Share
Beitragsbild zu Compromise Assessment: eine kritische Betrachtung

Compromise Assessment: eine kritische Betrachtung

Compromise Assessment kann ein wertvolles Tool darstellen, um die IT-Security von Unternehmen neben traditionellen Maßnahmen wie Vulnerability Management oder Penetrations-Test zu erweitern. Damit können laufende oder vergangene Angriffe detektiert werden. Dennoch müssen sich Unternehmen darüber klar sein, dass nur ein ganzheitlicher Ansatz, der auf dem Zusammenspiel von Tools und Knowhow basiert, das Security Maturity Level dauerhaft anheben kann.

Unternehmen setzen in der Regel traditionelle Schutzmaßnahmen wie Vulnerability Management oder Penetrations-Tests gegen Cyberangriffe ein; diese sind allerdings immer schwieriger zu detektieren. Advanced Persistant Threats (APT) zum Beispiel nutzen eigene Tools mit unbekannten Signaturen, die ein IPS (Intrusion Prevention System) oder IDS (Intrusion Detection System) nicht erkennt.

Vulnerability Management oder Penetrations-Tests stellen Momentaufnahmen von der Sicherheit des Systems und der Konfiguration dar. Die Ergebnisse basieren beim Vulnerability Management überwiegend auf den Datenbeständen und beim Penetrations-Test auf dem Fachwissen der Tester. Ohne breites Knowhow und Qualität können die Ursachen von Angriffen nicht ermittelt werden. Penetrations-Test sind zudem invasiv. Da es zu Ausfällen und Mehrkosten kommen kann, sind sie mit hohen Risiken verbunden.

Beide Methoden zeigen nicht auf, ob vorhandene Schwachstellen bereits ausgenutzt wurden. Oft werden Zero-Day-Lücken übersehen: unbekannte Sicherheitslücken, die ausgenutzt werden können, um Schaden anzurichten. Auch einfache Konfigurationsfehler wie zu großzügige Berechtigungsmaßnahmen fallen durch das Raster: Im Active Directory von Windows finden sich häufig Accounts oder Gruppen mit diversen Berechtigungen und schlechten Passwörtern. Im Ernstfall kann darüber die komplette Infrastruktur kompromittiert werden.

Traditionelle oder präventive Maßnahmen reichen also nicht aus, um das Maturity-Level der IT-Security-Infrastruktur zu heben, Angriffe und akute Bedrohungen zu erkennen und darauf zu reagieren. Compromise Assessment kann hier eine wertvolle Ergänzung darstellen: Es ist darauf ausgelegt, Spuren von Angriffen zu finden, die sogenannten IOCs – Indicators of Compromise. Durch ihre Analyse und Bewertung werden kompromittierte Systeme und die zugrunde liegenden Schwachstellen entdeckt und daraus klare Handlungsempfehlungen abgeleitet. Die Ursachen werden in der Remediationsphase behoben und der gewünschte Soll-Zustand hergestellt, um laufende Angriffe zu beenden und künftige zu verhindern. Compromise Assessment ist dabei eine bewertende, keine präventive Disziplin in der IT-Security. Sie betrachtet die gesamte Infrastruktur und ermöglicht einen Blick in die Vergangenheit.

Die Spuren von laufenden und vergangenen Angriffen finden

Ein Angreifer hinterlässt zwangsläufig forensische Artefakte, die für die Auswertung herangezogen werden können. Dies können beispielsweise Log- und Dumpdateien von Angriffswerkzeugen, Dateien mit ungewöhnlichem obfuskiertem Inhalt, Werkzeuge zur Persistenzerzeugung oder schlicht Tools in untypischen Verzeichnissen oder spezifische Konfigurationsschlüssel sein. Es kann sich ebenso um ungewöhnliche Netzwerkverbindungen zu verdächtigen Servern, IP-Adressen und Ports handeln oder um Logdateien von Interaktionen, Anmeldungen und Prozessstarts. Die Anzahl und Vielfalt der in der Praxis detektierbaren IOCs ist dabei durchaus erschreckend.

Alleine das Tool THOR APT Scanner der Nextron Systems GmbH beinhaltet aktuell im Basisregelsatz beispielsweise ca. 18.000 IOCs in 26 verschiedenen Detektionsmodulen. Es wird weltweit von Threat Huntern und Incident Respondern geschätzt.

Gute Tools und breites Wissen um Angriffe schnell zu erkennen

Studien belegen, dass es in der Regel zwei bis drei Monate dauert, bis ein Angriff überhaupt entdeckt wird. Der Schaden wird mit jedem Tag, an welchem der Angreifer unentdeckt bleibt, größer. Über Compromise Assessment kann die Zeit zur Erkennung eines erfolgreichen Angriffs im besten Fall auf wenige Tage reduziert werden. Üblicherweise werden Angriffe kurz nach Beginn der Analyse entdeckt, weil mit den Events der höchsten Hitrate begonnen wird. Maßgeblich dafür ist eine Summe an Tagen, welche sich aus der Scandauer und dem Beginn der Analyse zusammensetzt. Dieser Zeitraum kann je nach Scankonfiguration, Größe des Systems und Anzahl zurückgelieferter Events stark variieren. Eine ungefähre Kenngröße ist eine Woche, da die Scandauer zwischen wenigen Minuten und mehreren Tagen betragen kann und im Anschluss direkt mit der Analyse begonnen wird. Man sortiert die Events nach Schweregrad und beginnt mit den schwerwiegendsten. Allerdings können auch Events mit einem niedrigen Schweregrad Indikatoren für einen Angriff darstellen. Deswegen ist es wichtig, dass die Analysten ein breites Wissen über den Aufbau und die Funktionsweise der Systeme besitzen: Das Ergebnis der Analyse kann nur so gut sein, wie es das Know-How der Analysten zulässt. Die Tools und das zugrundeliegende Regelwerk der IOC-Scanner geben die richtige Richtung vor, die Hinweise müssen dann richtig gedeutet und in Zusammenhang gebracht werden.

Die Notwendigkeit von Continuous Compromise Assessment

Auch wenn ein Compromise Assessment Scan Klarheit über laufende und vergangene Angriffe bringt und einen tiefen Einblick liefert – er bleibt eine Momentaufnahme. Jede Änderung an den Systemen kann Angriffsvektoren beheben, aber eben auch neue schaffen. Deswegen ist ein Continuous Compromise Assessment sinnvoll: Das Scannen nach Angriffsspuren und Analysen auf wiederkehrender Basis. Der initiale Scan ist dabei recht aufwändig, da eventuell Millionen forensischer Artefakte untersucht werden müssen, was mehrere Tage in Anspruch nehmen kann. Die Folgescans und -auswertungen sind bedeutend einfacher, da nur die Änderungen durchleuchtet werden müssen.

Ein Compromise Assessment Scan allein verkürzt nicht die Zeit, bis ein Angriff erkannt wird. Das geschieht nur, wenn alle Maßnahmen aus vorhergehenden Scans umgesetzt und in regelmäßigen Abständen die Systeme erneut gescannt werden. Diese Maßnahmen müssen priorisiert, zeitnah umgesetzt und verfolgt werden, damit das Sicherheitslevel langfristig steigt. Dabei kann es sich zum Beispiel um das Einführen eines zentralisierten Log-Managements oder gar SIEM handeln, das Abändern der Domain Policy und das Einführen eines Berechtigungsmanagements. Es ist auch sinnvoll, Systeme auszutauschen, wenn diese zu alt sind oder der Hersteller den Support eingestellt hat. So können Unternehmen ihre Prozesse optimieren und ein Sicherheitslevel erreichen, welches dazu beiträgt, dass neue Angriffe schneller behandelt oder verhindert werden können.

Fazit

Compromise Assessment ist eine exzellente Disziplin, um laufende oder vergangene Angriffe, zu erkennen, zu bewerten und durch entsprechende Maßnahmen in Zukunft zu verhindern. Es kann die IT-Security sinnvoll erweitern, ist alleine aber nicht ausreichend, um das Security Maturity Level zu erhöhen. Denn Compromise Assessment ist eine passive Disziplin und muss manuell durchgeführt werden. Erst in Kombination mit anderen Tools und Maßnahmen entsteht ein Kosmos, welcher das gesamte Sicherheitslevel widerspiegelt.

 

Autoren:  Christoph Lemke, Security Consultant SECUINFRA / Ramon Weil, Gründer und Geschäftsführer SECUINFRA

Weitere Informationen:     www.secuinfra.com/de

 

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Vertrauen Sie KI? – Digital Trust als Schlüssel zur erfolgreichen (digitalen) Transformation”

Vertrauen Sie KI? – Digital Trust als Schlüssel zur erfolgreichen (digitalen) Transformation

Featured image for “Zeit ist Geld: Effizienter Schutz für resilientere ERP-Systeme”

Zeit ist Geld: Effizienter Schutz für resilientere ERP-Systeme

Featured image for “Pentesting: Von den Besten lernen”

Pentesting: Von den Besten lernen

Featured image for “(Tickende) Zeitbombe NIS2 – Kapitel 4”

(Tickende) Zeitbombe NIS2 – Kapitel 4

Featured image for “(Tickende) Zeitbombe NIS2 – Kapitel 3”

(Tickende) Zeitbombe NIS2 – Kapitel 3

Studien

Featured image for “Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf”

Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf

Featured image for “GMO GlobalSign Umfrage unter Unternehmen und KMUs zeigt, dass viele nicht auf die PKI-Automatisierung vorbereitet sind”

GMO GlobalSign Umfrage unter Unternehmen und KMUs zeigt, dass viele nicht auf die PKI-Automatisierung vorbereitet sind

Featured image for “Studie: Sicherheitsbedenken bremsen Tech-Innovation aus”

Studie: Sicherheitsbedenken bremsen Tech-Innovation aus

Featured image for “Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit”

Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit

Featured image for “Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos”

Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos

Whitepaper

Featured image for “Deutsche Wirtschaft setzt auch auf Open Source”

Deutsche Wirtschaft setzt auch auf Open Source

Featured image for “Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen”

Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen

Featured image for “IBM X-Force Report: „Freifahrtschein“ zum Datendiebstahl – Angreifer verwenden gültige Anmeldedaten, um Cloud-Umgebungen zu kompromittieren”

IBM X-Force Report: „Freifahrtschein“ zum Datendiebstahl – Angreifer verwenden gültige Anmeldedaten, um Cloud-Umgebungen zu kompromittieren

Featured image for “Trotz gutem Gehalt: Drei viertel aller IT-Fachkräfte sind wechselbereit”

Trotz gutem Gehalt: Drei viertel aller IT-Fachkräfte sind wechselbereit

Featured image for “Verizon Business 2023 Payment Security Report: Neue Erkenntnisse zur Optimierung der Zahlungssicherheit”

Verizon Business 2023 Payment Security Report: Neue Erkenntnisse zur Optimierung der Zahlungssicherheit

Unter4Ohren

Featured image for “Pentesting: Von den Besten lernen”

Pentesting: Von den Besten lernen

Featured image for “(Tickende) Zeitbombe NIS2 – Kapitel 4”

(Tickende) Zeitbombe NIS2 – Kapitel 4

Featured image for “(Tickende) Zeitbombe NIS2 – Kapitel 3”

(Tickende) Zeitbombe NIS2 – Kapitel 3

Featured image for “Ein konkreter Weg zur Cyber Resilience mit Red Sift”

Ein konkreter Weg zur Cyber Resilience mit Red Sift

Featured image for “qSkills Security Summit 2023: Gipfeltreffen für IT-Experten und Führungskräfte”

qSkills Security Summit 2023: Gipfeltreffen für IT-Experten und Führungskräfte