Angesichts der einzigartigen Herausforderungen durch die aktuelle Krise, ist es entscheidend, für eine sichere und zuverlässige Remote-Arbeitsumgebung zu sorgen. Die Bedrohungslage im Auge zu behalten, wenn eine ganze Belegschaft remote arbeitet, ist alles andere als trivial.
Sicherheits-Monitoring und Benachrichtigungen/Alerts spielen eine Schlüsselrolle. Das Threat Research Team von Securonix hat gemeinsam mit Kunden und Branchenexperten die zentralen Herausforderungen identifiziert und die wichtigsten Anwendungsfälle in den Bereichen Sicherheit und SIEM zusammengestellt.
- Überwachung von Insider-Bedrohungen – Zu weit gefasste Zugriffsberechtigungen
Da ein Großteil der Benutzer aktuell von zu Hause aus arbeitet, werden vertrauliche Daten über Kanäle exponiert, über die sie vorher nicht zugänglich waren. Sicherheitsteams hatten kaum genügend Zeit, strenge Sicherheitskontrollen zu evaluieren und einzuführen. Wenn man Benutzern zu weit gefasste Zugriffsberechtigungen für kritische Daten und die Infrastruktur zuweist, stellen diese ein enormes Risiko dar. Unternehmen verlassen sich auf SIEM und andere Sicherheitslösungen, um Berechtigungsprobleme zu identifizieren und korrigierend einzugreifen.
UEBA-basierte SIEM-Lösungen erfassen und analysieren die vergebenen Zugriffsberechtigungen. Dienlich sind Techniken wie die Peer-Analyse, um Berechtigungen mit der jeweiligen Position und Peers aus dem Unternehmen abzugleichen und so Ausreißer zu erkennen. Im Idealfall lässt sich diese SIEM-Komponente in IAM- und IGA-Tools integrieren und empfiehlt zusätzlich Korrekturmaßnahmen.
- Überwachung von Insider-Bedrohungen – Daten-Exfiltration
Ganze Belegschaften arbeiten weltweit remote. Dabei fließen vertrauliche Daten über neue Kanäle. Damit steigt das Risiko für Datenschutzverletzungen und Daten-Exfiltration weiter an. Unabhängig davon, ob dies versehentlich geschieht oder aus böser Absicht. SIEM-Lösungen erkennen solche Datentransfers und senden entsprechende Warnhinweise. UEBA verwendet verhaltensbasierte Profile und Algorithmen, um eine Ausgangsbasis für den angenommenen Normalzustand zu definieren. Weichen Aktivitäten und Verhaltensmuster von dieser Normallinie ab, zum Beispiel bei einem unüblichen Zugriff auf sensible Daten oder einer steigenden Zahl von Zugriffen, versendet die SIEM-Lösung eine Warnung.
- Insider-Bedrohung – Weitergabe von Zugriffsberechtigungen
In einer Remote-Arbeitsumgebung ist es ziemlich wahrscheinlich, dass bestimmte Benutzer nicht mehr über die Berechtigungen verfügen, die sie vorher hatten. Ein Szenario, in dem es nur zu wahrscheinlich ist, dass Zugriffsberechtigungen weitergegeben werden. Das wiederum führt zu Sicherheitsproblemen mit nicht autorisierten Zugriffen, SOD-Verstößen usw.
Man sollte also auch die gemeinsame Nutzung von Zugriffsberechtigungen überwachen. Mit Checks auf Basis von maschinellem Lernen und dem Herstellen eines Identitätskontexts lässt sich erkennen, ob Berechtigungen möglicherweise weitergegeben wurden. Zu solchen Checks zählen beispielsweise:
- Land-Speed-Analyse – Benutzer, die sich von zwei verschiedenen Orten gleichzeitig einloggen, wenn es nach menschlichem Ermessen unmöglich ist, an diesen Orten physisch präsent zu sein
- Physikalische und logische Korrelation der Geolokation – mithilfe des Identitätskontextes kann man den Home Office-Standort eines Benutzers identifizieren; meldet der Benutzer sich aus einem anderen Land oder einem anderen Staat an, wird ein Warnhinweis verschickt (besonders in einer Zeit mit weltweit geltenden strengen Reisebeschränkungen)
- Ungewöhnliche Logins – Der Benutzer loggt sich von einem für sein Profil ungewöhnlichen Ort aus ein, und zufällig ist dieser Ort das Home Office eines Peers im Unternehmen.
- Überwachung auf Phishing- und Fake-Kampagnen
Die aktuelle Krise hat ein weitreichendes Bedürfnis nach Informationen ausgelöst. Cyberkriminelle versuchen sich das mit gefälschten E-Mail-Alerts und Fake-Kampagnen zunutze zu machen. Das Threat Research Team von Securonix konnte beobachten, dass Unternehmen täglich im Durchschnitt 350 E-Mails zu diesem Thema bekommen. Man sollte folglich möglichst schnell Phishing-Kampagnen als solche identifizieren können.
E-Mail-Daten – wie Absender, E-Mail-Domains, Betreff, Name des Anhangs usw. – lassen sich mit Algorithmen analysieren, die auf maschinellem Lernen basieren und so Phishing-Angriffe erkennen. Zum Beispiel anhand von:
- Typosquatting (falsch geschriebene Domain-Namen)
- E-Mails von neu registrierten Domains
- Spear-Phishing, das sich gezielt gegen bestimmte Benutzergruppen richtet
- E-Mails von böswilligen Domains (Integration von Bedrohungsinformationen)
- Verdächtige Logins und Kontenkompromittierung
Durch den enormen Anstieg der Remote-Logins sind Benutzerkonten anfälliger als je zuvor. Angreifer suchen gezielt nach Schwachstellen im Authentifizierungsprozess, die sie ausnutzen können. Dazu gehören schwache Passwörter, schwache Multi-Faktor-Authentifizierung oder eine unzureichende Erkennung von Brute-Force-Angriffen. Man sollte daher auf jeden Fall verdächtige Login-Muster überwachen. Auch hier hilft die Korrelation von maschinellem Lernen und Identitätskontext, um verschiedene Szenarien zu überwachen, die ein Indikator für verdächtige Logins oder eine Kontenkompromittierung sein könnten. Dazu gehören:
- Enumeration von Verhaltensmustern zur Erkennung von ausgeklügelten Brute-Force-Angriffen
- Ungewöhnliches Login-Verhalten (anhand von Zeit, geografischem Standort, IP usw.)
- Spike bei fehlgeschlagenen Logins
- Logins von gefälschten Konten (Wörterbuchangriff)
- Sicherheitsüberwachung bei Cloud-Anwendungen
Ein großer Prozentsatz von Unternehmen nutzt die Cloud sowohl für kritische als auch für weniger kritische Anwendungen. In der aktuellen Remote-Arbeitsumgebung ist es wichtig, die Aktivitäten in allen Anwendungen zu überwachen, um gegebenenfalls abweichende Muster oder Anzeichen für Angriffe zu erkennen.
Im Idealfall kann die SIEM-Lösung dabei sowohl Unternehmensanwendungen als auch benutzerdefinierte Anwendungen überwachen. Es sollten Konnektoren und Inhalte für alle wichtigen Cloud-Anwendungen und -Dienste zur Verfügung stehen, wie z.B. O365, Salesforce, Box, AWS, Azure und GCP. Überwachen sollte man hinsichtlich kompromittierter Daten, übermäßiger Berechtigungen, von nicht autorisierten Aktivitäten und möglicher Sabotage.
- Überwachen von Geräten zur VPN- und Remote-Authentifizierung
In einer überwiegenden Remote-Arbeitsumgebung sind Geräte zur Remote-Authentifizierung und für das VPN ein Schwachpunkt. Kommt es bei diesen Geräten zu Ausfällen oder einer Unterbrechung der Verfügbarkeit, hat das schwerwiegende Folgen für die Geschäftstätigkeit. Man sollte diese Geräte in die SIEM-Überwachung mit einbeziehen. So lassen sich verdächtige Verhaltensmuster bei VPN- und Remote Auth-Geräten erkennen, wie z.B. Spike bei fehlgeschlagenen Anmeldungen, massenhafte Passwort-Resets, verdächtige Verbindungen, Herunterfahren/Reset, Eskalation von Berechtigungen und so weiter.
- Host-Kompromittierung
Bei der stark zunehmenden Zahl von Phishing-Angriffen ist es nur eine Frage der Zeit, bis ein oder mehrere Benutzer in die Falle tappen und ein System kompromittiert wird. Dann kommt es darauf an diese Systeme schnell zu identifizieren und zu isolieren, wenn man Folgeschäden vermeiden oder doch wenigstens mindern will.
Zu den typischen Use Cases einer SIEM-Anwendung sollte es gehören, die Endpunkt-Aktivitäten auf einen möglichen Malware-Befall oder andere Abweichungen hin zu überwachen.
Verdächtige Verhaltensmuster auf Hosts und Endpunkten sind beispielsweise:
- C2-Kommunikation / Beaconing
- Das Ausführen ungewöhnlicher oder verdächtiger Prozesse
- Anomale Verbindungsmuster
- Kommunikation mit neu registrierten oder nicht registrierten Domains
- Lizenz- und Compliance-Überwachung
Das ist normalerweise nicht unbedingt das erste Problem, das einem in den Sinn kommt, wenn man an Cybersicherheit denkt. Aber wir sind auch gerade weit entfernt von normalen Zeiten. Mit der Umstellung auf Remote-Arbeitsplätze haben Unternehmen Schwierigkeiten, die Lizenznutzung für Technologien, die die Remote-Einrichtung ermöglichen, nachzuverfolgen und Bericht zu erstatten.
Deshalb ist es sinnvoll die Überwachung von Software-Lizenzen einzubeziehen. Eine sogenannte entitätsbasierte Überwachung schließt ein wie Anwendungen verwendet werden – durch Benutzer, Hosts und über IP-Adressen.
- Produktivität
Ein Remote-Work-Setup führt fast zwangsläufig zu einem Rückgang der Produktivität, wenn das bisher nicht die gängige Arbeitsform war. Unternehmen suchen deshalb nach Möglichkeiten, die Produktivität anhand von Login- und Aktivitätsmustern oder Session-Beginn und -dauer zu überprüfen und bestimmte Schwellenwerte zu beobachten. Die benutzerbasierte Überwachung spielt eine entscheidende Rolle, wenn man den Grad der Produktivität messen will. Anhand einer Zeitleiste lassen sich Beginn, Dauer und die Aktivitäten während einer Session festhalten. Diese Daten fließen in Berichte ein und warnen vor Mustern, die auf Drop-in-Aktivitäten hindeuten.
Anwendungsfälle, die für den aktuellen Geschäftsbetrieb besonders relevant sind, sollten für Sicherheitsteams oberste Priorität haben. Hat man diese Anwendungsfälle identifiziert, sollte man in Lösungen investieren, die für genau diese Use Cases optimal sind und die gleichzeitig die notwendige Sicherheit gewährleisten.
www.securonix.com