner beraten lassen. Ein solcher Managed Security Service Provider kann deutlich Kosten bei Microsoft Sentinel sparen und bringt gleichzeitig eine Menge Erfahrung mit.

Threat Intelligence (TI), auch Cyber Threat Intelligence (CTI) genannt, liefert detaillierte und direkt umsetzbare Informationen zur Vermeidung und Bekämpfung von Cyber-Sicherheitsbedrohungen für Unternehmen und Organisationen. TI umfasst detaillierte, umsetzbare Bedrohungsinformationen, die Sicherheitsteams proaktives Handeln ermöglicht. Anhand von TI lassen sich gesteuerte und manuelle Maßnahmen ergreifen, um Cyber-Angriffe zu verhindern, bevor sie auftreten. Darüber hinaus helfen die Bedrohungsinformationen dabei, Angriffe schneller zu erkennen und darauf zu reagieren.

Warum ist Threat Intelligence so wichtig?

Nur mit aktuellen und detaillierten Informationen können Schutzlösungen, wie etwa eine Endpoint Detection and Response-Lösung, kurz EDR, bereits vor einem Angriff wissen, welche Bereiche eines Unternehmensnetzwerks aktuell im Fokus von Angreifern liegen. Neben EDR nutzen auch NDR-, SIEM– oder XDR-Lösungen diese Daten zur Verbesserung der Verteidigung.

Aber gute Threat Intelligence ist nicht nur wichtig für Schutzlösungen. Auch SOC-Teams eines Unternehmens und deren Threat Hunter nutzen die detaillieren Informationen, um direkt Schwachstellen im Unternehmensnetzwerk zu identifizieren und geeignete Gegenmaßnahmen einzuleiten. Setzt ein Unternehmen auf ein Managed-SOC-Team, setzt auch dieses Team Threat Intelligence ein.

Quellen für Threat Intelligence

Sicherheitsanalysten erstellen Bedrohungsinformationen, indem sie „rohe“ Bedrohungsdaten aus verschiedenen Quellen sammeln. Anschließend korrelieren und analysieren sie diese Daten, um Trends, Muster und Beziehungen im Zusammenhang mit tatsächlichen oder potenziellen Bedrohungen aufzudecken.

Eine Plattform, die solche Informationen liefert, ist zum Beispiel AV-ATLASs. Dort finden sich die ausgewerteten Bedrohungsdaten, die von den AV-TEST-Experten gesammelt und von den Analyse-Systemen des Instituts bereitgestellt werden. Die Plattform ist in der Basis-Version für jedermann kostenlos zugänglich und zeigt einen eindrucksvollen Ausschnitt der verfügbaren TI-Daten. Für Unternehmen stellt das System auch Threat Intelligence Feeds bereit, die sich mit Schutzlösungen verknüpfen lassen oder Threat Hunter mit passenden Tools nutzen können. Wie Maik Morgenstern, CTO der AV-TEST und selbst Threat Hunter, anmerkt: „Für die Auswertung eines potenziellen Vorfalls ist gute Threat Intelligence, zum Beispiel in Form von IoC – Indicators of Compromise – für Schutzlösungen sowie Threat Hunter unerlässlich. Mit Hilfe der in der TI enthaltenen TTPs – Tactics, Techniques, and Procedures – lässt sich eine IT-Security-Abwehr- oder Verteidigungsstrategie erst verlässlich planen und umsetzen.“

Weitere Quellen für Threat Intelligence sind CTI-Reports, wie der von AV-TEST, die in kurzen Zeitfenstern, hier wöchentlich, die Sicherheitslage beschreiben und über Angriffskampagnen von APT-Gruppen berichten. Aber auch über große Zeiträume angelegte Reports, wie zum Beispiel Check Point Software’s 2023 Cyber Security Report liefern wichtige Threat Intelligence in einer internationalen Übersicht. Der Bericht nennt Trends, besonders gefährdete Branchen, oft genutzte Angriffs-Tools und Taktiken, sowie Hintergründe zu Netzwerk- und Cloud-Angriffen. Weniger international ausgerichtet, aber nicht weniger informativ ist der aktuelle AV-TEST-Report „Cyber-Vorfälle in Zahlen: Das Jahr 2023“, der frei zum Download steht.

Was steckt alles in Threat Intelligence?

Die verfügbaren Threat Intelligence Feeds haben teils verschiedene Inhalte. Einige Schlüsselkomponenten sind:

  • Bedrohungen, die Unternehmen betreffen: Dabei geht es meist um aktuelle Kampagnen gegen bestimmte Branchen, zum Beispiel deren Lieferketten, die im Fokus von Angreifern stehen und um die Art und Weise, wie diese Attacken ausgeführt werden.
  • Bedrohungsakteure: Mit Hintergrunddaten zu APT-Gruppen und anderen Angreifern lassen sich Abwehrstrategien aus deren bisherigem Vorgehen entwickeln.
  • TTPs – Tactics, Techniques, and Procedures: TTP informiert über Techniken und Werkzeuge, die Angreifer bei ihren Attacken einsetzen.
  • IoCs – Indicators of Compromise: Diese Daten benennen Signale bzw. verdächtige Vorgänge, mit der sich eine Cyber-Attacke ankündigt und identifizieren lässt.
  • Ausgewertete Daten-Streams und Dateien: Aus einem Feed mit gefährlichen URLs wird zum Beispiel eine Endpoint-Schutzlösungen mit EDR versorgt. Diese verhindert aufgrund aktueller Informationen, dass Mitarbeitende eines Unternehmens auf gefährliche Websites gelangen oder als gefährlich klassifizierte Downloads durchführen.
  • Schwachstellenauswertungen: Hinweise zu neuen Schwachstellen, für die es noch keine Patches, aber bereits einen Walktrough oder vorläufige Gegenmaßnahmen gibt, wie etwa die Sperrung eines Netzwerk-Ports oder das Herabstufen von Nutzerrechten.

Die verschiedenen Arten von Threat Intelligence

Die Experten unterteilen Threat Intelligence häufig in drei Kategorien: strategisch, taktisch und operativ. Da diese Einteilung nicht standardisiert sind, wandern die Unterpunkte je nach bearbeitendem Experten etwas in den Kategorien. Klassisch sind sie wie folgt aufgeteilt:

  • Strategische Threat Intelligence: Diese Analyse ist stark zusammengefasst und richtet sich an Nicht-Experten, etwa Vorstandsmitglieder. Dabei wird der Fokus nur auf bedrohte Bereiche gelegt. Weiterhin stehen aktuelle Trends im Mittelpunkt die oft aus öffentlichen Reports stammen. Das Ganze ist eine Art Risikobarometer.
  • Taktische Threat Intelligence: Dabei werden bereits erste praktische Schritte eingeleitet und etwa IoCs genutzt, um Netzwerke zu prüfen und wahrscheinliche Angriffe abzuwehren. Die Informationen kommen meist per TI- oder CTI-Feed und werden in der Regel automatisiert ausgewertet.
  • Operative Threat Intelligence: Dieser Teil bezeichnet die TI während und nach einem Angriff. So werden aktuelle Informationen zu den Taktiken, Techniken und Verfahren (TTP) der Angreifer bewertet und genutzt. Aber auch nach der abgewehrten Attacke gilt es Rückschlüsse zu ziehen, etwa auf Angriffsziele: Hatten es die Angreifer auf bestimmte Daten abgesehen, und falls ja, welche? Oder ist der Angriff vielleicht nur als Test der einzelnen Verteidigungspunkte zu bewerten und der richtige Angriff steht erst noch aus?

Lebenszyklus von Threat Intelligence

Wenn Security-Experten vom Lebenszyklus einer Cyber-Bedrohung sprechen, meinen sie damit eine Aufteilung nach folgenden „Phasen der Bedrohung“:

  • Planning (Richtung)
  • Collection (Erfassung)
  • Processing (Verarbeitung)
  • Analysis (Analyse)
  • Dissemination (Verteilung)
  • Feedback

Dieser Prozess ist nicht einmalig, sondern sollte für eine perfekte und kostenoptimierte Cyber-Verteidigung immer wieder durchgespielt werden.

In der Phase „Richtung“ gilt es, Ziele für die Threat Intelligence zu setzen, etwa welche Teile des Unternehmens besonders geschützt werden müssen und welche Folgen ein Angriff haben könnte.

In der 2. Phase „Erfassung“ werden die Daten und IT-Strukturbereiche definiert, die in der 1. Phase als besonders gefährdet erkannt wurden. In dieser Phase sollte sich ein Unternehmen für die Datenquellen seiner zukünftige Threat Intelligence entscheiden, etwa Reports, Blogs, CTI-Feeds von Sicherheitsanbietern oder auch Metadaten aus dem eigenen Netzwerk, die etwa EDR oder SIEM liefern.

In der 3. Phase „Verarbeitung“ muss geklärt werden, wie der Strom an Information sinnvoll verarbeitet wird. Können verfügbare Systeme diese Feeds bereits direkt verwerten und haben SOC und Threat Hunter die richtigen Tools?

Ist das geklärt, geht es in die Phase 4, die „Analyse“. Dabei sollen die Informationen ausgewertet und in praktisch verwertbare Erkenntnisse transformiert werden. Die Ergebnisse dieser Prüfung zeigen auch schnell, ob noch wichtige Security-Tools fehlen und ob etwas das aktuelle Security-Budget ausreichend bemessen ist.

Die Phasen 5 und 6, „Verteilung“ und „Feedback“, nutzen die eigentlichen Erkenntnisse des Lebenszyklus von Threat Intelligence. Die Schlussfolgerungen müssen innerhalb der unterschiedlichen Teams eines Unternehmens umgesetzt werden, etwa dem SOC und der klassischen IT-Abteilung. Aber auch die Unternehmensleitung sollte in diese Phasen eingebunden sein. In der Feedback-Phase müssen die Verantwortlichen Abteilungs- und Projektleiter sicherstellen, dass alle Phasen zuvor auch sinnvoll für die Sicherheitsanforderungen und -ziele umgesetzt sind.

Die IoT-Welt wächst und mit ihr die Sicherheitsbedrohungen

Das Internet der Dinge (Internet of Things = IoT) verändert die Arbeitswelt. Hersteller integrieren zunehmend fortschrittliche Technologien wie Cloud Computing, Datenanalyse und maschinelles Lernen in ihre Produkte. Die potentielle Wertschöpfung durch IoT ist bereits jetzt riesig und wächst stetig weiter. McKinsey schätzt, dass die IoT-Wertschöpfungsrate bis 2030 weltweit 12,5 Milliarden US-Dollar erreichen könnte. Davon profitiert aktuell insbesondere hochspezialisierte Wirtschaftsbereiche. Von Anwendungen in der Medizintechnik, der Logistik und im Verkehr bis hin zu Lösungen für smarte Fabriken – IoT ebnet den Weg für einen umfassenderen digitalen Wandel, der riesige Datenmengen erzeugt, speichert, analysiert und über ein ständig wachsendes globales Netz überträgt.

Palo Alto Networks zufolge führt die rasche Entwicklung und Einführung von IoT-Technologie bereits zu einem Wandel der Geschäftsabläufe. IoT-Geräte machen heute wahrscheinlich schon weit mehr 30 Prozent aller Geräte in Unternehmensnetzwerken aus. Die von diesen Geräten gesammelten Daten liefern eine Fülle wertvoller Informationen, die Entscheidungsfindung in Echtzeit und die Erstellung präziser Prognosemodelle ermöglichen. Darüber hinaus ist das Internet der Dinge ein wichtiger Wegbereiter für den digitalen Wandel in Unternehmen und hat das Potenzial, die Produktivität von Angestellten, die Unternehmenseffizienz und die Rentabilität zu steigern sowie die Erfahrungen der Belegschaft insgesamt zu verbessern.

IoT-Sicherheit gewinnt an Bedeutung – auch für Cyber-Kriminelle

Die Kehrseite der Medaille: Die Verknüpfung von Produktionsanlagen (Operational Technology = OT) mit IoT-Technologien und anderen fortschrittlichen Lösungen bietet neue Angriffspunkte für Cyberangriffe. Milliarden von vernetzten Geräten schaffen schließlich jede Menge potenzieller Schwachstellen in Unternehmen. So hat sich laut McKinsey mit der zunehmenden Vernetzung die Zahl der Angriffsmöglichkeiten drastisch erhöht. Vor dem Einsatz von IoT musste ein großes Unternehmensnetzwerk möglicherweise bis zu 500.000 angreifbare Endpunkte berücksichtigen, während IoT ein IoT-Netzwerk Millionen oder sogar mehrere Millionen solcher Endpunkte umfassen kann.

Wie groß die Bedrohung durch die Nutzung von IoT-Geräten tatsächlich ausfällt, zeigt ein aktueller Bericht von Asimily mit  dem Titel «IoT Device Security in 2024: The High Cost of Doing Nothing». Er analysiert aufkommende Angriffstrends, die auf IoT-Infrastrukturen abzielen, und skizziert mögliche Konsequenzen für Unternehmen, die keine ausreichenden Schutzmaßnahmen ergreifen. Dem Bericht zufolge zählen vor allem bereits bekannte Sicherheitslücken zu den größten Problemen: 34 der 39 am häufigsten genutzten IoT-Schwachstellen sind im Durchschnitt bereits länger als drei Jahre bekannt. Router machen 75 Prozent der infizierten IoT-Geräte aus, da sie als Gateways für den Zugriff auf andere Knoten in einem Netzwerk dienen. Sicherheitskameras, digitale Beschilderungssysteme, medizinische Geräte und industrielle Kontrollsysteme gehören ebenfalls zu den am häufigsten angegriffenen Geräten.

Risiken beim Einsatz von IoT in Unternehmen

Je nach Anwendung birgt eine Sicherheitsverletzung in einer industriellen IoT-Umgebung verschiedene Risiken. Angefangen bei der Preisgabe wichtiger Informationen, die für den Betrieb des Unternehmens oder die Herstellung eines Produkts entscheidend sind, über Beschädigung industrieller Steuerungssysteme bis hin zur Kompromittierung der hergestellten Produkte. Ein Beispiel: Ein Angreifer verschafft sich Zugang zum Netzwerk eines Autozulieferers und manipuliert unbemerkt die Maschineneinstellungen eines Bremsenbauteils. Das kann dazu führen, dass die Bremsen bei Belastung plötzlich versagen. Sowohl der materielle als auch der immaterielle Schaden für das Unternehmen ist kaum zu beziffern.

IoT ist anfällig für Schwachstellen

Die industrielle IoT-Architektur bezieht sich auf die Sammlung aller IoT-Elemente in intelligenten Fabriken. Obwohl sie sich von Unternehmen zu Unternehmen unterscheidet, umfasst sie immer Geräte mit Sensoren und Aktoren, Netzwerkelemente, Datenbanken, Analysewerkzeuge und Geschäftsanwendungen. Jede Komponente birgt spezifische Sicherheitsrisiken für die gesamte Produktionsumgebung.

Wie Palo Alto Networks erläutert, ist jedes vernetzte IoT-Gerät ohne robuste Sicherheitsvorkehrungen anfällig für Einbrüche, Kompromittierungen und die Kontrolle durch böswillige Akteure, die in das System eindringen, Nutzerdaten stehlen und Systeme zum Absturz bringen. Da sich immer mehr unterschiedliche IoT-Geräte mit dem Netz verbinden, vergrößert sich gleichzeitig die Angriffsfläche dramatisch. Dies hat zur Folge, dass die gesamte Netzwerksicherheit in Bezug auf die Integrität und den Schutz des am wenigsten sicheren Geräts abnimmt. Zusätzlich zu diesen Herausforderungen sind 98 Prozent des gesamten Datenverkehrs von IoT-Geräten meist unverschlüsselt, wodurch vertrauliche Daten einem hohen Risiko ausgesetzt sind.

Verschiedene Angriffe auf das industrielle IoT zielen darauf ab, die Sicherheit verschiedener Elemente des IoT-Ökosystems zu beeinträchtigen, z. B. die Netzwerkkommunikation, IoT- und OT-Software und -Anwendungen sowie physische Geräte. DDoS, Geräte-Hijacking oder Spoofing und Man in the Middle-Angriffe sind nur einige der Sicherheitsprobleme in diesem Zusammenhang. Die Folgen eines einzelnen Cyber-Angriffs sind je nach Angriffsziel unterschiedlich, doch am häufigsten und gefährlichsten ist die Offenlegung sensibler Daten. Die Tabelle zeigt die häufigsten IoT-Angriffe und ihre Auswirkungen auf OT-Fabriken.

IoT-Angriffsrisiken im Überblick

Angriffe Auswirkungen
Hardware
  • Reverse engineering
  • Physical tampering
  • RF jamming
  • Denial-of-sleep attack
  • Side-channel attacks
  • Counterfeit hardware
  • Configuration manipulation
  • Zugang zu sensiblen Informationen
  • Datenflusskontrolle
  • Ressourcenvernichtung
  • Serverabschaltung

 

 

 

Software
  • Malware, Ransomware, Spyware
  • Bot/botnets
  • Blended threats
  • Rootkits
  • Forced deadlock
  • Exploitation of trusted identifiers
  • Code injection
  • Brute-force attacks
  • SQL injections
  • Cross-site scripting (XSS)
  • Offenlegung sensibler Daten
  • Unterbrechung von Daten
  • Unbrauchbarkeit von Software
  • Blockierung des Zugriffs auf Dateien
  • Denial of Service
 

 

Kommunikation
  • DoS/DDoS attacks
  • Eavesdropping (sniffing and spoofing attacks)
  • Man-in-the-middle attacks
  • Session hijacking
  • DNS tunneling
  • Port scanning
  • Protocol manipulation attacks
  • Jamming
  • Traffic analysis
  • Sinkhole attacks
  • URL poisoning
  • Netzwerküberflutung und -überlastung
  • Datendiebstahl
  • Unbefugter Zugriff auf Datenbanken
  • Systemabstürze
  • Malware-Tunneling
  • Routing-Schleifen

Sicherheit im IoT erreichen

Bei IoT-Geräten handelt es sich um zweckgebundene Produkte, die eine begrenzte Anzahl von Aktionen ausführen. Beispielsweise stellen sie eine Verbindung zu einem Netzwerk her und übertragen und empfangen Daten. Typische Beispiel für IoT-Geräte in Unternehmen sind zudem Barcode-Scanner, intelligente Glühbirnen und Sicherheitskameras sowie Mess- und Regelsensoren. IoT-Geräte unterscheiden sich von IT-Geräten wie PCs zum einen dadurch, dass sie in der Regel nur eine spezifische Aufgabe haben. Außerdem unterstützen viele keine Software-Updates und Sicherheits-Patches. Wird eine Schwachstelle in Software oder Firmware gefunden, ist es schwierig, sie vor Ausnutzung und Kompromittierung zu schützen. Ein weiterer Unterschied besteht darin, dass IoT-Geräte oft auch unbemerkt in einem Netzwerk auftauchen. Darüber hinaus ist ihr einzigartiges Netzwerkverhalten für Administratoren, die eher an die Verwaltung von Notebooks und Desktops gewöhnt sind, aufgrund ihrer speziellen Bauweise problematisch. Aus diesen Gründen ist es zwingend erforderlich, dass alle Unternehmen ihre Cyber-Sicherheitsmaßnahmen weiterentwickeln und proaktive Schritte durchführen, um dieser zunehmend komplexen IoT/OT-Bedrohungslandschaft zu begegnen.

Die wichtigsten IoT-Sicherheitsmaßnahmen

Die folgenden Maßnahmen der SITS-Checkliste für IoT-Sicherheitsmaßnahmen sind daher unerlässlich, um eine wirksame Sicherheitsstrategie zu implementieren und die mit IoT/OT-Bedrohungen verbundenen Risiken zu verringern:

  • Zero-Trust-Architektur implementieren
  • Überblick über alle Geräte behalten
  • Schwachstellen proaktiv identifizieren
  • Gesamten Datenverkehrs überprüfen
  • Echtzeit-Überwachung einrichten
  • Regelmäßige Updates sicherstellen
  • Veraltete Geräte aufspüren
  • Sicherheitsrisikobewertung durchführen
  • Einrichtung einer industriellen entmilitarisierten Zone (IDMZ)

Fazit IoT Security

Die Einführung von IoT- und OT-Geräten bietet Unternehmen erhebliche Vorteile, birgt aber auch große Risiken. Ein moderner Zero-Trust-Ansatz ist erforderlich, um IoT- und OT-Geräte in großem Maßstab effizient und sicher zu verwalten. Führungskräfte müssen die Cybersicherheit darüber hinaus auf allen Organisationsebenen berücksichtigen, indem sie Sicherheitsrichtlinien einführen, Schutzmechanismen implementieren und ihre Mitarbeiter schulen. Wenn Sie auf der Suche nach einem zuverlässigen Partner sind, der Sie beim Schutz Ihrer IoT-Systeme berät und unterstützt, steht Ihnen SITS gerne zur Seite.

Im Oktober 2023 kam es in 72 Kommunen im südlichen Westfalen zum Supergau in der Behörden-IT. In der Nacht hatten Hacker den kommunalen IT-Dienstleister mittels Ransomware angegriffen. Neben den Verwaltungen fielen auch bei Schulen die Systeme aus. Ähnlich erging es der Messe Essen, die ebenfalls mit Ransomware bedroht wurde:  Cyberkriminelle kaperten den Kartenshop und stahlen personenbezogene Daten wie Adressen und E-Mails. Ein stabiles Sicherheitsnetz kann folgenschweren Ransomware-Attacken den Schrecken nehmen.

Was ist Ransomware?

Was Ransomware so gefährlich macht, erklärt bereits ihr Name: Diese Schad-Software (Malware) blockiert den Zugriff auf Computersysteme oder Dateien, bis eine Geldsumme (Englisch: Ransom) gezahlt wird. Normalerweise verschlüsselt die Software die Dateien auf dem Gerät des Opfers, so dass diese nicht mehr zugänglich sind. Um den Decryption-Schlüssel für die abgegriffenen Informationen zurückzuerhalten, sollen Firmen, Behörden oder Organisationen den Hackern Lösegeld zahlen.

Warum ist Ransomware so gefährlich?

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gab es 2023 mehr als 2.000 Schwachstellen in Software-Produkten. Das ist ein Zuwachs von 24 Prozent im Vergleich zum Vorjahr. 66 Prozent aller Spam-Mails waren versteckte Cyber-Angriffe. Vor allem für Unternehmen und Behörden ist Ransomware laut BSI die Top-Bedrohung schlechthin. Durchschnittlich 775 E-Mails mit Schadprogrammen wurden an jedem Tag im Berichtszeitraum in deutschen Regierungsnetzen abgefangen. Hinzukommen 370 Webseiten, die im Durchschnitt jeden Tag aufgrund von Schadprogrammen für den Zugriff gesperrt werden mussten.

Es ist die Mischung aus finanziellen Anreizen und zerstörerischer Kraft, die Ransomware so gefährlich macht. Zudem entwickeln Hacker Ransomware-Attacken ständig weiter und es kommen immer raffiniertere Techniken zum Einsatz, etwa neue Verschlüsselungsmethoden, anonyme Zahlungssysteme wie Krypto-Währungen und Social Engineering. Auf diese Risiken müssen Sie sich einstellen:

  • Datenschutzverletzungen: Manchmal drohen Angreifer mit der Freigabe sensibler Daten, sollte kein Lösegeld gezahlt werden. Das kann zu Datenschutzverletzungen, Bußgeldern und rechtlicher Haftung für das betroffene Unternehmen führen.
  • Finanzielle Schäden: Ransomware-Angriffe können Einzelpersonen, Unternehmen und Organisationen finanziell treffen, denn sie sind oft gezwungen, Lösegeld zu zahlen, um wieder Zugriff auf ihre Dateien zu erhalten. Vorsicht: Selbst, wenn gezahlt wird, gibt es keine Garantie, dass der Entschlüsselungsschlüssel auch mitgeteilt wird oder dass die Entschlüsselung wirklich funktioniert.
  • Störungen und Zeitverlust: Ransomware-Angriffe können Betriebsabläufe erheblich stören, was zu Ausfallzeiten, Produktivitätsverlusten und Image-Schäden führt.
  • Schnelle Ausbreitung: Ransomware kann sich schnell über Netzwerke und Geräte ausbreiten und mehrere Systeme innerhalb eines Unternehmens oder zwischen verschiedenen Firmen infizieren. Sie kann Unternehmen, Staaten und kritische Infrastrukturen weltweit treffen und weitreichende Störungen verursachen.

Einige Beispiele, wie Ransomware Computer infiziert, sind Malvertising (bösartige Werbung auf legitimen Websites), Phishing-Mails (mit gefährlichen Links oder Anhängen) oder Exploit-Kits, die Schwachstellen in Software, Betriebssystemen oder Netzwerkdiensten automatisiert ausnutzen. Hinzukommen Drive by Downloads, kompromittierte Webseiten, die Ransomware automatisch auf die Systeme von Website-Besuchern herunterladen).

Welche Arten von Ransomware gibt es?

Außerdem gibt es verschiedene Formen von Ransomware, die sich in der Art ihrer Angriffsvektoren und Verhaltensweisen unterscheiden.

  • Locker Ransomware: Bei dieser Sperrbildschirm-Variante wird der Zugriff auf den Computer oder spezielle Funktionen des Betriebssystems gesperrt.
  • Encrypting Ransomware: Dateien werden auf dem infizierten System mithilfe starker Verschlüsselungsalgorithmen verschlüsselt.
  • Master Boot Record (MBR) Ransomware: Sie infiziert den MBR eines Computers, was dazu führen kann, dass das Betriebssystem nicht mehr richtig startet.
  • Mobile Ransomware: Diese Schadsoftware zielt auf mobile Geräte wie Smartphones und Tablets ab. Sie kann sich über infizierte Apps, schädliche Links oder Drive by-Downloads verbreiten und persönliche Daten verschlüsseln und den Zugriff blockieren.
  • Netzwerk-Ransomware: Sie breitet sich innerhalb eines Netzwerks aus und infiziert mehrere Computer oder Server. Gemeinsam genutzte Netzwerkressourcen, Schwachstellen in Netzwerkprotokollen oder ungesicherte Remote Desktop-Verbindungen sind das Eingangstor für Hacker.
  • Dox- oder Leakware: Hierbei drohen Angreifer, gestohlene oder verschlüsselte Daten der Opfer zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Diese Form von Ransomware zielt darauf ab, Opfer durch die Veröffentlichung sensibler Informationen zu erpressen, anstatt nur den Zugriff auf Dateien zu verweigern.
  • Ransomware as a-Service (RaaS): Cyber-Kriminelle bieten sogar Ransomware-Kits als Abonnement an. Durch vorgefertigte Tools können so selbst technisch Unerfahrenere Ransomware-Angriffe in die Wege leiten.

Wie erkennt und bekämpft man Ransomware?

Die frühzeitige Aufdeckung von Ransomware ist entscheidend, um die Auswirkungen auf Ihr System und Ihre Daten möglichst klein zu halten. Hierauf sollten Sie diesbezüglich achten:

  1. Installieren Sie verlässliche Antiviren- und Anti-Malware-Software!
  2. Setzen Sie auf verhaltensbasierte Detection: Es gibt verhaltensbasierte Erkennungstechniken, die Ransomware anhand ihrer Aktionen und nicht anhand ihrer Signatur identifizieren. Hierzu gehören die Überwachung des Systemverhaltens auf ungewöhnliche Dateiverschlüsselungsmuster oder Versuche, Systemeinstellungen zu ändern.
  3. Klären Sie Mitarbeitende über die Risiken von Ransomware auf und sensibilisieren Sie sie, verdächtige Aktivitäten auf ihren Computern zu melden. So können IT- und Sicherheitsteams schneller auf potenzielle Ransomware-Infektionen reagieren und Auswirkungen reduzieren.
  4. Nutzen Sie Mechanismen zur Erkennung von Anomalien. Dies können eine plötzliche Zunahme von Dateiverschlüsselungsaktivitäten, unbefugte Zugriffsversuche oder ungewöhnliche Netzwerkverkehrsmuster sein.
  5. Verwenden Sie Tools zur Überwachung der Dateiintegrität, um Änderungen an Dateien und Verzeichnissen zu verfolgen.
  6. Analysieren Sie den Netzwerkverkehr auf Anzeichen von Ransomware-Kommunikation, etwa Verbindungen zu bekannten Befehls- und Kontrollservern, die von Ransomware-Betreibern verwendet werden. Intrusion Detection and Prevention Systeme (IDPS) helfen, verdächtige Verbindungen in Echtzeit zu blockieren.
  7. Überwachen Sie Benutzeraktivitäten in Ihrem Netzwerk, um ungewöhnliche Aktionen zu erkennen.
  8. Setzen Sie Lösungen für Endpoint Detection and Response (EDR) ein, die Echtzeiteinblicke in die Aktivitäten von Endgeräten bieten und eine schnelle Reaktion auf potenzielle Bedrohungen ermöglichen.
  9. Implementieren Sie SIEM-Lösungen, die Sicherheitsereignisdaten aus verschiedenen Quellen in Ihrem Netzwerk sammeln und analysieren. Mit SIEM-Plattformen lassen sich Ereignisse korrelieren, potenzielle Sicherheitsvorfälle identifizieren und die Reaktion auf Ransomware-Angriffe erleichtern.

Info: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einige Hinweise zur Abwehr von Ransomare-Angriffen zusammengestellt. Zu den zentralen Aspekten, die Unternehmen in ihrer Sicherheitsstrategie abdecken sollten, zählt das BSI Patches und Updates, Remote-Zugänge, Maßnahmen für E-Mails und Makros, die Ausführung von Programmen, Virenschutz, Administrator-Konten, Netzwerksegmentierung, Backups und Datensicherungskonzept, Netzlaufwerke sowie ein Notfallplan für das „Worst-Case-Szenario“ (alle Systeme im Netzwerk sind verschlüsselt und ein Erpressungsschreiben liegt vor).

Wenn es in der Cyber-Sicherheit um Threat Hunting geht, gleiten die Gespräche oft in eine Welle von Fachbegriffen ab, wie IoA – Indicator of Attack, IoC – Indicators of Compromise oder TTP – Tactics, Techniques and Procedures. Die Begriffe sind natürlich wichtig, aber sie sagen wenig über das Konzept aus, welches hinter Threat Hunting steht und was diese Technik ausmacht.

Wer sind die Threat Hunter?

Nicht alle Threat Hunter haben die gleichen Aufgaben bei der Suche nach neuen Angriffswellen oder der Auswertung von Codes, Skripten sowie klassischen Daten- und Datenbank-Analysen. Grob eingeteilt ergeben sich vier Gruppen, wobei die ersten drei mehr Daten liefern, die auch Threat Hunter in Unternehmen als Thread Intelligence nutzen:

  • Evangelisten: Diese Fachleute sind zwar keine direkten Threat Hunter, haben aber teils seit Jahrzehnten einen hervorragenden Überblick über die jeweils aktuelle IT-Bedrohungslandschaft und wissen, wie sie bereits ausgewertete Daten interpretieren müssen. Sie liefern wichtiges Datenmaterial, das zu Thread Intelligence-Daten wird. Ein Beispiel dafür ist der Computersicherheits-Experte und Threat Hunter Mikko Hyppönen. Er jagte schon in Netz die Angreifer und wertete ihre Daten aus, als all diese Begrifflichkeiten noch nicht definiert waren. Es lohnt sich, seine Auftritte und Vorträge zu verfolgen. Seine Vorhersagen, auch für viele Jahre in die Zukunft, bewahrheiten sich leider nur zu oft, wie etwa sein frühes Zitat zu IoT: „if it’s smart, it’s vulnerable“.
  • Forscher: An vielen Universitäten forschen Expertenteams und betreiben Threat Hunting, indem sie untersuchen, was alles mit neuen Techniken möglich ist und welche Wege Angreifer aktuell nutzen und in Zukunft nutzen werden. Ganz vorne dabei sind hier etwa das amerikanische MIT CSAIL oder auch das Fraunhofer Institut SIT.
  • Heads: Einige Spezialisten wollen offiziell gar nicht bekannt sein, sondern stehen ausschließlich untereinander in Kontakt und tauschen sich aus. Etwas bekannter ist das Check Point Research-Team, welches in seinem Blog beschreibt, wie es erst Threat Hunting betreibt und danach den genauen Ablauf eines Malware-Angriffs in allen Schritten analysiert. Etwa, wie ein Angriff auf ein Mobile Device Management-System – MDM – ablief. Zuerst stellte das Team die Taktik vor und dann jagte es dem Angriff Schritt für Schritt hinterher. Die Dokumentation zeigt dabei die Skripte, Codes, verwendete Ports und Tools. Aber auch Institute, wie etwa das AV-TEST-Institut, betreiben aktives Threat Hunting. AV-TEST nutzt dazu eigene Analyse-Maschinen und produziert durch deren Datenstrom und Voranalysen viele Informationen als „Threat Intelligence“ (TI) – die Grundlage für Threat Hunting.
  • SecOps-Experten: Diese größte Gruppe ist die eigentliche Säule des täglichen Threat Huntings. Sie profitieren von den Analysen der Evangelisten, Forscher und Heads. Diese Experten arbeiten in vielen SecOps-Abteilungen von Security-Herstellern und Dienstleistern, die Managed SOC als Service anbieten. Viele Detection-Systeme produzieren Datenströmen mit Anomalien, die zuerst mit Machine Learning (ML) oder KI ausgewertet werden. Der wichtige Rest, die eigentliche Threat Intelligence, dient dann zur Untersuchung und zum Threat Hunting. Durch die permanente Auswertung erkennen die Spezialisten Teams Anfälligkeiten und geben diese als Erkennungsdaten weiter. Diese sorgen für die passende Abwehr von Exploits, klassifizieren Schwachstellen oder leiten Gegenmaßnahmen zu Angriffskampagnen ein.

Threat Intelligence – TI – die Quelle der Threat Hunter

Einfach übersetzt ist Threat Intelligence die Sammlung aller Informationen, die Threat Hunter zur Untersuchung von Anomalien nutzen. Fragt man den CTO und Threat Hunter Maik Morgenstern von AV-TEST, so ist klar „ohne gute Threat Intelligence aus verschiedenen Quellen und IT-Security-Tools kann Threat Hunting nicht funktionieren“.

Ein solcher Datenstrom kann sich aus vielen Teilen zusammensetzen. Arbeiten Threat Hunter zum Beispiel im SecOps eines Unternehmens, so nutzen sie alle Daten, die ihnen die lokalen Security-Tools zur Verfügung stellen. Das sind neben Netzwerkprotokollen und Strukturdaten zur IT-Infrastruktur besonders Daten einer EDR-, XDR- (mit NDR) oder SIEM-Lösung. Die Tools kennen die IT-Struktur und zeichnen alle Datenbewegungen im Netz auf, erkennen Abhängigkeiten von Software und deren Kommunikation im Netzwerk, vom Client-PC bis hin zur Cloud-Anwendung.

Meist prüfen Threat Hunter auffällige Vorgänge, Anomalien oder recherchieren nach Schwachstellen aufgrund von Hinweisen oder bereits veröffentlichten Schwachstellen. Bestenfalls sind diese bereits als CVE (Common Vulnerabilities and Exposures) in einer öffentlichen Datenbank beschrieben. Experte Maik Morgenstern von AV-TEST kennt hierzu ein praktisches Beispiel: „Ist etwa bekannt, dass eine aktuelle Malware-Kampagne nach einer Infizierung den Port 777 zur Kommunikation nutzt, so kann ein Threat Hunter auch Checks durchführen, ob sein Unternehmen vielleicht betroffen ist und den Angriff so verfolgen. Er kann aber auch Schaden abwenden, indem er dem Port intensiver überwachen lässt oder sogar präventiv sperrt.“

Erst Threat Hunter, dann Forensiker

Threat Hunter suchen unablässig im eigenen Netzwerk nach Anomalien oder anderen Auffälligkeiten. Dazu nutzen sie Threat Intelligence, das Wissen aus aktuellen Vorfällen, die woanders abgelaufen sind. Finden sie die gesuchten Vorgänge, ausgeführte Dateien und Zugänge, übergeben sie diese wichtigen Informationen meist an das Incident Response-Team, welches den Angriff stoppt. Dabei helfen wieder EDR-, XDR- (mit NDR) oder SIEM-Lösungen, da sich über diese schnell umfassende Netzwerkregeln und weitere Aktionen ausrollen lassen und die weitere Überwachung sicherstellen lässt. Erst wenn der Angriff und alle Zugriffe eingedämmt sind, kommen Forensiker zum Zug, da sie die besseren Analysten für gefährliche Skripte, Codes oder zum Angriff genutzte Malware sind.

Warum für CISOs und CTOs Threat Hunting wichtig ist

  • Threat Hunting gibt es einen besseren Überblick über die aktuelle Bedrohungslage im eignen Netzwerk. Wird eine Gefahr oder ein Angriff ermittelt, geht es weiter mit dem Incident Response-Team und abschließender Forensik.
  • Threat Hunter nutzen nicht nur vorhandene IT-Security-Analyse-Systeme, wie EDR-, XDR- (mit NDR) oder SIEM-Lösungen, die mit Endpoint-Security zusammenarbeiten. Sie können darüber hinaus Systeme trainieren, Regeln implementieren und so Angriffsvektoren verkleinern.
  • Threat Hunter sind meist gut vernetzt und haben so auch tiefe Einblicke in Foren, die potentielle Angreifer nutzen, um sich auszutauschen. Threat Hunter durchsuchen das Darknet, in dem oft gestohlene Zugänge oder andere Unternehmensdaten von Kriminellen gehandelt werden. Eine solche Recherche kann auch einen Datenverlust oder einen digitalen Einbruch ans Licht bringen, den bislang noch niemand bemerkt hat.
  • Jeder CISO und CTO sollte selbst einmal zehn Minuten lang Threat Hunting betreiben, etwa über einen Blick in Shodan.io, eine Suchmaschine für per Internet verbundene Geräte mit IP-Adresse. Sucht man dort etwa nach „VMware vCenter“-Server, welche ohne Patch via Port 443 angreifbar sind, präsentiert Shodan im Test über 1.700 angreifbare Server. Ist auch ihr Unternehmen in der Liste mit dabei?