Demo-Tour jetzt buchen

Ihre Frage an uns


Einverständniserklärung Datenschutz
Mit den Bestimmungen zum Datenschutz bin ich einverstanden. Ich willige ein, dass Protelion die von mir zur Verfügung gestellten persönlichen Daten zur Bearbeitung meiner Anfrage elektronisch verarbeitet und mich, nach meinem ausdrücklichen Wunsch, zur Bearbeitung meiner Anfrage kontaktiert. Mein Einverständnis kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Vielen Dank für Ihre Anfrage.

OK
DE
EN ES

Hauptseite

/
 ... / 

Blog

/
 ... / 
Kompromittierung sindikatoren

Kompromittierung sindikatoren

13.11.2023

Eines der Hauptsorgen bei der Verwaltung einer Kommunikationsinfrastruktur ist die Verhinderung des Auftretens von Bedrohungen oder verdächtigen Aktivitäten, die die Sicherheit von Informationen in Computernetzwerken gefährden könnten.

Ein Computersicherheitsvorfall ist definiert als ein unerwünschtes Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen gefährdet oder gefährden kann.

Der Schlüssel zur Feststellung, ob es sich bei einem anomalen Verhalten um einen Sicherheitsvorfall handelt (unabhängig davon, ob es sich um einen tatsächlichen oder vermuteten Vorfall handelt), liegt in der vorläufigen Analyse des Systemzustands zu diesem Zeitpunkt, die die Überprüfung mehrerer Variablen beinhaltet, wie z. B. erhöhter Netzwerktraffic, hoher CPU- oder RAM-Speicherverbrauch, langsame Reaktionszeit von Prozessen, Ausführung merkwürdiger Binärdateien, Änderungen in Konfigurationsdateien usw., die es ermöglichen, zu erkennen oder darauf zu schließen, dass etwas Ungewöhnliches passiert, und parallel dazu eine der Art des Ereignisses entsprechende Reaktion zu entwerfen.

Leider ist der Hauptfeind bei dieser Art von Analyse die Zeit, da die potenziellen Vorfallsinformationen aus verschiedenen Quellen stammen können (manuelle Systemüberprüfungen durch den Administrator, Benutzerbenachrichtigungen, Warnmeldungen von verschiedenen installierten Sicherheits- und Überwachungstools) und von verschiedenen Beteiligten empfangen und verarbeitet werden.

Während des Zeitfensters, in dem diese Daten gesammelt, korreliert und analysiert werden, ist das System der Möglichkeit ausgesetzt, dass der Vorfall entweder seine Auswirkungen verstärkt oder es sich einfach um einen "False Positive" handelt, was eine übermäßige Belastung für das Notfallteam darstellt.

Die Kompromittierungsindikatoren (IoC: englische Abkürzung für Indicators of Compromise) stellen die Beschreibung eines Cybersicherheitsvorfalls, einer Aktivität oder eines gefährlichen Artefakts in Form von Mustern dar, die eine bessere Handlungsfähigkeit bei solchen Vorfällen ermöglichen. Diese Muster beziehen sich auf die Hinweise, die in Netzwerken oder Computern vorhanden sein können und die zur Durchführung des Angriffs ausgenutzt werden.

Die Hinweise, die die Kompromittierungsindikatoren beschreiben, sind z. B. neue Dateien, Änderungen in der Registrierung oder Anwendungen und Programme, die zuvor nicht installiert waren. Dieser Informationsaustausch ermöglicht den Aufbau eines Unterstützungsnetzwerks, das eine wirksamere Reaktion auf Angriffe ermöglicht.

Mit anderen Worten, ein Kompromittierungsindikator in der IT-Sicherheitsumgebung kann als ein Modell verstanden werden, das es ermöglicht, bekannte Informationen über das Verhalten zuvor analysierter Vorfälle aufzuzeichnen, zu parametrisieren, zu vergleichen, zu kategorisieren und weiterzugeben, wobei alle wesentlichen Variablen und Eigenschaften abgedeckt werden, die zu einer wirksamen Erkennung und Klassifizierung führen können, und nur die damit zusammenhängenden Elemente analysiert werden, ohne Zeit für zusätzliche Analysen zu verschwenden, die keinen Wert für die Schlussfolgerungen haben.

Bedeutung

Die Bedeutung von IoC für Kommunikationsinfrastrukturen und -geräte liegt in der Fähigkeit, Angriffe vorherzusagen, indem dieselben Schwachstellen in anderen Geräten als den zuvor angegriffenen entdeckt werden. Darüber hinaus kann es infizierte Netzwerke oder Endpunkte identifizieren, deren Angriffe nicht rechtzeitig erkannt wurden.

Die IoC erleichtern die Entwicklung von Plänen zur Verhinderung von Computervorfällen und zur Stärkung von Sicherheitssystemen in technologischen Infrastrukturen, die die Schutzanwendungen fördern wie z.B.:

  • Angriffserkennungssysteme (IDS)
  • Angriffsverhinderungssysteme (IPS)
  • Firewalls
  • Antiviren Software
  • SIEM

Es ist wichtig zu beachten, dass ein IoC ein laufendes Dokument (normalerweise im XML-Format) für den Austausch von Informationen über Cybersicherheitsvorfälle ist. In der Regel ist es nicht endgültig, sondern flexibel und kann für verschiedene Organisationen leicht angepasst werden. Hier können alle Arten von Hinweisen gesammelt werden, sowohl systemspezifische als auch allgemeine Hinweise für alle betroffenen Systeme.

IoC-Implementierungsmodelle

Im Laufe der Zeit haben sich verschiedene IoC-Implementierungsmodelle herausgebildet, obwohl es keinen international anerkannten Standard gibt. Die folgenden sind jedoch am häufigsten verwendet, je nach den Bedürfnissen der Organisationen:

  • OASIS Cyber Threat Intelligence (CTI): Diese Initiative wird von einigen der führenden Hersteller von Sicherheitslösungen unterstützt und zielt darauf ab, eine Reihe von Informationsdarstellungen und -protokollen zu definieren und zu standardisieren, um den Bedarf an Analyse, Modellierung und Austausch von Daten über Cyber-Bedrohungen zu decken.
  • IODEF (Incident Object Description Exchange Format) – RFC 5070: Enthält die grundlegende Beschreibung des XML-Schemas für die Registrierung technischer Variablen im Zusammenhang mit bekannten Vorfällen, die hauptsächlich von Vorfallsbekämpfungszentren (CSIRTs) verwendet werden sollen, die auf die Automatisierung der Verarbeitung von Vorfallsdaten und die Verwaltung eines gemeinsamen Formats für den Aufbau interoperabler Vorfallsmanagement-Tools ausgerichtet sind.
  • OpenIoC (Open Indicators of Compromise): Erweiterbares XML-Schema, das unter den Bedingungen der Apache-2-Lizenz veröffentlicht ist und eine Beschreibung technischer Merkmale ermöglicht, die bekannte Bedrohungen, Verfahren von Angreifern oder andere Hinweise auf die Kompromittierung für schnelle Erkennung von Sicherheitsverletzungen in einem System identifizieren. Diese Initiative entstand im Rahmen der Vorfallsmanagement-Strategien von MANDIANT, das für seine Analysen von Cyberspionagefällen weltweit bekannt ist.

Häufigste Kompromittierungsindikatoren

In dem Bestreben, Datenschutzverletzungen schneller zu erkennen, können Kompromittierungsindikatoren als wichtige Warnsignale dienen, um die Entwicklung eines Angriffs zu erkennen und zu versuchen, ihn in seinen frühen Stadien zu mildern. Einige der am häufigsten verwendeten IoC sind:

Ungewöhnlicher Netzwerktraffic: Dies gilt als eines der wichtigsten Hinweise darauf, dass etwas nicht in Ordnung ist. Jede ungewöhnliche Aktivität im Traffic sollte ein Alarmsignal für die Administratoren sein. Auch wenn es sich dabei nicht um einen Angriff handelt, muss sie überprüft werden, dass sie keinen verwundbaren Punkt darstellt, der als Zugangspunkt dienen könnte.

  • Anomalien bei Benutzerkonten: Änderungen im Benutzerverhalten können darauf hinweisen, dass das betreffende Benutzerkonto von einer anderen Person verwendet wird. Die Beobachtung von Änderungen, z. B. der Aktivitätszeit, des Zugriffs auf Systeme, der Art oder des Umfangs der verarbeiteten Informationen, liefert einen frühen Hinweis auf eine Sicherheitsverletzung.
  • Geografische Unregelmäßigkeiten: Wenn Verbindungen von Benutzern an verschiedenen geografischen Standorten festgestellt werden, die nicht mit der Einrichtung in Verbindung stehen, oder wenn derselbe Benutzer von verschiedenen IP-Adressen aus eine Verbindung herstellt, ist dies ein Warnhinweis auf mögliche Probleme. In den meisten Fällen ist dies ein Symptom für einen Angriff, bei dem ein kompromittierter Satz von Anmeldeinformationen verwendet wird, um sich bei sensiblen Systemen anzumelden.
  • Rote Flaggen: Fehlgeschlagene Anmeldungen über Benutzerkonten, die nicht existieren, deuten oft darauf hin, dass jemand versucht, Anmeldedaten zu erraten und sich eine Berechtigung zu verschaffen. Ebenso können erfolgreiche Anmeldungen nach einer langen Zeit der Fehlversuche Hinweise darauf liefern, dass nicht der eigentliche Kontoinhaber auf Daten zugreift.
  • Außerordentlicher Anstieg der Datenbankabfragen: Wenn ein Angreifer versucht, wertvolle Informationen aus einer Datenbank zu extrahieren, wird er eine riesige Menge an Lesevolumen generieren, die viel höher ist als das, was normalerweise bei normalen Transaktionen auftritt. Dies ist ein Warnzeichen dafür, dass wertvolle Informationen extrahiert werden.
  • Ungewöhnlicher Port-Traffic: Angreifer verwenden häufig ungewöhnliche Ports, um Geräte und Netzwerke zu kompromittieren. Die Verwendung eines selten genutzten Ports durch eine Anwendung könnte ein Warnsignal sein.
  • Verdächtige Dateisystemänderungen: Wenn ein Gerät kompromittiert ist, wird häufig ein Packet-Sniffing-Tool installiert, um Daten im Netzwerk zu sammeln. Die Wahrscheinlichkeit, dass es entdeckt wird, ist zwar geringer, aber die Chance, dass es auf Änderungen im System, das es enthält (hostet), aufmerksam macht, ist groß, da der Angreifer Änderungen an der Dateiregistrierung vornehmen muss, um Permanenz zu erreichen. Die Festlegung, was ein sauberes Dateiprotokoll enthalten soll, und die Benachrichtigung über Änderungen können die Reaktionszeit des Sicherheitsteams drastisch erhöhen.
  • DNS-Anomalien: Die Erkennung eines starken Anstiegs der DNS-Anfragen von einem bestimmten Host an externe Server kann ein guter Indikator für potenziell verdächtige Aktivitäten sein. Einzigartige Muster dieses Traffics können erkannt werden und sind ein Standardansatz zur Identifizierung eines IoC.

Das Erlernen der Verwaltung von IoCs bietet im Allgemeinen Kenntnisse darüber, wie die Informationen, die eine Kommunikationsinfrastruktur unterstützen, geschützt werden können. Die Verwendung dieser Indikatoren wird die Verfügbarkeit und Verbesserung einer Reihe von Instrumenten ermöglichen, die bei der Lösung und Vorbeugung von IT-Sicherheitsvorfällen entscheidend sein können.

Die Leistung von Kompromittierungsindikatoren liegt in der Weitergabe relevanter Informationen aus einem Vorfall, die den Sicherheitsmanagern die Möglichkeit geben, diese Informationen in ihren Systemen anzuwenden. Die Zeit, die nicht damit verbracht wird, Arbeit zu wiederholen, die andere bereits geleistet, getestet und in einer vertrauenswürdigen IoC ausgetauscht haben, ist die Vorlaufzeit, um die Risiken von Zwischenfällen zu minimieren.

IoCs schaffen eine Grundlage für die Identifizierung verschiedener Variablen, die mit Cybersicherheitsvorfällen oder -angriffen verbunden sind, so dass ein potenziell betroffenes Gerät mit diesen Parametern verglichen werden kann, um eine schnelle und effektive Reaktion zu ermöglichen.

shutterstock_683865289.jpg
Zurück zur Liste

Bloggen

S/MIME
10.03.2024
Die Bequemlichkeit und Geschwindigkeit, die E-Mails bieten, haben die digitale Kommunikation zu einem wesentlichen Bestandteil des täglichen Lebens gemacht.
Mehr lesen
IoT: Internet der Dinge
19.09.2023
 Der Begriff Internet der Dinge (IoT: englische Abkürzung für Internet of Things) bezieht sich auf Umgebungen, in denen die Netzwerkverbindung und die Rechenleistung auf Objekte, Sensoren und Alltagsgegenstände ausgedehnt werden, die normalerweise nicht als Computer betrachtet werden, und die es diesen Geräten ermöglichen, mit minimalem menschlichem Eingriff Daten zu erzeugen, auszutauschen und zu verbrauchen.
Mehr lesen
IAM: Identitäts- und Zugriffsmanagement (Identity and Access Management)
21.07.2023
Die Gewährleistung des erforderlichen Datenflusses und die Verwaltung des Zugriffs auf die Geschäftsdaten einer Organisation erfordern stets volle Aufmerksamkeit nicht nur des technischen Bereichs, sondern auch der Geschäftsleitung.
Mehr lesen