Kompromittierung sindikatoren
Eines der Hauptsorgen bei der Verwaltung einer Kommunikationsinfrastruktur ist die Verhinderung des Auftretens von Bedrohungen oder verdächtigen Aktivitäten, die die Sicherheit von Informationen in Computernetzwerken gefährden könnten.
Ein Computersicherheitsvorfall ist definiert als ein unerwünschtes Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen gefährdet oder gefährden kann.
Der Schlüssel zur Feststellung, ob es sich bei einem anomalen Verhalten um einen Sicherheitsvorfall handelt (unabhängig davon, ob es sich um einen tatsächlichen oder vermuteten Vorfall handelt), liegt in der vorläufigen Analyse des Systemzustands zu diesem Zeitpunkt, die die Überprüfung mehrerer Variablen beinhaltet, wie z. B. erhöhter Netzwerktraffic, hoher CPU- oder RAM-Speicherverbrauch, langsame Reaktionszeit von Prozessen, Ausführung merkwürdiger Binärdateien, Änderungen in Konfigurationsdateien usw., die es ermöglichen, zu erkennen oder darauf zu schließen, dass etwas Ungewöhnliches passiert, und parallel dazu eine der Art des Ereignisses entsprechende Reaktion zu entwerfen.
Leider ist der Hauptfeind bei dieser Art von Analyse die Zeit, da die potenziellen Vorfallsinformationen aus verschiedenen Quellen stammen können (manuelle Systemüberprüfungen durch den Administrator, Benutzerbenachrichtigungen, Warnmeldungen von verschiedenen installierten Sicherheits- und Überwachungstools) und von verschiedenen Beteiligten empfangen und verarbeitet werden.
Während des Zeitfensters, in dem diese Daten gesammelt, korreliert und analysiert werden, ist das System der Möglichkeit ausgesetzt, dass der Vorfall entweder seine Auswirkungen verstärkt oder es sich einfach um einen "False Positive" handelt, was eine übermäßige Belastung für das Notfallteam darstellt.
Die Kompromittierungsindikatoren (IoC: englische Abkürzung für Indicators of Compromise) stellen die Beschreibung eines Cybersicherheitsvorfalls, einer Aktivität oder eines gefährlichen Artefakts in Form von Mustern dar, die eine bessere Handlungsfähigkeit bei solchen Vorfällen ermöglichen. Diese Muster beziehen sich auf die Hinweise, die in Netzwerken oder Computern vorhanden sein können und die zur Durchführung des Angriffs ausgenutzt werden.
Die Hinweise, die die Kompromittierungsindikatoren beschreiben, sind z. B. neue Dateien, Änderungen in der Registrierung oder Anwendungen und Programme, die zuvor nicht installiert waren. Dieser Informationsaustausch ermöglicht den Aufbau eines Unterstützungsnetzwerks, das eine wirksamere Reaktion auf Angriffe ermöglicht.
Mit anderen Worten, ein Kompromittierungsindikator in der IT-Sicherheitsumgebung kann als ein Modell verstanden werden, das es ermöglicht, bekannte Informationen über das Verhalten zuvor analysierter Vorfälle aufzuzeichnen, zu parametrisieren, zu vergleichen, zu kategorisieren und weiterzugeben, wobei alle wesentlichen Variablen und Eigenschaften abgedeckt werden, die zu einer wirksamen Erkennung und Klassifizierung führen können, und nur die damit zusammenhängenden Elemente analysiert werden, ohne Zeit für zusätzliche Analysen zu verschwenden, die keinen Wert für die Schlussfolgerungen haben.
Bedeutung
Die Bedeutung von IoC für Kommunikationsinfrastrukturen und -geräte liegt in der Fähigkeit, Angriffe vorherzusagen, indem dieselben Schwachstellen in anderen Geräten als den zuvor angegriffenen entdeckt werden. Darüber hinaus kann es infizierte Netzwerke oder Endpunkte identifizieren, deren Angriffe nicht rechtzeitig erkannt wurden.
Die IoC erleichtern die Entwicklung von Plänen zur Verhinderung von Computervorfällen und zur Stärkung von Sicherheitssystemen in technologischen Infrastrukturen, die die Schutzanwendungen fördern wie z.B.:
- Angriffserkennungssysteme (IDS)
- Angriffsverhinderungssysteme (IPS)
- Firewalls
- Antiviren Software
- SIEM
Es ist wichtig zu beachten, dass ein IoC ein laufendes Dokument (normalerweise im XML-Format) für den Austausch von Informationen über Cybersicherheitsvorfälle ist. In der Regel ist es nicht endgültig, sondern flexibel und kann für verschiedene Organisationen leicht angepasst werden. Hier können alle Arten von Hinweisen gesammelt werden, sowohl systemspezifische als auch allgemeine Hinweise für alle betroffenen Systeme.
IoC-Implementierungsmodelle
Im Laufe der Zeit haben sich verschiedene IoC-Implementierungsmodelle herausgebildet, obwohl es keinen international anerkannten Standard gibt. Die folgenden sind jedoch am häufigsten verwendet, je nach den Bedürfnissen der Organisationen:
- OASIS Cyber Threat Intelligence (CTI): Diese Initiative wird von einigen der führenden Hersteller von Sicherheitslösungen unterstützt und zielt darauf ab, eine Reihe von Informationsdarstellungen und -protokollen zu definieren und zu standardisieren, um den Bedarf an Analyse, Modellierung und Austausch von Daten über Cyber-Bedrohungen zu decken.
- IODEF (Incident Object Description Exchange Format) – RFC 5070: Enthält die grundlegende Beschreibung des XML-Schemas für die Registrierung technischer Variablen im Zusammenhang mit bekannten Vorfällen, die hauptsächlich von Vorfallsbekämpfungszentren (CSIRTs) verwendet werden sollen, die auf die Automatisierung der Verarbeitung von Vorfallsdaten und die Verwaltung eines gemeinsamen Formats für den Aufbau interoperabler Vorfallsmanagement-Tools ausgerichtet sind.
- OpenIoC (Open Indicators of Compromise): Erweiterbares XML-Schema, das unter den Bedingungen der Apache-2-Lizenz veröffentlicht ist und eine Beschreibung technischer Merkmale ermöglicht, die bekannte Bedrohungen, Verfahren von Angreifern oder andere Hinweise auf die Kompromittierung für schnelle Erkennung von Sicherheitsverletzungen in einem System identifizieren. Diese Initiative entstand im Rahmen der Vorfallsmanagement-Strategien von MANDIANT, das für seine Analysen von Cyberspionagefällen weltweit bekannt ist.
Häufigste Kompromittierungsindikatoren
In dem Bestreben, Datenschutzverletzungen schneller zu erkennen, können Kompromittierungsindikatoren als wichtige Warnsignale dienen, um die Entwicklung eines Angriffs zu erkennen und zu versuchen, ihn in seinen frühen Stadien zu mildern. Einige der am häufigsten verwendeten IoC sind:
Ungewöhnlicher Netzwerktraffic: Dies gilt als eines der wichtigsten Hinweise darauf, dass etwas nicht in Ordnung ist. Jede ungewöhnliche Aktivität im Traffic sollte ein Alarmsignal für die Administratoren sein. Auch wenn es sich dabei nicht um einen Angriff handelt, muss sie überprüft werden, dass sie keinen verwundbaren Punkt darstellt, der als Zugangspunkt dienen könnte.
- Anomalien bei Benutzerkonten: Änderungen im Benutzerverhalten können darauf hinweisen, dass das betreffende Benutzerkonto von einer anderen Person verwendet wird. Die Beobachtung von Änderungen, z. B. der Aktivitätszeit, des Zugriffs auf Systeme, der Art oder des Umfangs der verarbeiteten Informationen, liefert einen frühen Hinweis auf eine Sicherheitsverletzung.
- Geografische Unregelmäßigkeiten: Wenn Verbindungen von Benutzern an verschiedenen geografischen Standorten festgestellt werden, die nicht mit der Einrichtung in Verbindung stehen, oder wenn derselbe Benutzer von verschiedenen IP-Adressen aus eine Verbindung herstellt, ist dies ein Warnhinweis auf mögliche Probleme. In den meisten Fällen ist dies ein Symptom für einen Angriff, bei dem ein kompromittierter Satz von Anmeldeinformationen verwendet wird, um sich bei sensiblen Systemen anzumelden.
- Rote Flaggen: Fehlgeschlagene Anmeldungen über Benutzerkonten, die nicht existieren, deuten oft darauf hin, dass jemand versucht, Anmeldedaten zu erraten und sich eine Berechtigung zu verschaffen. Ebenso können erfolgreiche Anmeldungen nach einer langen Zeit der Fehlversuche Hinweise darauf liefern, dass nicht der eigentliche Kontoinhaber auf Daten zugreift.
- Außerordentlicher Anstieg der Datenbankabfragen: Wenn ein Angreifer versucht, wertvolle Informationen aus einer Datenbank zu extrahieren, wird er eine riesige Menge an Lesevolumen generieren, die viel höher ist als das, was normalerweise bei normalen Transaktionen auftritt. Dies ist ein Warnzeichen dafür, dass wertvolle Informationen extrahiert werden.
- Ungewöhnlicher Port-Traffic: Angreifer verwenden häufig ungewöhnliche Ports, um Geräte und Netzwerke zu kompromittieren. Die Verwendung eines selten genutzten Ports durch eine Anwendung könnte ein Warnsignal sein.
- Verdächtige Dateisystemänderungen: Wenn ein Gerät kompromittiert ist, wird häufig ein Packet-Sniffing-Tool installiert, um Daten im Netzwerk zu sammeln. Die Wahrscheinlichkeit, dass es entdeckt wird, ist zwar geringer, aber die Chance, dass es auf Änderungen im System, das es enthält (hostet), aufmerksam macht, ist groß, da der Angreifer Änderungen an der Dateiregistrierung vornehmen muss, um Permanenz zu erreichen. Die Festlegung, was ein sauberes Dateiprotokoll enthalten soll, und die Benachrichtigung über Änderungen können die Reaktionszeit des Sicherheitsteams drastisch erhöhen.
- DNS-Anomalien: Die Erkennung eines starken Anstiegs der DNS-Anfragen von einem bestimmten Host an externe Server kann ein guter Indikator für potenziell verdächtige Aktivitäten sein. Einzigartige Muster dieses Traffics können erkannt werden und sind ein Standardansatz zur Identifizierung eines IoC.
Das Erlernen der Verwaltung von IoCs bietet im Allgemeinen Kenntnisse darüber, wie die Informationen, die eine Kommunikationsinfrastruktur unterstützen, geschützt werden können. Die Verwendung dieser Indikatoren wird die Verfügbarkeit und Verbesserung einer Reihe von Instrumenten ermöglichen, die bei der Lösung und Vorbeugung von IT-Sicherheitsvorfällen entscheidend sein können.
Die Leistung von Kompromittierungsindikatoren liegt in der Weitergabe relevanter Informationen aus einem Vorfall, die den Sicherheitsmanagern die Möglichkeit geben, diese Informationen in ihren Systemen anzuwenden. Die Zeit, die nicht damit verbracht wird, Arbeit zu wiederholen, die andere bereits geleistet, getestet und in einer vertrauenswürdigen IoC ausgetauscht haben, ist die Vorlaufzeit, um die Risiken von Zwischenfällen zu minimieren.
IoCs schaffen eine Grundlage für die Identifizierung verschiedener Variablen, die mit Cybersicherheitsvorfällen oder -angriffen verbunden sind, so dass ein potenziell betroffenes Gerät mit diesen Parametern verglichen werden kann, um eine schnelle und effektive Reaktion zu ermöglichen.