Wer Ransomware erst bemerkt, wenn sie auf dem Endpunkt installiert wird, kommt unter Umständen schon zu spät. Erpresserische Attacken bahnen sich nämlich viel früher an, wobei Cyberkriminelle verräterische Spuren im Netzwerk hinterlassen.
Mit Network Detection and Response (NDR) können Unternehmen bereits die Vorbereitungsphase dieser Angriffe entlarven. War traditionelle NDR-Technologie bisher nur sehr großen Unternehmen vorbehalten, ermöglichen neue NDR-Tools mittels Machine Learning und Künstlicher Intelligenz nun auch mittelständischen Unternehmen mit begrenzten Ressourcen, verdächtige Netzwerkaktivitäten nahezu in Echtzeit zu erkennen und zu unterbinden.
Gefährliche, komplexe erpresserische Angriffe haben eine Vorlaufzeit. Schon die vorbereitenden Maßnahmen zeichnen sich im Netzwerkdatenverkehr lange vor dem Start des Verschlüsselns ab. Denn aktuelle Ransomware-Attacken bestehen längst nicht mehr nur aus einem Verschlüsselungstool, das sein Glück versucht. Sie sind komplexe und mitunter langfristige Projekte mit einer eigenen Cyber Kill Chain – einer Angriffskette, deren einzelne Schritte von verschiedenen Spezialisten durchgeführt werden. So sind insbesondere bei Ransomware-as-a-Service-
• Initial Access Broker (IABs): Diese bösartigen Akteure suchen permanent mit automatisierten Tools die einfachsten Wege in ein Unternehmensnetz und verkaufen die gefundenen Schwachstellen anschließend an Hacker. Dazu gehören zum Beispiel Remote-Systeme eines mobilen oder im Home-Office arbeitenden Mitarbeiters, ein Remote Desktop Protocol oder offene Ports.
• Hacker missbrauchen diese Schwachstellen, sobald ein Unternehmen für sie ein lohnendes und leichtes Ziel darstellt, um einen Weg ins Netzwerk zu erschließen
• Böswillige Datenmanager suchen schließlich nach Informationen und Dateien, um sie zu verschlüsseln und zu exfiltrieren oder damit zu drohen, diese zu veröffentlichen. Hierfür begutachten sie, welche Informationen am sensibelsten und unternehmenskritischsten sind oder sich am besten verkaufen lassen.
NDR-Tools erkennen effizient die Hinweise auf einen Angriff
Die Spuren dieser Akteure und damit die Anzeichen für eine bevorstehende Attacke finden sich schon frühzeitig im externen und internen Datenverkehr. IABs, Hacker und Datenmanager generieren forensische Artefakte, bevor der Zugriff auf die Endpunkte mit den Daten erfolgt. Wenn es darum geht, diese ersten Spuren zu erkennen, hat eine Network Detection and Response (NDR) einen entscheidenden Informationsvorsprung gegenüber anderen Cyberabwehrlösungen.
Was sieht NDR besser und schneller als andere Sicherheitslösungen? Ganz einfach: Alles was von der Norm abweicht, kann auf einen Angriff hindeuten.
NDR definiert daher im Scan des internen und externen Netzwerkverkehrs zunächst ein Modell des Normalzustands im Netzverkehr eines Unternehmens. Mit Hilfe von maschinellem Lernen und Künstlicher Intelligenz ist eine solche Grundlagenarbeit heute auch für mittelständische Unternehmen mit begrenzten Personal- und Budgetressourcen möglich. Sobald NDR die Baseline des unauffälligen Normalverhaltens definiert hat, erkennt sie automatisch, wenn der Datenverkehr von üblichen und damit in der Regel legitimen Mustern abweicht, etwa durch:
- Abfragen von Schwachstellen: Die Suche nach Schwachstellen durch externe Angreifer hinterlässt Spuren. So zum Beispiel in Log Files, die eine Einwahl in Systeme dokumentieren, oder durch den Datenverkehr beim Anpingen eines Hosts
. - Unbekannte Ziele und Absender: Ungewöhnliche Muster zu erkennen, ist eine zentrale Aufgabe von NDR. Anfragen und Kommunikation mit Zielen außerhalb des Netzes können eine Gefahr darstellen. Kommen Anfragen zu untypischen Bürozeiten? Kommen sie von einer der Threat Intelligence bekannten und berüchtigten IP-Adresse? Ebenso gilt es, den internen Netzverkehr zu überwachen: Gehen Mitarbeiter im Unternehmen plötzlich auf Systeme, auf die sie sonst nicht zugegriffen haben?
- Verdächtige Bewegungsmuster: NDR dokumentiert Bewegungsmuster von Eindringlingen im Netz. Ein Administrator, der sich in einem System auskennt, oder eine legitime Applikation, die automatische Prozesse durchführt, greifen zielgerecht auf die Systeme zu, die sie benötigen. Ein fremder Täter, der Systeme auf Schwachstellen oder zu verschlüsselnde Daten absucht, wird dagegen eventuell von System zu System springen oder diese der Reihe nach abgehen. Auch seine Seitwärtsbewegungen sind im Netzverkehr zu erkennen. NDR sieht zudem, wenn eine Malware eine scheinbar legitime Bewegung vorzutäuschen versucht. Hier sorgen KI, ML und Threat Intelligence für ein feinkörniges Erkennen von normalem und verdächtigem Verkehr.
- Ungewöhnlicher Datenverkehr: Dazu gehört das Versenden von Daten zu unbekannten Zielen außerhalb des Unternehmens oder zu Verdacht erregenden ungewöhnlichen Tageszeiten. Sie können das Resultat der Installation von Malware, ihrer Kommunikation mit dem Command-and-Control-Server oder des Versendens von Informationen nach außen sein.
- Ungewöhnliche Kontaktaufnahmen: Untypischer Datenverkehr von außen kann seine Herkunft tarnen. So mag eine Anfrage an ein System im ersten Schritt von einer legitimen Domain kommen. Antwortet das System aber darauf, wird es auf eine andere bösartige IP-Adresse weitergeleitet. NDR-Lösungen, die auf DNS-Systeme zurückgreifen, erkennen dies und schlagen Alarm.
NDR ermöglicht präventive Abwehr
Alle diese Indizien können auf einen erpresserischen oder auf andere Angriffe hindeuten. Je mehr sich die Anzeichen verdichten, umso dringender wird der Handlungsbedarf. Eine NDR-Lösung, die nach Definition der Baseline den gesamten Netzwerkdatenverkehr permanent überwacht und schon kleine Abweichungen hochauflösend erkennt, hilft, die Aktionen der Angreifer zu erkennen und abzuwehren und gibt priorisierte Alarme – je nachdem, wie sehr sich die Anzeichen eines Angriffes verdichten.
Dank Künstlicher Intelligenz und Maschine Learning erkennen NDR-Lösungen mittlerweile mit geringen Ressourcen sehr effektiv irreguläre Aktivitäten. Dies erfolgt nicht intrusiv am Spiegel des Datenverkehrs sowie lediglich anhand von Metadaten: In einer solchen Form ist NDR DSGVO-konform – zumal, wenn die notwendigen Daten und Intelligenz in einem Rechenzentrum in Deutschland liegen.
Zudem veranlasst NDR bei Bedarfsfall automatische Reaktionen. Dazu tritt sie mit Firewall-, Endpoint-Detection-and-
Zentral für die Qualität der Abwehr ist die präventive Erkennung. Denn zumindest die kompetenten Ransomware-as-a-Service-
Ebenso wichtig wie das frühe Hinschauen ist der permanente Blick. Denn zwischen dem Erkennen einer Sicherheitslücke, der Installation einer Backdoor und dem tatsächlichen Angriff können je nach Vorgehen der Hacker zwei Wochen oder ein Jahr liegen. NDR-Lösungen erkennen jedoch permanent jede Veränderung im Netzverkehr und bewerten die Lage immer wieder in einem übersichtlichen Dashboard neu.
NDR ist ein Teamplayer
Moderne NDR-Lösungen bietet somit auch kleinen und mittelständischen Unternehmen eine Vogelperspektive auf den Netzverkehr und sieht damit Ransomware-Bedrohungen schon früh am Horizont aufkommen. Diese Prävention gehört somit zu den besten Maßnahmen gegen potenzielle Ransomware- und andere Angriffe. Zumal eine konsequente IT-Abwehr die Angreifer abschreckt. Für die endgültige Abwehr baut NDR auf die Integration mit weiteren bewährten Sicherheitstechnologien wie Endpoint Detection and Response und Antiviruslösungen, die vor Ort auf dem System für Sicherheit sorgen und Malware erkennen, oder Firewalls, die den Netzverkehr blocken oder zulassen.