igor - Fotolia
Mit XDR und Zero Trust Skriptattacken stoppen
Viele Unternehmen können trotz hohen Sicherheitsrisikos nicht auf Skriptsprachen verzichten. Zero Trust und XDR können eingesetzt werden, um die Sicherheit zu verbessern.
Ein häufiger Ablauf von Hacking-Angriffen sieht folgendermaßen aus: Der Arbeitnehmer sitzt am Notebook und plötzlich ploppt eine E-Mail mit – zumindest auf den ersten Blick – seriös wirkendem Absender im Posteingang auf. Entweder wird ein kurzfristiges Videokonferenz-Meeting des Abteilungsleiters veranlasst oder eine andere plausibel lautende Begründung dargestellt, die den Arbeiter veranlasst, im Moment der Überrumplung auf einen Link zu klicken oder eine Datei herunterzuladen.
Folgt man dieser psychologischen Spear-Phishing-Attacke, ist meist der Schaden schon getan: Entweder wird der Schadcode sofort heruntergeladen und ausgeführt oder erst einmal Verbindung zu einem fremden Server hergestellt, von dem nun jederzeit Zugriff auf das Unternehmensnetzwerk erfolgen kann.
Beispielsweise nutzt die Emotet-Schadsoftware diese Angriffsmethodik. Dabei öffnet der unbedarfte User etwa eine Microsoft Word-Datei mit schädlichen Makros, diese veranlassen wiederum das Downloaden der eigentlichen Emotet-Malware, die sich dann durch Erstellung von Registry Keys in den Ablauf des Systems integriert.
Nun kann dieser schädliche Prozess jederzeit an seinen Heimatserver die Infektion eines neuen Systems melden und weitere Instruktionen erhalten. Im Kern dieser Attacke liegt eine Datei mit ausführbarem Skriptcode. Dies macht es vielen herkömmlichen Antivirentechnologien schwer, den Angriff zu erkennen.
Der hohe Bedrohungsfaktor von PowerShell, Microsoft Office, Excel und Co.
Im Zentrum der Bedrohung stehen skriptfähige Programm-Umgebungen wie etwa Microsoft Excel, Office oder die PowerShell. Das Gefahrenpotenzial steigt nämlich dadurch, dass etwa bei Emotet-Angriffen keine Datei verwendet wird, wodurch Abwehrtechnologie, die mit Mustererkennung arbeitet (zum Beispiel Predicitive Machine Learning) umgangen wird.
Stattdessen sind Skripte und Befehle enthalten, die unterschiedslos vom Skriptinterpreter im Hintergrund ausgeführt werden. Die automatisch ablaufende Ausführung wird dabei vom User meistens gar nicht wahrgenommen. Diese Befehle nehmen dann Änderungen an der Registry vor, stellen Verbindungen ins Internet her und können großen Schaden anrichten, wie etwa durch Dateiverschlüsselungen bei Ransomware-Attacken.
Viele Unternehmen sind jedoch nicht in der Lage, trotz dieses hohen Bedrohungspotenzials auf skriptfähige Umgebungen zu verzichten. Insbesondere die PowerShell wird häufig verwendet, um zentrale System- und Administrations-Vorgänge zu automatisieren. Die Umstellung von solchen Systemen ist also zu aufwendig oder würde im Hinblick auf die Kosten keinen Sinn ergeben. Dennoch können Gegenmaßnahmen ergriffen werden. Viele Sicherheitslösungen bieten nachgelagerte Funktionen wie verhaltensbasierte Scanner oder Laufzeitanalyse, meist gestützt auf maschinelles Lernen/künstliche Intelligenz.
Speziell PowerShell kann auch im Sinne der Security verbessert werden indem zum Beispiel der sogenannte „Constrained Language Support“ verwendet wird. Daneben ist dringend anzuraten, die Logfunktion zu aktivieren, um Anomalien zu identifizieren. In der Praxis bedeuten allerdings auch diese Optionen oft hohen Aufwand, weshalb es Lösungen gibt, um vor allem das Untersuchen von Logs, beziehungsweise das Identifizieren von Anomalien zu automatisieren – und das nicht nur im Zusammenhang mit skriptbasierenden Angriffen, sondern allgemein über alle IT-basierten Attacken. Wir sprechen hierbei über sogenanntes „Extended Detection and Response“, kurz XDR.
Automatisierte Extended Detection and Response entlastet Sicherheitsteams
XDR schafft umfassende Transparenz in der gesamten IT-Umgebung über alle Vektoren hinweg: Von E-Mail über die Endpunkte, Server und Netzwerke bis hin zu Cloud-Workloads. Die Informationen von allen verbundenen Systemen fließen dabei in einen zentralen Data Lake ein.
Dort werden sie mithilfe von KI unter Nutzung von maschinellem Lernen und globaler Threat Intelligence analysiert. XDR kann wichtige Informationen automatisch filtern und in Beziehung zueinander setzen. So lässt sich die Zahl der Security-Events um bis zu 90 Prozent reduzieren.
Dadurch wird es für Sicherheitsbeauftragte möglich, sich auf die tatsächlich wichtigen Warnmeldungen zu konzentrieren. Von einer zentralen Konsole aus haben sie den ständigen Überblick, was passiert ist und ob sie eingreifen müssen. Das führt zu schnelleren und zielgerichteteren Antworten auf Sicherheitsvorfälle.
Eine ESG-Studie zeigt deutlich, wie Security-Teams von XDR entlastet werden: Die befragten Unternehmen teilten mit, dass ihre implementierte XDR-Lösung so viel leistet wie durchschnittlich acht Vollzeit Security-Mitarbeiter.
„Möchte ein System auf kritische Dateien, wie zum Beispiel Kundendatenbanken zugreifen, ist XDR in der Lage, das verbindende System schon vorab automatisch zu verifizieren.“
Richard Werner, Trend Micro
XDR bietet also im Vergleich zu herkömmlichen Sicherheitsmaßnahmen vielerlei Vorteile: Datensilos werden aufgebrochen und Bedrohungsinformationen korreliert, somit ist es Sicherheitsteams möglich, Sicherheitsverstöße akkurater und schneller zu erkennen – gerade dann, wenn sich Angriffe über mehrere Stufen und Vektoren erstrecken.
In weit verzweigten und komplexen IT-Umgebungen steigert XDR die Sicherheit damit erheblich. Laut ESG Research verzeichnen Unternehmen mit effizient implementierter XDR-Lösung, 55 Prozent weniger erfolgreiche Cyberangriffe. Sie sind doppelt so zuversichtlich, dass sie mit der sich ändernden Bedrohungslandschaft Schritt halten können. Die Entlastung von IT-Teams durch XDR, führt zu mehr Zeit, um sich um strategische Fragen zu kümmern und die Sicherheitsaufstellung ihres Unternehmens weiter zu verbessern.
Mit Extended Detection and Response Sicherheitsanomalien aufspüren
Möchte ein System auf kritische Dateien, wie zum Beispiel Kundendatenbanken zugreifen, ist XDR in der Lage, das verbindende System schon vorab automatisch zu verifizieren: Sicherheitsanomalien wie die Verbindung zu fremden, als in letzter Zeit schädlich eingestuften Webseiten, Anzeichen von Vireninfektionen oder der Standort des Systems werden gemeldet.
Auf Grund solcher Meldungen ist es dann möglich, dem verdächtigen System entweder vollkommen den Zugriff auf die Datei zu sperren oder zunächst nur einen Teilzugriff zu gewähren. Solche Teilzugriffsrechte können in Abhängigkeit von vielen Faktoren sehr granular gestaltet werden. Wurde dieser Nutzer in letzter Zeit Opfer von Phishing-Attacken? Liegt der Standort des PCs im Unternehmen oder kommt der Zugriff von einem Internetcafé in Asien? Extended Detection and Response kann all diese Fragen abklären und eine umfassende Sicherheitsantwort geben.
Mit XDR den Zero Trust-Ansatz erweitern
Zero Trust bedeutet, dass verbindungswillige Systeme generell als verdächtig gelten, auch wenn sie sich einmal authentifiziert haben, etwa zum Beispiel durch eine Passworteingabe. Dies ist sinnvoll, da es beispielsweise häufig vorkommt, dass User ihren Arbeitsplatz kurzfristig verlassen müssen. In dieser Zeit kann jedoch viel Schindluder getrieben werden. Genau hier setzt Zero Trust an: Zero Trust erfordert eine ständige Neuzertifizierung.
Ein eingeloggter PC kann also nicht einfach auf jede Datenbank zugreifen, sondern muss bei jedem Schritt einen neuen Identitätsnachweis vorlegen. Durch diese Art der Zertifizierung ist es auch möglich, den Zugriff auf kritische Dateien und Datenbanken zu unterteilen und immer den Überblick zu haben, wer wann von wo auf was zugreift. In Kombination mit einer XDR-Lösung können also Unternehmen, die skriptfähige Umgebungen einsetzen, zumindest ein maximales Maß an Sicherheit für ihr Netzwerk garantieren.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.