article

Threat Detection and Response

In diesem Artikel erfahren Sie mehr über die Erkennung von und die Reaktion auf Bedrohungen. Dazu geben wir konkrete Beispiele für Cyberbedrohungen und zeigen, wie Sie Bedrohungsanalysen zur Bedrohungsbekämpfung nutzen können. Denn ein proaktives Vorgehen ist der beste Schutz.

Was ist Threat Detection and Response?

Threat Detection and Response (Bedrohungserkennung und -bekämpfung) ist eine Kombination von Cybersecurity-Praktiken und -Tools zur Erkennung böswilliger Aktivitäten und deren Neutralisierung bzw. Entschärfung, bevor Netzwerke, Systeme oder sensible Daten gefährdet werden.

Die effektivste Bedrohungserkennung und -bekämpfung erfolgt durch eine Mischung aus Technologie, Prozessen und Menschen.

Was ist Bedrohungserkennung?

Es gibt zwei große Kategorien von Bedrohungen: bekannte und unbekannte. Eine Strategie zur Erkennung von Bedrohungen muss die folgenden Funktionen aufweisen, um beide Angriffsarten wirksam zu identifizieren.

  • Erkennung von Bedrohungen an Endpunkten
    Identifiziert potenziell böswillige Ereignisse auf Anwendersystemen wie Desktops, IoT-Geräten (Internet der Dinge), Laptops, Smartphones, Servern, Tablets und Workstations.
  • Erkennung von Bedrohungen im Netzwerk
    Ermittelt normale Datenverkehrsmuster im Netzwerk und überwacht auf Anomalien.
  • Erkennung von Bedrohungen durch sicherheitsrelevante Ereignisse
    Fasst Daten aus Ereignissen im Netzwerk zusammen, einschließlich Authentifizierung, Netzwerkzugang und Systemprotokolle.
  • Penetrationstests
    Simuliert Angriffe auf Systeme zur Bewertung der Sicherheit und zur Ermittlung von Schwachstellen.

Im Folgenden sind drei wichtige Methoden zur Bedrohungserkennung dargestellt.

1. Verhaltensbasierte Bedrohungserkennung
Verhaltensbasierte Erkennungsmethoden identifizieren abnormales Verhalten, das auf Aktivitäten auf Geräten oder in Netzwerken hinweisen könnte. Bei diesem Modell zur Bedrohungserkennung werden Grundlinien für normale Verhaltensmuster entwickelt und regelmäßig aktualisiert, beispielsweise von wo aus sich ein Benutzer normalerweise anmeldet, zu welcher Tageszeit er online ist und auf welche Ressourcen er zugreift. Wenn das Verhalten von den gängigen Mustern abweicht, wird eine Warnmeldung über potenziell böswillige Aktivitäten verschickt.

2. Auf maschinellem Lernen basierende Bedrohungserkennung
Riesige Datenmengen aus zahlreichen Quellen wie Protokolldateien, Sicherheitssystemen und Cloud-Diensten werden durch Modelle des maschinellen Lernens verarbeitet. Algorithmen des maschinellen Lernens nutzen Statistiken und Wahrscheinlichkeiten, um schnell Muster zu erkennen, die für Menschen unmöglich zu erfassen wären. Durch die Gewinnung von Erkenntnissen aus der gesamten Angriffsoberfläche spielt die Bedrohungserkennung durch maschinelles Lernen eine entscheidende Rolle bei der Erkennung unbekannter Bedrohungen.

3. Signaturbasierte Bedrohungserkennung
Bei der signaturbasierten Bedrohungserkennung wird der Netzwerkverkehr nach Indikatoren für bekannte Bedrohungen durchsucht (z. B. Hashes, Dateinamen, Registrierungsschlüssel oder Zeichenfolgen, die in einer Datei auftauchen). Wenn eine Übereinstimmung gefunden wird, wird eine Warnung ausgegeben.

Was ist gehört zur Reaktion auf Bedrohungen?

Nach der Bedrohungserkennung kommt die Reaktion auf Bedrohungen. Diese bestehen aus den Schritten, die zur Minimierung der Auswirkungen von Cyberangriffen und anderen böswilligen Aktivitäten unternommen werden. Eine wirksame Reaktion auf Bedrohungen hängt von einem genauen Plan ab, der Teams ein rasches Handeln ermöglicht.

In Plänen zur Reaktion auf Bedrohungen sollten Rollen und Zuständigkeiten festgelegt werden. Die an der Reaktion auf Bedrohungen beteiligten Personen werden als CIRT (Cyber Incident Response Team) bezeichnet. CIRTs umfassen in der Regel Vertreter aus dem gesamten Unternehmen (z. B. Sicherheit und IT, Führungskräfte, Rechtsabteilung, Personalabteilung, Compliance, Risikomanagement und Öffentlichkeitsarbeit).

Nachfolgend finden Sie sechs Schritte für eine wirksame Reaktion auf Bedrohungen.

1. Vorbereitung
Die Wirksamkeit der Reaktion auf Bedrohungen hängt von der Vorbereitung ab. Das heißt, dass alle Aspekte des Maßnahmenplans bei Bedrohungen erstellt und regelmäßig überprüft werden müssen, damit die Schritte schnell befolgt werden können und der aktuellsten Bedrohungslage Rechnung tragen. Diese Vorbereitung sollte Strategien, Richtlinien und Pläne zur Minimierung von Unterbrechungen und Schäden umfassen.

2. Identifizierung und Analyse
Bei der Erkennung von Bedrohungen werden Vorfälle anhand von Daten aus verschiedenen Quellen wie Protokolldateien, Überwachungstools, Fehlermeldungen, Systemen zur Erkennung von Eindringlingen und Firewalls identifiziert. Nach der Erkennung der Bedrohung sollte eine Analyse durchgeführt werden, um die genaue Art und den Umfang des Angriffs zu erfassen. Diese Informationen gewährleisten eine möglichst effiziente Reaktion.

3. Eindämmung
Die Eindämmungsmaßnahmen sollten so schnell wie möglich nach der Entdeckung der Bedrohung beginnen. In dieser Hinsicht gibt es zwei Phasen der Eindämmung:

  1. Kurzfristige Eindämmungsmaßnahmen konzentrieren sich auf die Isolierung der betroffenen Systeme, um eine Ausbreitung der Bedrohung zu verhindern. Häufig werden infizierte Geräte offline geschaltet.
  2. Langfristige Eindämmungsmaßnahmen werden ausgeweitet, um die Abwehrmaßnahmen zum Schutz nicht betroffener Systeme zu verstärken. Manchmal werden sensible Ressourcen durch Netzwerksegmentierung physisch getrennt.

4. Beseitigung
Während der Beseitigungsphase muss das Team nach allen Spuren der Bedrohung auf den betroffenen und nicht betroffenen Systemen suchen und diese entfernen. Dies kann die Zerstörung von Malware, die Bereitstellung von Patches, die Wiederherstellung von Systemen anhand von Backups oder die endgültige Außerbetriebnahme von Systemen beinhalten.

5. Wiederherstellung
Bevor die Systeme wieder in Betrieb genommen werden, werden sie getestet, überwacht und validiert, um zu bestätigen, dass die Beseitigungsmaßnahmen wirksam waren. Bei größeren Vorfällen muss in der Wiederherstellungsphase auch entschieden werden, wann der Betrieb wieder aufgenommen werden soll. In einigen Fällen werden zuerst die nicht betroffenen Systeme wieder in Betrieb genommen, während die infizierten Systeme zusätzlichen Tests unterzogen werden.

6. Überprüfung nach dem Vorfall
Nachdem die Bedrohung beseitigt und alle Abläufe wiederhergestellt wurden, prüft ein Team die während der einzelnen Schritte der Bedrohungsbekämpfung gesammelten Informationen, um nachzuvollziehen, was passiert ist und wie es in Zukunft verhindert werden kann. Die daraus gezogenen Lehren werden an interne Teams und oft auch an Dritte weitergegeben, um anderen zu helfen, eine ähnliche Situation zu vermeiden. Eine Ressource für die Meldung von Cyberkriminalität sind die Zentrale Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen.

Beispiele für Cyberbedrohungen

Die Kenntnis der Arten von Cyberbedrohungen, mit denen Unternehmen konfrontiert sind, ist für die Erkennung von Bedrohungen und die Reaktion darauf entscheidend. Zu den häufigsten Bedrohungen gehören:

  • Fortgeschrittene, anhaltende Bedrohungen (Advanced Persistent Threats, APT)
  • Verteilte Netzwerkangriffe (Distributed Denial-of-Service- bzw. DDoS-Attacken)
  • Insiderbedrohungen – böswillig und fahrlässig
  • Phishing
  • Malware
  • Social Engineering
  • Ransomware
  • Angriffe auf die Lieferkette
  • Zero-Day-Bedrohungen

Nutzung von Bedrohungsdaten

Bedrohungsdaten werden gesammelt, verarbeitet und analysiert, um Erkenntnisse über Motive, Ziele und Angriffsverhalten zu gewinnen. Sicherheitsentscheidungen können schneller getroffen werden und von reaktiv auf proaktiv umgestellt werden. Beispiele für Informationen zu Bedrohungen sind:

  • Hinweise zur Abwehr von Angriffen
  • Anomales Verhalten
  • Taktiken, Techniken und Verfahren bei Angriffen (TTPs)
  • Bekannte Bedrohungen und Angreifer
  • Beweggründe für einen Angriff
  • Ursprung eines Angriffs
  • Arten von Malware oder Angreifer-Infrastruktur
  • Unbekannte Bedrohungen und Angreifer
  • Schwachstellen

Schnelligkeit ist bei der Reaktion auf Vorfälle entscheidend

Die Zeit von der Erkennung der Bedrohung bis zur Eindämmung sollte so kurz wie möglich sein, um den Schaden zu minimieren.

Wie oben ausgeführt, sollte ein Plan zur Reaktion auf Bedrohungen für jedes Unternehmen von höchster Priorität sein. Unabhängig von der Größe ist jedes Unternehmen für Cyberangriffe anfällig und wird in Mitleidenschaft gezogen, wenn nicht schnell und effektiv gehandelt wird.

Zu den Fragen, die geprüft und beantwortet werden müssen, um eine möglichst proaktive Reaktion auf einen Sicherheitsvorfall zu gewährleisten, gehören:

  • Gibt es Teams, die auf Warnungen über erkannte Bedrohungen reagieren können?
  • Wissen die Teams, wer für die einzelnen Phasen des Reaktionsplans auf Bedrohungen zuständig ist?
  • Gibt es eine Kommunikationskette, und ist sie allen Teammitgliedern gut bekannt?
  • Sind allen Teammitgliedern die Bedingungen für eine Eskalation klar?
  • Sind alle Werkzeuge und Systeme vorhanden, um rasch auf Bedrohungswarnungen zu reagieren?

Proaktive Bedrohungserkennung

Die proaktive Erkennung von Bedrohungen hängt davon ab, dass die Möglichkeiten von Technologie und Menschen optimal genutzt werden. Die Tools dienen der Automatisierung, um mühsame manuelle Aufgaben zu beseitigen und die Erkennung von Bedrohungen über das hinaus zu verbessern, was Menschen leisten können. Das menschliche Element bietet die Fähigkeit, Nuancen zu erkennen und Entscheidungen zu treffen, die Maschinen nicht übernehmen können.

Zu den wichtigen Ressourcen für die proaktive Bedrohungserkennung gehören:

  • Auf künstlicher Intelligenz (KI) und maschinellem Lernen basierende Lösungen
  • Kontinuierliche Überwachung und Analyse
  • Penetrationstests
  • Pläne zur proaktiven Bedrohungserkennung und -bekämpfung sowie entsprechende Teams
  • Threat Hunting

Die wichtige Rolle der Erkennung von und Reaktion auf Bedrohungen

Die meisten Experten sind sich einig, dass die Erkennung von und Reaktion auf Bedrohungen ein Muss für jedes Unternehmen ist. Die Tiefe und Breite dieser Systeme richtet sich nach der Art und Größe des Unternehmens und den Informationen, die es sammelt, verwendet und speichert. Die gute Nachricht ist, dass es Lösungen gibt, die die spezifischen Anforderungen eines jeden Unternehmens erfüllen.

Date: 12. Juli 2024Reading time: 9 minutes
Security