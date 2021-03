Moderne Malware verbreitet sich oft unerkannt im Netzwerk, bevor sie zuschlägt. Dagegen helfen nur intelligente, vernetzte Sicherheitsstrategien.

Laut dem Ponemon-Institut dauert es im Durchschnitt 315 Tage, bis eine Cyberbedrohung erkannt und eingedämmt werden kann. Cyberkriminelle haben daher oft viel Zeit, sich erst einmal in aller Ruhe in einem Netzwerk umzusehen, bevor sie zuschlagen. Die extrem lange Zeitspanne zwischen Infektion und Reaktion hat mehrere Gründe. Zum einen gelingt es den Angreifern immer besser, ihr Tun zu verschleiern, indem sie legitime Tools verwenden, die eigentlich zur Administration von Endgeräten, Betriebssystemen und Netzwerken dienen (siehe dazu auch „Vorsicht Ransomware – diese Alarmzeichen sollten Unternehmen hellhörig machen“). Laut dem Sophos 2021 Threat Report werden solche Angriffe, die zunächst nur wenig oder gar keine Malware einschleusen, sondern auf bereits vorhandene Komponenten des Betriebssystems oder gängiger Softwarepakete setzen, als „Living-off-the-Land“ (LoL) bezeichnet. Sie arbeiten in der Regel mit PowerShell- beziehungsweise VBScript-Skripten oder Batch-Dateien, um Befehlssequenzen automatisiert auszuführen. Auch handelsübliche Sicherheitstools wie Cobalt Strike und Elemente des Metasploit-Frameworks, die üblicherweise von Netzwerkadministratoren und Penetrationstestern verwendet werden, können als Angriffswerkzeuge missbraucht werden. Um eine Entdeckung zu vermeiden, kommen häufig auch Tools zum Einsatz, die Antivirus-Software deinstallieren oder deaktivieren.

Auf diese Weise vor Entdeckung geschützt beginnen die Hacker, sich im Netzwerk auszubreiten. Über Sicherheitslücken verschaffen sie sich zusätzliche Rechte (Privilege Escalation), übernehmen unzureichend gesicherte Admin-Accounts oder fischen mit Tools wie MimiKatz Zugangsdaten ab. Im Austausch mit einem Command&Control-Server werden schließlich Verschlüsselungstrojaner und andere Schädlinge nachgeladen und Daten exfiltriert. Wird dieses Treiben nicht entdeckt, können die Cyberkriminellen schließlich mit voller Wucht zuschlagen, ganze IT-Infrastrukturen ausschalten und maximalen Schaden anrichten. Wie gravierend und umfassend eine solche Attacke sein kann, zeigt das Beispiel der Trägergesellschaft Süd-West im Deutschen Roten Kreuz. Dort legte im Sommer 2019 eine Schadsoftware die komplette IT von mehr als zehn Krankenhäusern lahm.

Raffinierte Angriffe erfordern eine synchronisierte Abwehr

Herkömmliche Signatur- und verhaltensbasierte IT-Sicherheitslösungen erkennen raffinierte Attacken oft nicht, weil die Vorkommnisse im Netzwerk für sich betrachtet harmlos scheinen und nicht miteinander korreliert werden. So bleibt beispielsweise die Seitwärtsbewegung von Malware (Lateral Movement) oft unentdeckt. Selbst moderne, auf Machine Learning und anderen KI-Technologien basierende Security-Systeme tun sich mit der Erkennung schwer, wenn sie nur einen kleinen Ausschnitt aus dem kompletten Geschehen analysieren können. Für eine effiziente und effektive Abwehr ist es daher ausgesprochen wichtig, Informationen zwischen den IT-Security-Komponenten auszutauschen und Maßnahmen zu synchronisieren. Erkennt beispielsweise eine Firewall schädlichen Netzverkehr, sollte sie automatisch die Sicherheitssoftware auf den Endgeräten alarmieren. Diese kann dann gezielt verdächtige Prozesse identifizieren und beenden. In vielen Fällen können die Endpoint-Agenten auf Basis der Informationen sogar direkt infizierte Komponenten entfernen. Umgekehrt informiert die Endpoint-Security-Lösung sofort das gesamte Netzwerk, wenn sie die Kompromittierung eines Endgeräts feststellt, und isoliert dieses. So wird verhindert, dass sich der Angreifer im Netz ausbreitet, Daten abzieht oder Malware nachlädt.

Fazit

IT-Abteilungen sind bei der Verteidigung gegen raffinierte und auf Dauer angelegte Angriffe häufig überfordert. Selbst mit modernen verhaltensbasierten und KI-gestützten Methoden dauert die Erkennung oft zu lange, weil Ereignisse auf Endgeräten und im Netzwerk isoliert betrachtet und nicht in Zusammenhang gebracht werden. Integrierte Cybersecurity-Systeme wie Sophos Synchronized Security schaffen hier Abhilfe. Indem die einzelnen Komponenten intelligent miteinander vernetzt werden und koordiniert zusammenarbeiten, lassen sich infizierte Endpoints schneller entdecken und isolieren, was eine Ausbreitung von Schadsoftware im Netzwerk verhindert. Die zentrale cloudbasierte Verwaltung senkt darüber hinaus den Management-Aufwand deutlich und schafft Transparenz über alle Anwendungen und Vorgänge im Netzwerk.