Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Ist die Zeit von SIEM als Threat Hunting Tool vorbei? Umfassende Gesamtsicht – wie XDR auch ausgeklügelte Angriffe abwehrt

Advertorial

 

 

Security-Teams brauchen effektive Tools, um das Verhalten neuer Bedrohungen zu analysieren, verdächtige Aktivitäten zu erkennen und Sicherheitswarnungen zu priorisieren. Klassische SIEM-Lösungen sind bei allen drei Aufgaben keine große Hilfe. Für solche Jobs ist ein weitaus höheres Niveau an Detection- und Response-Fähigkeiten nötig. Secureworks Taegis XDR™ ermöglicht es Sicherheits-Teams, mit Sicherheitsvorfällen auf Basis umfassender Erkenntnisse souverän umzugehen. Mit Funktionen wie erweitertem Log-Speicher, Suchaufträgen, benutzerdefinierten Berichten und Unterstützung frei gestaltbarer Use Cases erhalten Security-Analysten mehr Möglichkeiten, aktiv Untersuchungen anzustellen und proaktiv nach Bedrohungen in Ihrer Umgebung zu suchen. 

Cybersecurity-Bedrohungen entwickeln sich ständig weiter. Von der Peripherie bis zur Cloud fließen Daten in alle Richtungen – in unfassbaren Mengen und in rasender Geschwindigkeit. Angriffe werden immer raffinierter und sind deshalb schwieriger zu erkennen. Hinzu kommen weitere Faktoren, die eine zuverlässige Bedrohungserkennung behindern: begrenzte Sicht in der Cloud, unterbesetzte und unzureichend ausgebildeten Sicherheits-Teams und wachsende Kosten und Komplexität der Verwaltung unterschiedlicher Sicherheitssysteme. 

All das macht deutlich, wie wichtig eine State-of-the-Art-Bedrohungserkennung ist. Viele Use Cases eines klassischen SIEM (Security Information and Event Management) haben schwere Probleme mit ausgefeilten Bedrohungen: Entweder sie übersehen sie, oder sie erzeugen eine Flut von Fehlalarmen. Letzteres führt zu einer massiven Verschwendung von Ressourcen. Außerdem müssen sich Security-Teams damit abmühen, angepassten Sicherheitscontent für ihre Umgebung zu erstellen, anzuwenden und ständig zu aktualisieren. Doch inzwischen entwickeln Bedrohungsakteure ihre Taktiken weiter. Um weiter heimlich agieren zu können, verstecken sie ihr Tun im „Grundrauschen“ des Netzwerks. Ein klassisches Beispiel für SIEM-Alarme ist, wenn auf zehn unterschiedlichen PCs die Antiviren-Scanner anschlagen. Das sind zehn Incidents, die einzeln abgearbeitet werden müssen. 

„Protokollführer“ als Bedrohungsjäger ungeeignet 

Die Frage, ob SIEM als Threat Hunting Tool ausgedient hat, geht – genau genommen – an den Tatsachen vorbei. Denn SIEM ist in erster Linie ein Tool für die Ereignis-Protokollierung, dafür entwickelt, jegliche Operationen in einem Netzwerk haarklein festzuhalten. In kleineren, überschaubaren Umgebungen lassen sich mit den gewonnenen Daten natürlich sehr gut auch Angriffe und unrechtmäßige Vorgänge identifizieren. In den heute typischen, komplexen Szenarien mit Cloud-Integration, Homeoffice, mobiler Workforce etc. gerät diese Aufgabe mit klassischen SIEM-Systemen jedoch schnell zur Sisyphusarbeit. Für das Thema Response, also die schnelle angemessene Reaktion auf verdächtige Aktivitäten, bietet SIEM nur sehr rudimentäre Fähigkeiten. 

Secureworks Taegis XDR™ wurde entwickelt, um genau diese Herausforderungen zu bewältigen. Im Beispiel mit den Antiviren-Scannern würde bei Taegis XDR™ nur ein einziger zu analysierender Incident gemeldet werden, da es sich dabei um denselben Vorfall handelt, nur eben auf unterschiedlichen Devices. Im Unterschied zum SIEM sind XDR-Tools von Haus aus dafür konzipiert, Angriffen auf die Spur zu kommen – unabhängig von Größe und Komplexität des Netzwerks. Die auf Threat Intelligence und Advanced Analytics basierenden Detektoren von Taegis XDR™ werden automatisch und kontinuierlich aktualisiert, um der sich ständig veränderten Bedrohungslandschaft gerecht zu werden. Anwender müssen nicht extra aktiv werden, um das System anzupassen. Stichwort – keine neuen Use Case schreiben. Das spart sehr viel Zeit und Geld. Und Unternehmen sind ständig auf dem aktuellen Stand, um auch bislang unbekannte Bedrohungen zu erkennen und abzuwehren.

Nur wer die Gefahren kennt und wer genau weiß, wer die Akteure sind, kann mit diesem Wissen Bedrohungen frühzeitig erkennen und abwehren. Die Security-Teams der Unternehmen analysieren mit einer XDR-Plattform das Verhalten neuer Bedrohungen, erkennen verdächtige Aktivitäten und priorisieren Sicherheitswarnungen mithilfe von Deep-Learning-Algorithmen. Bei Secureworks erhalten die Security-Teams Unterstützung von einer Counter Threat Unit™ (CTU), in der mehr als 80 Spezialisten ständig das Deep- und Dark Web und über 130 Hacker Organisationen analysieren. Die XDR Benutzer können darüber anomale Aktivitäten, die Nutzung von Anwendungen und die Netzwerkkommunikation verfolgen. So lassen sich Bedrohungen eindämmen, bevor sie Schaden anrichten. Während der Incident-Untersuchungen unterstützt Secureworks die Zusammenarbeit aller Mitglieder eines Security-Teams. Daten und Erkenntnisse stehen über eine einheitliche Schnittstelle allen Teammitgliedern zur Verfügung. 

Secureworks bietet ein MITRE ATT&CK Mapping-Modul, mit dem Unternehmen die Aktivitäten des Angreifers verfolgen können. Supervisoren können automatisch Netzwerke, Cloud-Aktivitäten, Endpunkte und andere Ereignisse in der gesamten Umgebung auf einem zentralen Dashboard korrelieren. Die CTU von Secureworks überwacht proaktiv über 130 Hackergruppen und deren Vorgehensweise. Die dabei gewonnenen Erkenntnisse fließen 1:1 in das MITRE ATT&CK Framework Mapping von Taegis XDR™ ein. Hacker können sich so nicht mehr zwischen den unterschiedlichen Security-Silos verstecken – sie werden gezielt aufgespürt. 

Secureworks Taegis XDR™ kann jedes SIEM-System im Hinblick auf Angriffserkennung problemlos ersetzen. Es bietet fortschrittliche Bedrohungserkennung sowie zusätzliche Funktionen, um sofort verwertbare Erkenntnisse über bösartige Aktivitäten zu gewinnen. Sicherheitsverantwortliche erhalten relevanten Geschäfts- und Sicherheitskontext, um eine Untersuchung sinnvoll zu gestalten und die richtigen Maßnahmen zu ergreifen. 

Simulation eines Ransomware-Angriffs im Einzelhandel von der Secureworks Adversary Group 

Die Secureworks Adversary Group (SwAG) ist ein Team ethischer Hacker, das zielgerichtete Penetrationstests durchführt, um Schwachstellen in Kundenumgebungen aufzuspüren. Die SwAG nutzt ihre Erkenntnisse nicht nur, um den betreffenden Kunden zu helfen, ihre Verteidigung zu verbessern, sondern auch, um alle anderen SwAG-Kunden besser zu schützen. 

Der Fall (anonymisiert): 

Jede Ausfallzeit während der umsatzstarken Vorweihnachtszeit kann Unternehmen sehr schaden. Diese Einzelhandelssaison ist aufgrund der Probleme in der Lieferkette derzeit ohnehin schon schwierig. Hacker wissen das, und deshalb werden sie Einzelhändler möglicherweise intensiver als sonst ins Visier nehmen, da sie wissen, dass ein erfolgreicher Ransomware-Angriff eher zu einer schnellen Lösegeldzahlung führen wird. So beauftragte kürzlich ein sehr großer Einzelhändler das SwAG-Team mit einer Ransomware-Simulation. 

Das Vorgehen: 

Das Team begann mit der Sammlung von Open Source Intelligence (OSINT). Das hilft, die aktuelle Technologie und die Mitarbeiterbasis eines Kunden zu identifizieren – beides ist für die Suche nach Schwachstellen entscheidend. 

Diese Informationsbeschaffung trug sofort Früchte. In kurzer Zeit konnte das Team mehr als 80 Benutzerkonten mit einem Passwort-Spraying-Angriff kompromittieren. Die meisten dieser Konten verwendeten bereits eine Multi-Faktor-Authentifizierung (MFA). Das ist natürlich eine bewährte und dringend zu empfehlende Praxis. Aber MFA schützt nicht, wenn sie nicht richtig implementiert ist. 

In diesem Fall hatte der Kunde ein ernsthaftes Problem mit der MFA-Implementierung. Mehrere Benutzerkonten waren nicht für den MFA-Mechanismus beim VPN-Zugang registriert. Als das Team diese Konten kompromittierte, konnten es diese einfach selbst in den MFA-Mechanismus des Kunden einbinden. Et voilà! Schon hatten die Penetration-Tester einen MFA-legitimierten Zugriff auf die Umgebung. 

An diesem Punkt war das Spiel im Grunde schon vorbei. Die SwAG stieg in das VPN ein, bewegte sich seitlich, knackte Hashes von Dienstkonten und verschaffte sich noch am selben Tag lokale Admin- und Domain-Admin-Rechte (DA). Dann setzte das Team seine simulierte Ransomware auf die vom Kunden vordefinierten Ziele ein und führte die Dateien aus.

Die Lehren: 

Dieses scheinbar schlechte Ergebnis war in Wirklichkeit ein enormer Gewinn für den sehr großen Einzelhandelskunden. Anstatt seine Umgebung auf dem Höhepunkt der Weihnachtssaison aufgrund eines Ransomware-Angriffs abzuschalten, kann er nun ungestört agieren: Er weiß genau, wo er verwundbar war und hat die Probleme sofort behoben. 

Der Einsatz von SwAG half dem Einzelhändler auch dabei, seine Security Fähigkeiten zur Erkennung von und Reaktion auf Bedrohungen unter realen Bedingungen für Ransomware-Angriffe zu bewerten. Das Unternehmen erkannte, dass es neben der Verbesserung seiner MFA-Implementierung auch ein deutlich höheres Maß an Sichtbarkeit von Vorgängen im Unternehmensnetz brauchte. So hätten die Folgeschäden nach der ersten Kompromittierung frühzeitig eingedämmt und die Ausbringung der eigentlichen Ransomware verhindert werden können. Vor allem der Mangel an Sichtbarkeit hat letztendlich zum erfolgreichen „Angriff“ geführt – wahrscheinlich sogar mehr als das MFA-Problem. Der Einzelhändler nutzte also einen Großteil der nach den Ergebnissen des Penetrationstests bereitgestellten Mittel, um in bessere Erkennungs- und Reaktionsfähigkeiten zu investieren. 

>> Hier erfahren Sie wie Taegis XDR eine wirkliche Alternative zu SIEM sein kann

(Inkl. einer Live Demo der Lösung im zweiten Teil des Videos.)

 

Bei Fragen wenden Sie sich bitte direkt an:

Wolfgang Rieger, Senior Business Development bei Tech Data,

Mobil: +49 175 7270279

E-Mail: wolfgang.rieger@techdata.com

 

 

Teaserfoto: © Adobe Stock/putilov_denis