Phishing for Compromise: Mithilfe von XDR Phishing-Angriffe erkennen und abwehren

Phishing-Attacken zählen zu den Social-Engineering-Methoden, die Cyber-Kriminelle besonders häufig für ihre Machenschaften nutzen. Sie versenden E-Mails mit infizierten Anhängen oder Verlinkungen zu Phishing-Webseiten, um die Log-in-Daten (Credentials) für Geschäftskonten zu bekommen. Mit ihnen können sich Angreifer dann Zugang zu Unternehmensnetzwerken verschaffen. Insbesondere wenn diese keine Multi-Faktor-Authentifizierung implementiert haben, sind Angreifer über diesen Weg erfolgreich. Wie sich Phishing-Mails effizient erkennen lassen, bevor sie langfristige Schäden anrichten, und welche Rolle Extended Detection and Response dabei spielt, verrät Tanja Hofmann, Lead Security Engineer, bei Trellix.

Im Vergleich zu großangelegten Malware- und Ransomware-Kampagnen lassen sich Phishing-Angriffe mit weniger Aufwand umsetzen, ohne dabei an Erfolgschancen einbüßen zu müssen. Das macht den Versand von Phishing-Mails zu einer der meist verbreitetsten Angriffsformen, auf die Cyber-Kriminelle zurückgreifen, um an Log-in-Daten für Geschäftskonten zu kommen.

Was können Unternehmen und Mitarbeiter tun, wenn sie verdächtige, potenziell bedrohliche E-Mails erhalten? Einige IT-Abteilungen und Security Operation Centers (SOCs) richten für diesen Zweck spezielle Postfächer ein, sollten es verdächtige Mails an der ersten Email-Security-Lösung vorbeigeschafft haben. Mitarbeiter können E-Mails, die verdächtige Inhalte oder Anhänge enthalten, an diese Adresse weiterleiten. Der Vorteil dabei ist, dass sämtliche bedrohungsrelevanten Daten, die mit eingehenden E-Mails verbunden sind, hier zentral gesammelt werden. Dies vereinfacht die Arbeit der Mitarbeiter, die für Cyber-Sicherheitsbelange zuständig sind.

Wichtige Zeit geht durch die manuelle Bedrohungserkennung verloren

Die Mitarbeiter im SOC übernehmen die Analyse sämtlicher verdächtiger E-Mails, die ein solches Postfach erreichen und nicht bereits vorab geflagged worden sind. Im Zuge dessen untersuchen sie sowohl den Absender als auch die Inhalte der Nachrichten. Weisen Anhänge schadhaften Code in Form von Spyware, Ransomware oder anderer Malware auf? Befinden sich in den E-Mails Links, die zu Phishing-Webseiten führen? Anschließend müssen sie herausfinden, ob andere Kollegen dieselbe E-Mail erhalten haben und entsprechende Maßnahmen ergreifen. Die vollständige und gewissenhafte Bearbeitung jeder eingehenden E-Mail kann mindestens 30 Minuten in Anspruch nehmen. Und selbst dann ist noch nicht garantiert, dass die Sicherheitsmitarbeiter überhaupt auf eine echte Bedrohung stoßen.

Es bleibt jedoch nicht nur bei einer E-Mail, die das SOC-Team an einem Tag erhält. Die Anzahl dürfte weitaus höher ausfallen. Angenommen es erreichen in einer Woche hundert E-Mails dieses Postfach, dann sind die SOC-Mitarbeiter mindestens 50 Stunden allein damit beschäftigt, verdächtige E-Mails manuell zu durchforsten. Dabei handelt es sich um wichtige Zeit, die ihnen nicht für andere Tätigkeiten wie Support-Anfragen von Kollegen oder wertschöpfende Aufgaben wie die Implementierung neuer Technologien zur Verfügung steht. Außerdem kann die hohe Anzahl der zu analysierenden E-Mails dazu führen, dass Mitarbeiter unter Druck geraten und dabei gefährliche Bedrohungen übersehen.

Extended Detection and Response für automatisierte Cyber-Sicherheit

Zum Aufgaben- und Verantwortungsbereich von SOC-Mitarbeitern zählen weitaus mehr Tätigkeiten als die Analyse von potenziell gefährlichen E-Mail-Inhalten. Um sich vor den verschiedenen Methoden und Tools abzuschirmen, die Cyber-Kriminelle einsetzen und dynamisch anpassen, greifen Sicherheitsteams oftmals auf eine Vielzahl an Sicherheitslösungen zurück. Diese sollen für eine effektive Bedrohungsabwehr die gesamte IT-Landschaft vollständig abdecken. Der Nachteil: Diese Sicherheitslösungen senden eine Flut an Warnmeldungen, darunter auch False-Positives, durch die sich viele SOC-Teams auch heute noch manuell durcharbeiten und auf ihr Risikopotenzial hin überprüfen müssen.

Mithilfe einer Extended Detection and Response-Plattform (XDR) erhalten Sicherheitsexperten einen transparenten Überblick sowie die Kontrolle über diese komplexe Umgebung. Die Plattform sammelt dafür die Bedrohungsdaten aus sämtlichen Bereichen der IT-Landschaft – einschließlich aller Endpoints und E-Mail-Informationen. Diese führt sie zentral zusammen, wo sie sie automatisch analysiert und korreliert. Außerdem liefert sie für die SOC-Mitarbeiter wichtige Kontexte, die als Grundlage für eine starke und gezielte Bedrohungsabwehr dienen kann. Die Korrelation von internen und externen Daten erlaubt es ihr sogar, bislang unbekannte Bedrohungen auszumachen. Das SOC-Team kann dadurch Angriffe über sämtliche Geräte und Umgebungen hinweg schnell identifizieren und entsprechende Gegenmaßnahmen aufsetzen.

Phishing-Mails schnell identifizieren mithilfe von E-Mail-Security-Lösungen und XDR

Die Analyse von E-Mails, ihren Inhalten und Absendern lässt sich mithilfe einer XDR-Plattform in Verbindung mit einer E-Mail-Security-Lösung deutlich leichter automatisieren – und zwar indem man einer hierfür vorgesehenen Lösung das Monitoring von bestimmten Postfächern wie der Sammelstelle aus dem obigen Beispiel überlässt. Sobald eine E-Mail eintrifft und analysiert wurde, sammelt und überprüft die XDR-Lösung alle bedrohungsrelevanten Informationen. Dazu zählen zum einen sogenannte „Indicators of Compromise“ (IoC) wie Phishing-URLs, oder mit Malware versehene Anhänge. Zum anderen kennt die Plattform nun sowohl den Empfänger als auch die Absenderadresse der Mail. Auf Grundlage dieser Informationen kann sie in den Postfächern von Kollegen nach denselben Inhalten suchen und E-Mails löschen, die dieselben IoC oder den gleichen Absender aufweisen.

Daraufhin kann die XDR-Plattform automatisch alle Endgeräte vom Netzwerk trennen, auf denen sie dieselbe Bedrohung festgestellt hat. Um ausschließen zu können, dass sich Schadsoftware auf dem Endgerät befindet, kann zum Beispiel ein automatisierter Scan durchgeführt werden. Identifiziert die XDR-Plattform beispielsweise eine Phishing-URL, kann sie zusätzliche Richtlinien für die Webgateways oder Firewalls definieren. Dies soll dafür sorgen, dass die E-Mail-Lösung in Zukunft E-Mails mit bestimmten URLs oder Absenderadressen automatisch blockiert. Eine XDR-Plattform kann zudem einen vollständigen Bericht über den Vorfall verfassen. Damit versorgt sie SOC-Mitarbeiter mit wichtigen Informationen, die sie nutzen können, um sich auf weitere ähnliche Angriffe vorzubereiten.

Fazit

Unternehmen sind besonders interessante und beliebte Ziele für Cyber-Kriminelle. Außerdem wissen diese genau, wie sie Mitarbeiter in eine Falle locken können, um sensible Daten wie Log-ins abzugreifen. Daher erreichen Unternehmen täglich unzählige E-Mails, die sich als Phishing-Versuch herausstellen. Da den Überblick zu behalten und auf effiziente Weise Angriffe herauszufiltern, ist für viele Sicherheitsteams eine Herkules-Aufgabe. Eine E-Mail-Security-Lösung analysiert solche Mails automatisch, stellt diese Informationen der XDR-Plattform zur Verfügung, die diese analysiert.  Auf dieser Grundlage erkennt sie Bedrohungen automatisch, sodass SOC-Mitarbeiter zeitnah mit Abwehrmaßnahmen reagieren können. Weiterhin ist sie in der Lage, E-Mails mit denselben Inhalten unternehmensweit ausfindig zu machen und dafür zu sorgen, dass sich Schadsoftware nicht über das Netzwerk ausbreiten kann.

https://www.trellix.com/en-us/index.html