Der Angriff der vermutlich chinesischen Hackergruppe Storm-0558 auf eine Vielzahl von Regierungsbehörden und andere Organisationen hätte nach Auffassung der Schweizer Sicherheitsspezialisten von Exeon verhindert werden können. Die Gruppe hatte digitale Authentifizierungs-Token gefälscht, um auf Webmail-Konten zuzugreifen, die über den Outlook-Dienst von Microsoft laufen.
Die Angreifer hatten einen Signierschlüssel von Microsoft gestohlen. Mit diesem konnten sie sich dann funktionierende Zugriffstoken für Outlook Web Access (OWA) und Outlook.com ausstellen und E-Mails und deren Anhänge hacken. Ein Fehler bei der Plausibilitätsprüfung hat dazu geführt, dass eine digitale Signatur, die für Privatkundenkonten (MSA) gedacht war, nun zusätzlich auch im Azure Active Directory für Geschäftskunden als Identitätsnachweis funktioniert.
Machine Learning erkennt Anomalien im Datenverkehr
Viele Cyber Security-Systeme sind heute noch nicht in der Lage, solche Angriffe zu erkennen. Nur ML-basierte Systeme (Machine Learning) können über Anomalien im Datenverkehr Hinweise auf einen Angriff geben, so Exeon. Ein dynamisches, auf ML basierendes NDR-System (Network Detection and Response) kann Angriffe aufspüren, ohne bereits vorher gespeicherte, bekannte „Indicators of Compromise“ zu haben. Stattdessen sucht es nach verdächtigem Verhalten und erkennt es. Es liefert Daten von allen Switches und arbeitet völlig ohne Agenten, die in vielen Umgebungen, oft auch gar nicht installiert werden könnten. So können interne Reconnaissance, bei der sich der Angreifer zunächst umschaut, was er angreifen kann, oder laterale Bewegungen erkannt werden, wenn sich der Angreifer bereits im Netzwerk befindet. Ein weiteres Beispiel ist die Erkennung eines bösartigen Command-and-Control-Kanals in den Proxy-Log-Daten.
„Eine Kombination von NDR und Endpoint Detection and Response (EDR) schafft eine leistungsstarke Verteidigungsstrategie für Cybersicherheit und kann das Machine Learning nutzen“, so Klaus Nemelka, Product Marketing Manager bei Exeon. „Während sich NDR auf die Überwachung und Analyse des Netzwerkverkehrs konzentriert, um verdächtige Aktivitäten, insbesondere Lateral Movements und Datenexfiltration, zu erkennen, schaut das EDR auf die Endpunkte, etwa Workstations oder Server. Dabei tragen besonders die Algorithmen des maschinellen Lernens in den NDR-Systemen dazu bei, die Genauigkeit der Bedrohungserkennung zu verbessern und Fehlalarme zu reduzieren.“
Zwar kann laut Exeon schon eine weitgehende Automatisierung dabei helfen, schnell auf erkannte Bedrohungen zu reagieren und die Verweildauer von Angreifern zu minimieren, doch ML-Modelle lassen sich zudem kontinuierlich auf die Erkennung neuer Bedrohungen und Angriffstechniken trainieren, um die Erkennung deutlich zu beschleunigen und Angriffe bereits in einem frühen Stadium abzuwehren. Eine gemeinsame Nutzung von Daten durch NDR und EDR wird dabei die Daten des jeweils anderen bereichern und einen umfassenderen Einblick in potenzielle Bedrohungen ermöglichen.
Firma zum Thema
Fachartikel
Studien
Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf
GMO GlobalSign Umfrage unter Unternehmen und KMUs zeigt, dass viele nicht auf die PKI-Automatisierung vorbereitet sind
Studie: Sicherheitsbedenken bremsen Tech-Innovation aus
Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit
Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos
Whitepaper
Leitfaden zur Sicherheit von Operational Technology (OT)
Deutsche Führungskräfte werden sich den Cyberrisiken bewusster – klicken aber häufiger auf schadhafte Links als ihre Angestellten
Deutsche Wirtschaft setzt auch auf Open Source
Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen
