
Der Angriff der vermutlich chinesischen Hackergruppe Storm-0558 auf eine Vielzahl von Regierungsbehörden und andere Organisationen hätte nach Auffassung der Schweizer Sicherheitsspezialisten von Exeon verhindert werden können. Die Gruppe hatte digitale Authentifizierungs-Token gefälscht, um auf Webmail-Konten zuzugreifen, die über den Outlook-Dienst von Microsoft laufen.
Die Angreifer hatten einen Signierschlüssel von Microsoft gestohlen. Mit diesem konnten sie sich dann funktionierende Zugriffstoken für Outlook Web Access (OWA) und Outlook.com ausstellen und E-Mails und deren Anhänge hacken. Ein Fehler bei der Plausibilitätsprüfung hat dazu geführt, dass eine digitale Signatur, die für Privatkundenkonten (MSA) gedacht war, nun zusätzlich auch im Azure Active Directory für Geschäftskunden als Identitätsnachweis funktioniert.
Machine Learning erkennt Anomalien im Datenverkehr
Viele Cyber Security-Systeme sind heute noch nicht in der Lage, solche Angriffe zu erkennen. Nur ML-basierte Systeme (Machine Learning) können über Anomalien im Datenverkehr Hinweise auf einen Angriff geben, so Exeon. Ein dynamisches, auf ML basierendes NDR-System (Network Detection and Response) kann Angriffe aufspüren, ohne bereits vorher gespeicherte, bekannte „Indicators of Compromise“ zu haben. Stattdessen sucht es nach verdächtigem Verhalten und erkennt es. Es liefert Daten von allen Switches und arbeitet völlig ohne Agenten, die in vielen Umgebungen, oft auch gar nicht installiert werden könnten. So können interne Reconnaissance, bei der sich der Angreifer zunächst umschaut, was er angreifen kann, oder laterale Bewegungen erkannt werden, wenn sich der Angreifer bereits im Netzwerk befindet. Ein weiteres Beispiel ist die Erkennung eines bösartigen Command-and-Control-Kanals in den Proxy-Log-Daten.
„Eine Kombination von NDR und Endpoint Detection and Response (EDR) schafft eine leistungsstarke Verteidigungsstrategie für Cybersicherheit und kann das Machine Learning nutzen“, so Klaus Nemelka, Product Marketing Manager bei Exeon. „Während sich NDR auf die Überwachung und Analyse des Netzwerkverkehrs konzentriert, um verdächtige Aktivitäten, insbesondere Lateral Movements und Datenexfiltration, zu erkennen, schaut das EDR auf die Endpunkte, etwa Workstations oder Server. Dabei tragen besonders die Algorithmen des maschinellen Lernens in den NDR-Systemen dazu bei, die Genauigkeit der Bedrohungserkennung zu verbessern und Fehlalarme zu reduzieren.“
Zwar kann laut Exeon schon eine weitgehende Automatisierung dabei helfen, schnell auf erkannte Bedrohungen zu reagieren und die Verweildauer von Angreifern zu minimieren, doch ML-Modelle lassen sich zudem kontinuierlich auf die Erkennung neuer Bedrohungen und Angriffstechniken trainieren, um die Erkennung deutlich zu beschleunigen und Angriffe bereits in einem frühen Stadium abzuwehren. Eine gemeinsame Nutzung von Daten durch NDR und EDR wird dabei die Daten des jeweils anderen bereichern und einen umfassenderen Einblick in potenzielle Bedrohungen ermöglichen.
Fachartikel

Versteckte Verbindungen: Dutzende VPN-Apps in App Stores mit undurchsichtigen chinesischen Eigentümern

YouTube-Video-Tipp: „Cyber Gangsta’s Paradise – Prof. Merli ft. MC BlackHat“

Großflächiger Ausfall bei Google Cloud und Cloudflare legt zahlreiche Dienste lahm

EU-Vorschriften für Lieferketten zwischen Effizienz und Effektivität

Hacker geben sich als Bewerber aus – Lebenslauf enthält Ransomware
Studien

TÜV-Studie: Cyberangriffe auf 15 Prozent der Unternehmen – Phishing bleibt Hauptbedrohung

Rasante Verbreitung von GenAI bringt Chancen und Risiken – Bericht zeigt alarmierende Entwicklung im Jahr 2025

Unternehmen blockieren zunehmend GenAI-Tools – DNSFilter-Studie zeigt wachsende Sicherheitsbedenken

Weltweite Investitionen in Quantencomputing nehmen branchenübergreifend zu

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld
Whitepaper

NIST stellt 19 Modelle für Zero-Trust-Architekturen vor

Wirtschaft fordert deutsche Cloud-Alternativen – Abhängigkeit von US-Anbietern wächst

Internationale Behörden warnen vor Play-Ransomware: Neue Angriffsmethoden entdeckt

Zielscheibe Fertigungsindustrie: Cyberangriffe durch staatlich geförderte Gruppen und Ransomware-Banden nehmen stark zu
