Erkennen Sie Insider-Angriffe in Echtzeit ©2015 Vectra Networks, Inc. INHALTSVERZEICHNIS Bedrohungen mit hohem Risikopotenzial 3 Erläuterung des Risikoprofils für Insider-Bedrohungen 3 Aktueller Stand der Insider-Erkennung 4 Ein neuer Ansatz zur Erkennung von Insider-Angriffen 4 Phasen eines Insiderangriffs 5 Die Vectra Community-Threat-Analyse 6 Security That Thinks - ein Sicherheitssystem, das mitdenkt. 7 ©2015 Vectra Networks, Inc. Viele Angestellte stehlen Dinge von ihrem Arbeitsplatz. Aber es besteht ein großer Unterschied darin, einige Stifte und Haftnotizen einzustecken oder das Büro mit Quellcode, strategischen Marketingplänen, Bilanzen, Kreditkartendaten oder einer langen Liste mit Kundenkontakten zu verlassen. In manchen Fällen verfolgen Mitarbeiter oder Auftragnehmer arglistige Motive wie Zerstörung, Beschädigung oder Diebstahl. Es kommt vor, dass Mitarbeiter vertrauliche Informationen in ihren neuen Job mitnehmen, da sie der Meinung sind, dass sie der rechtmäßige Besitzer ihrer Arbeitsergebnisse sind. In vielen Fällen sind Mitarbeiter jedoch einfach unaufmerksam oder gehen fahrlässig mit ihren Anmeldeinformationen um und öffnen dadurch die Tür für Datendiebstahl durch externe Angreifer. Bedrohungen mit hohem Risikopotenzial Unabhängig von der Ursache stellen Insider-Bedrohungen eine erhebliche Gefahr für Organisationen aller Größen und aller Branchen dar. Laut der jüngsten Umfrage zur Cyberkriminalität in den USA durch das Computer Emergency Response Team der Carnegie Mellon University1 handelt es sich bei 28 % der gesamten Cyberkriminalität um Fälle der Insider-Bedrohung. Mehr als ein Drittel der Unternehmen meldeten im Jahr 2013 einen Insider-Cyberangriff und 32 % der betroffenen Organisationen gaben an, dass die durch InsiderCyberangriffe verursachten Schäden größer waren als die durch Outsider-Angriffe. Weltweit beläuft sich der jährliche Verlust durch Mitarbeiterbetrug auf 2,9 Billionen US-Dollar.2 Erläuterung des Risikoprofils für InsiderBedrohungen Insider-Vorfälle können arglistig geplant und durchgeführt werden oder durch Fahrlässigkeit auftreten und sich über Wochen oder Monate hinweg abspielen. Bei einem bösartigen Insider-Angriff kann ein verärgerter Mitarbeiter seinen Zorn gegen die Organisation als Ganzes oder gegen bestimmte Mitarbeiter richten. Ein Beispiel: Chuck arbeitet als Systemadministrator für eine Einzelhandelskette und ihm wurde vor kurzem eine Beförderung verweigert, die er seiner Meinung nach wirklich verdient hätte. Mary, zu der er seit langer Zeit ein feindseliges Verhältnis hat, wurde stattdessen befördert. Als Vergeltung stiehlt Chuck Marys Kontoanmeldeinformationen und benutzt diese, um Kreditkartennummern von Kunden aus sicheren internen Systemen zu stehlen und sie auf einem illegalen Online-Markt zu verkaufen. Nach einiger Zeit wird der Diebstahl von Millionen von Karten entdeckt und das Unternehmen erleidet schwere finanzielle Verluste und Imageschäden. In diesem Szenario stiehlt Chuck, der bösartige Insider, die Kontozugangsdaten, indem er durch persönliche Kenntnisse oder Websuche die Kennwörter seiner Kollegen ausfindig macht. Er experimentiert dann mit verschiedenen Methoden, um die Kreditkarteninformationen stehlen zu können. Nachdem er eine praktikable Methode gefunden hat, geht er in den Ausführungsmodus über, stiehlt und verwendet Marys Anmeldeinformationen, um Kreditkartendaten herunterzuladen. Da er ein Mitarbeiter ist, kann er diese einfach auf seinen Laptop herunterladen und anschließend damit das Büro verlassen. Der letzte Schritt ist, dass Chuck alle digitalen Spuren, die zu ihm führen könnten, beseitigt. Diebstahl kann auch durch externe Angreifer auftreten, die hierbei einen Moment der Unaufmerksamkeit oder der Fahrlässigkeit eines Mitarbeiters ausnutzen. 1 „2014 US State of Cybercrime Survey: How Bad is the Insider Threat?“ CERT, 2014 http://resources.sei.cmu.edu/asset_files/ Presentation/2013_017_101_58739.pdf 2 „2014 Insider Threat Survey,” SpectorSoft, http://downloads. spectorsoft.com/resources/infographic/spectorsoft-2014-insider-threat-survey.pdf ©2015 Vectra Networks, Inc. 3 Aktueller Stand der Insider-Erkennung: erst nach dem Datenleck und manuelle forensische Analyse Die Erkennung von Insider-Bedrohungen und zielgerichteten Angriffen erfordert heutzutage erfahrene Sicherheitsexperten, wirksame digitale Werkzeuge und einen enormen Zeitaufwand. IT-Sicherheitsteams sind heute bereits vollkommen ausgelastet, ihre Organisation vor immer ausgefeilteren und effektiveren externen Bedrohungen zu schützen, strategische Sicherheitspläne zu entwickeln, und sicherzustellen, dass gesetzliche und betriebliche Richtlinien eingehalten und Mitarbeiterschulungen für Best Practices durchgeführt werden. Wichtige Assets und Firmendaten werden im Netz entdeckt. Sicherheitsteams durchsuchen Berge von Logs und SIEM-Daten, um den Fall zu rekonstruieren. Der Täter kann oder kann nicht gefunden werden. Verluste sind garantiert. Abbildung 1: Aktuell werden Insider-Bedrohungen erst nach einem unbefugten Zugriff erkannt und Ermittler führen zeitraubende forensische Analysen durch. Die Erkennung von Insider-Bedrohungen stützt sich oft auf forensische Analysen, die nach einem InsiderAngriff durchgeführt werden, z. B. die Überwachung und Aufzeichnung ausreichender Informationsmengen, um Rechtsverfahren zu ermöglichen. Anstatt Spuren im entstandenen Schaden zu suchen, ist daher ein proaktiver Ansatz äußerst erstrebenswert, der sich auf die Erkennung von Bedrohungen in Echtzeit während oder bevor deren Durchführung konzentriert. Viele Sicherheitsteams erstellen Abfragen für Sicherheitsinformations- und Eventmanagement (SIEM)Systeme, um durch die Korrelation von Informationen, die von Sicherheitsprodukten wie Firewalls und DataLeak Prevention-Lösungen erstellt wurden, Hinweise ©2015 Vectra Networks, Inc. auf mögliche Insider-Vorfälle zu finden. Die Suche nach aussagekräftigen Informationen in vielen Petabytes an Daten gleicht der Suche nach der sprichwörtlichen Nadel im Heuhaufen, der jeden Tag größer wird. Da ein solcher Ansatz viel Arbeitszeit und Geld benötigt, wird dieser oft erst dann angewendet, nachdem ein Vorfall gemeldet wurde. Maßnahmen gegen Insider-Bedrohungen erfordern eine enge Zusammenarbeit der Personal-, IT- und Rechtsabteilungen. Aber damit Personal- und Rechtsabteilungen einschreiten können, benötigen sie greifbare Beweise für verdächtiges Verhalten von Insidern. IT-Abteilungen müssen daher in der Lage sein, solche Beweise zu sammeln. Die Rechtsabteilung kann daraufhin Informationen zu laufenden Ermittlungen und Gerichtsverfahren liefern. Ohne solche Beweise sind Personal- und Rechtabteilungen nicht in der Lage, proaktiv Informationen bereitzustellen und Insider-Bedrohungen können weiter Schaden anrichten, da sie unentdeckt bleiben. Ein neuer Ansatz zur Erkennung von InsiderAngriffen Vectra bietet eine Lösung an, die neuste Sicherheitsforschung und maschinelles Lernen verbindet. Vectras X-Serien-Plattform liefert eine innovative Kombination von Echtzeit-Erkennung und CommunityThreat-Analyse, um verständliche Einblicke in mögliche Insider-Bedrohungen zu geben, indem hochwertige Assets eines Unternehmens in den Mittelpunkt der Insider- und zielgerichteten Angriffsanalyse gestellt werden. Vectra bietet eine kontinuierliche Überwachung des gesamten internen Netzwerkverkehrs über alle Betriebssysteme, Anwendungen und Geräte hinweg. Auf der Grundlage des überwachten Datenverkehrs werden Gruppen von Benutzern, Geräten und wertvollen Assets konstruiert, die das tatsächliche Netzwerkverhalten des Unternehmens widerspiegeln. Ungewöhnliches Verhalten bei Verbindungen und beim Datenaustausch sowie Änderungen der Gruppenmitgliedschaft werden dadurch sichtbar und nachvollziehbar. 4 Standard C&C Opportunistisch Zielgerichtet Custom C&C Insider Custom C&C Abbildung 2: Vectra entdeckt alle Phasen eines Insider-Angriffs sowie von zielgerichteten und opportunistischen Angriffen. Vectra identifiziert und priorisiert die Risiken und setzt anomales Verhalten in Zusammenhang mit den wertvollen Assets einer Organisation. Durch die Visualisierung der Gruppen, die die wichtigen Assets umgeben, kann das IT-Personal Hosts identifizieren, die nicht in diese Netzwerkumgebung gehören. der Entdeckung zu entgehen und Spuren zu verwischen (Flucht). Handelt es sich um einen Fall von vorsätzlicher Fahrlässigkeit, kann der Insider einfach eine Tür für einen externen Angreifer öffnen, indem dieser Malware einsetzt, die zum Stehlen von Anmeldeinformationen oder Daten verwendet werden kann. Vectra entdeckt alle Phasen eines Insider-Angriffs sowie von zielgerichteten und opportunistischen Angriffen.Vectra entdeckt Reconnaissance, Lateralbewegungen sowie Datendiebstahl von Insidern. Interne Angreifer verfügen bereits über autorisierten Datenzugriff und können Daten stehlen, indem sie diese einfach auf einem Laptop, einem USB-Laufwerk oder anderen mobilen Geräten mitnehmen. Ein solches Verhalten kann von am Perimeter eingesetzten Sicherheitslösungen nicht entdeckt werden. Bei zielgerichteten und opportunistischen Angriffen erkennt Vectra Command-and-Control-Kommunikation, Botnet-Monetarisierungen, Reconnaissancephasen, Lateralbewegungen sowie Datendiebstahl. Um Insiderbedrohungen zu entdecken, identifiziert Vectra die spezifischen Phasen und anomalen Verhaltensweisen eines Insiders, die über Wochen oder Monate stattfinden. Vectra erkennt die Reconnaissance-Aktivitäten eines Insiders wie das Scannen von Ports auf einem anderen internen Host, die im normalen Kommunikationsstrom des Netzwerks oft unbemerkt bleiben können. Phasen eines Insiderangriffs Bei einem bösartigen Insider-Angriff beginnt ein Mitarbeiter oder Auftragnehmer in der Regel mit der Erkundung der Umgebung, um Schwächen ausfindig zu machen, gefolgt von einem Experimentieren zur Ermittlung einer erfolgreichen Angriffsmethode. Dies führt letztendlich zur Ausführung des Angriffs und dem anschließenden Versuch, Explore Ausbeutung Explore Experimentieren Erkundung Explore Ausführung Flucht Abblidung 3: Phasen eines Insiderangriffs ©2015 Vectra Networks, Inc. 5 Vectra erkennt zudem die Lateralbewegungen eines Insider-Angreifers wie z. B. einen Brute-Force-Angriff auf einem anderen internen Host, auf dem er sich einzuloggen versucht, um gestohlene Anmeldeinformationen zu erwerben. Vectra erkennt zudem das Sammeln von Daten eines oder mehrerer interner Hosts, die von einem Angreifer dann manuell gestohlen werden, z. B. indem er die Daten auf seinem Laptop aus dem Büro trägt. Darüber hinaus beobachtet Vectra das das Verbindungsverhalten zwischen Benutzer-Hosts und Servern sowie Veränderungen bei ihrer Gruppenmitgliedschaft. Durch die kontinuierliche Überwachung der Interaktion von Benutzern und Datenservern in einer Gruppe können Benutzer und Hosts erkannt werden, die auf ungewöhnliche Weise innerhalb und außerhalb dieser Gruppen kommunizieren. Einzelner Host Gruppe (z. B. Finanzen) Auffälliger Host mit Erkennung Wichtiges Asset Verbundene Gruppe (z. B. Entwicklungsabteilung) Abbildung 4: Vectra verwendet maschinelle Lernverfahren, um Host-Gruppen auf der Grundlage von beobachtetem Datenverkehr im Netzwerk zu identifizieren. Die Community-Threat-Analyse stellt wichtige Assets in den Mittelpunkt der Echtzeit-Untersuchungen Gruppe Finanzen Auffälliger Host mit neuer Gruppenmitgliedschaft Host: Chuck-MBP Zuletzt aufgezeichnete IP: 10.42.12.188 Gruppe SysAdmin Verbindungen innerhalb der Gruppe: 5 Verbindungen außerhalb der Gruppe: 29 Threat 95 Certainty - Stufe 91 Aktuelle Entdeckungen Exfil Daten-Schmuggler, 9. Dez 2014 04:15 Lateral Brute-Force-Angriff, 8. De.2014 13:33 Exfil Daten-Schmuggler, 7. Dez 2014 10:22 Exfil Hidden Tunnel, 5. Dez 2014 15:16 Exfil Hidden Tunnel, 4. Dez. 2014 16:31 Abbildung 5: Die Community-Threat-Analyse von Vectra entdeckt, dass Chucks MacBook Pro Verbindungen mit mehreren Servern in der Gruppe Finanzen hergestellt hat und zeigt mehrere Indikatoren eines Angriffs an. ©2015 Vectra Networks, Inc. 6 Die Community-Threat-Analyse von Vectra stellt die wichtigen Assets eines Unternehmens in den Mittelpunkt der Echtzeit-Untersuchungen von Bedrohungen durch Insider und gezielte Angriffe. Die innovative Benutzeroberfläche der Community-Threat-Analyse bietet eine dynamische Visualisierung der Gruppen, so dass Administratoren auf einen Blick sehen können, wie Hosts in der Regel kommunizieren und interagieren. Diese elegante Darstellung vereinfacht die komplexen Zusammenhänge innerhalb der Gruppen erheblich, so dass Administratoren potenzielle Gefahren von bösartigen oder fahrlässigen Insidern sofort erkennen und Maßnahmen ergreifen können. Zum Beispiel: Wenn Chucks Laptop, der normalerweise nur Verbindungen zu Hosts innerhalb der Gruppe System-Administration herstellt, über das Wochenende mit Hosts in der Gruppe Finanzen kommuniziert und große Dateien Kreditkarteninformationen mit herunterlädt, wird seine Host-Gruppenmitgliedschaft von der Gruppe System-Administration auf die Gruppe Finanzen geändert, obwohl er gestohlene Anmeldeinformationen verwendet, um auf die Finanzserver zuzugreifen. Mit der Vectra Community-Threat-Analyse können neue Verbindungen und verdächtige Verhaltensweisen von Sicherheitsteams auf einen Blick erkannt werden. Ein kurzer Klick auf den Host zeigt alle entdeckten Bedrohungen an und wenn nötig können diese dann weiter untersucht werden. Vectra ist voll automatisiert, bietet eine intuitive Bedienung und erfordert keine Signaturen, Regeln oder Konfiguration. Vectra erstellt Gruppen automatisch, basierend auf beobachtetem Datenverkehr im Netzwerk; Gruppenbeziehungen können hierbei basierend auf tatsächlichen Netzwerkaktivitäten dynamisch verändert werden. Administratoren müssen Gruppen nicht manuell konfigurieren – sie werden von der Vectra CommunityAnalyse automatisch erstellt. Wertvolle Assets wie die Server mit Finanz-, Kunden- oder Quellcodedaten können von Administratoren zur besseren Sichtbarkeit ganz einfach markiert werden und Bedrohungen in deren Nähe in der Vectra-UI ganz einfach verfolgt werden. Allem voran bietet die Vectra Community-ThreatAnalyse die nötige funktionale Intelligenz, um eine effektive Zusammenarbeit zwischen IT-, Personal- und Rechtsabteilungen zu ermöglichen. Mit Vectra können IT-Abteilungen verdächtige Verhaltensweisen ermitteln und mit Personal- und Rechtsabteilungen teilen, um gemeinsam die nächsten Schritte einzuleiten. Security That Thinks - ein Sicherheitssystem, das mitdenkt. Die Zeit ist reif für ein intelligentes Sicherheitssystem. Mit Vectra können Organisationen jeder Größen anomale Tätigkeiten von boshaften und fahrlässigen Insidern identifizieren, unabhängig davon ob es sich um Mitarbeiter oder Auftragnehmer handelt. IT-Sicherheitsteams können dadurch zielgerichtete, opportunistische und Insider-Angriffe erkennen und stoppen – während oder sogar bevor diese ausgeführt werden. Mit Vectra können Organisationen ihre wertvollen Assets mit einer Sicherheitslösung schützen, die ständig zuhört, mitdenkt und den nächsten Schritt eines Angriffs antizipiert und IT-Teams dadurch den nötigen Einblick verschafft, um Angriffe sogar während deren Durchführung zu stoppen. www.vectranetworks.com ©2015 Vectra Networks, Inc.
© Copyright 2024 ExpyDoc
