211service.com
Einmal mehr in die Bresche: Was es braucht, um Cyberangreifer zu besiegen
In einer Beziehung mit Hewlett Packard Enterprise und FireEye
Stellen Sie sich Folgendes vor: Es ist der Abend vor einem großen Feiertag. Familie und Freunde kommen zu Ihnen nach Hause, um ein entspanntes Essen und eine Auszeit vom Büro zu genießen.
Aber nicht alle machen eine Pause.
Mitten in der Nacht klingelt das Telefon. Es gibt einen Notfall bei der Arbeit – eine Netzwerkverletzung. „Ich habe zu den ungünstigsten Zeiten Anrufe erhalten“, sagt Marshall Heilman, Vice President und Executive Director, Incident Response and Red Team Operations bei der Cybersicherheitsfirma Mandiant, einem Unternehmen von FireEye. 2014 bekam ich kurz vor Thanksgiving einen Anruf. Ich musste einem Unternehmen helfen, das von einem fortgeschrittenen Angreifer getroffen wurde, und es war ernst, erinnert sich Heilman und fügt hinzu, dass sein Team an Heiligabend 2015 mit einem weiteren Angriff zu kämpfen hatte. Teammitglieder haben zum Beispiel auch viele Geschichten darüber , die an Feiertagen so beschäftigt waren, dass Mitarbeiter arbeiteten, während sie gleichzeitig versuchten, einen Truthahn zu begießen, sagt Heilman: Hacker gehen strategisch vor, wenn es um die Feiertage geht. Sie kompromittieren Organisationen zu diesen Zeiten, weil sie dann erwarten, dass die Abwehrkräfte niedergeschlagen sind.
Aber wie Heilman nur allzu gut weiß, müssen Hacker nicht bis zu den Feiertagen warten, um ihre Ziele unvorbereitet zu erwischen. Unternehmen jeder Größe sind das ganze Jahr über anfällig für Sicherheitsverletzungen.
Es gab eine Zeit, in der Cybersicherheitsexperten eine Burganalogie verwendeten, um solche Angriffe zu beschreiben – wo Feinde einen Wassergraben überqueren, eine Mauer erklimmen und sich unbemerkt von den Rittern einschleichen. Aber Chris Leach, Chief Technologist bei Hewlett Packard Enterprise (HPE) Security Services, hält diese Perspektive für überholt. Die ältere Taktik, die Ritter den Umkreis beobachten zu lassen, ist nicht die beste Ressourcennutzung. Aufgrund der sich ändernden Bedrohungen und der Art und Weise, wie getarnte Soldaten eindringen, müssen wir Eindringlinge schneller erkennen, Vor Sie können die Kronjuwelen finden.
Andrzej Kawalec, Chief Technology Officer von HPE Security Services, sieht ebenfalls eine Entwicklung in der Cybersicherheit. Heute gebe es eine große Asymmetrie in den Fähigkeiten der Angreifer und der Verteidiger, sagt er. Die meisten Organisationen verlassen sich heute auf die Mauern und Wassergräben vergangener Zeiten und glauben, sie würden sich gegen Katapulte und Kanonen verteidigen, während Angreifer stattdessen Drohnen und hochgradig zielgerichtete Stealth-Technologie einsetzen. Und in den digitalen Unternehmen von heute, stellt er fest, befinden sich Mitarbeiter und Kunden oft außerhalb der Unternehmensmauern – zum Beispiel in Cafés und kollaborativen Räumen ohne starken Perimeterschutz. Inzwischen als Cyber Risk Report 2016 von HPE stellt fest, dass 86 Prozent der Unternehmen derzeit keine angemessenen Cybersicherheitskapazitäten haben.
Video: Anatomie eines Angriffs
Monate im Inneren
Wie lange verbringen Angreifer innerhalb des Perimeters, bevor sie entdeckt werden? Im Jahr 2015 betrug die mittlere Anzahl der Tage laut der M-Trends-Bericht 2016 von Mandiant. Während die meisten Angriffe nicht zu größeren Sicherheitsverletzungen werden, sind ständige Cybersicherheitsbedrohungen heutzutage eine Tatsache, sagt Heilman. Ein erfolgreicher Angreifer kann sich im Laufe einer Woche oder sogar innerhalb weniger Tage Zugang zum Netzwerk verschaffen, sagt er. „Wenn Sie also einen Angriff nicht verhindern können – wenn Sie wissen, dass der Angreifer auf jeden Fall eindringen wird – dann möchten Sie ihn so schnell wie möglich erkennen und dann darauf reagieren. Kawalec von HPE stimmt zu. „Die Menschen brauchen einen robusten Sicherheitspartner oder eine Gruppe von Partnern, die verstehen, wie man in Echtzeit reagiert“, sagt er.
Hier kommen FireEye und HPE ins Spiel. Die beiden Unternehmen, die Unternehmen weltweit Incident Response, Compromise Assessment und Threat Detection Services anbieten, reagieren jährlich auf Tausende solcher Verstöße.
Es besteht ein Bedarf an echtem Lernen und Verständnis über die Kadenz – die Abfolge von Ereignissen, sagt Kawalec. Diese Kadenz umfasst Forschung und Aufklärung, Infiltration, Entdeckung, Erfassung und Exfiltration oder Datenextraktion. Laut Kawalec ist es von größter Bedeutung, das Risikoprofil Ihres Unternehmens zu verstehen: Sie sollten mit einer einfachen Frage beginnen: Was sind Ihre digitalen Assets und die Cyberbedrohungen, denen sie ausgesetzt sind? Ohne diese Antwort werden Sie erbärmlich schlecht darauf vorbereitet sein, in Echtzeit auf einen potenziell verheerenden Cyberangriff zu reagieren.
Der Angriffslebenszyklus
Umfrageergebnisse
Herausforderungen, Risiken, Trends und Auswirkungen der Cybersicherheit
Produziert von MIT Technology Review Custom in Partnerschaft mit Hewlett Packard Enterprise Security Services und FireEye Inc.
Unabhängig davon, ob der Täter ein Hacktivist, ein Cyberkrimineller oder ein staatlich geförderter Bedrohungsakteur ist, die Kadenz (bzw Lebenszyklus angreifen ) bleibt im Wesentlichen gleich, sagt Heilman. Die Arbeit seines Teams konzentriert sich auf Advanced Persistent Threats (APTs), also Situationen, in denen Täter Zugang zu einem Netzwerk erhalten und sich dort lange aufhalten.
Nachdem sie die Systeme und Personen eines Zielunternehmens untersucht haben, unternehmen Angreifer den nächsten Schritt: Sie infiltrieren ein Netzwerk, indem sie eine Schwachstelle ausnutzen – in 80 Prozent der Fälle durch das Versenden einer Spear-Phishing-E-Mail, sagt Heilman. Indem ein Mensch dazu gebracht wird, auf einen Link zu klicken oder eine Datei zu öffnen, können die Angreifer ihren eigenen bösartigen Code ausführen, der oft eine Hintertür in das Netzwerk schafft. Dadurch wird ein Stützpunkt geschaffen, von dem aus Angreifer ihre Aktivitäten in dieser Umgebung kontrollieren können.
Als nächstes kommt die Rechteausweitung, erklärt Heilman: Sie nehmen die Rechte, die sie von den Systemen erhalten haben, die sie kompromittiert haben, und eskalieren sie an einen lokalen Administrator oder einen Hauptadministrator, an Root-Zugriff oder an alles, was sie für einen besseren Zugriff benötigen Systeme und Daten.“ Dies wird oft durch den Diebstahl von Anmeldeinformationen, das Knacken von Passwörtern oder die Ausnutzung anfälliger Software erreicht.
Sobald die Angreifer Administratorrechte erhalten haben, haben sie den APT-Status erreicht. Sie führen Erkundungen durch, bewegen sich seitlich durch die Computersysteme des Unternehmens, machen eine Bestandsaufnahme dessen, was sie sehen, notieren die Rollen und Verantwortlichkeiten wichtiger Personen und den Ort der gewünschten Informationen. Täter bleiben oft präsent oder beharrlich, indem sie mehrere Hintertüren in der gesamten Umgebung installieren. „Dann werden sie versuchen, das zu erreichen, wofür sie gekommen sind, was oft darin besteht, Informationen zu stehlen – zum Beispiel geistiges Eigentum, Finanzdaten, Details zu Fusionen und Übernahmen oder personenbezogene Daten“, sagt Heilman. Wenn sie ihre Mission abgeschlossen haben, behalten Angreifer nach Möglichkeit den Zugriff, falls sie zurückkehren möchten.
Tipps für Ziele: Denken Sie wie die Bösen
Aus Sicht von Heilman besteht der beste Ansatz, Angreifer zu besiegen, darin, ihre Denkweise zu übernehmen – nicht auf ihre nächsten Schritte zu reagieren, sondern sie zu antizipieren. Sie müssen auch anomales Verhalten in Ihrer Organisation erkennen und erkennen.
Kawalec ermutigt Führungskräfte von Unternehmen, sich mit den Bedrohungslandschaften ihres Unternehmens vertraut zu machen. Zu wissen, welche Assets am kritischsten sind und daher wachsam geschützt werden müssen, ist ein erheblicher offensiver Vorteil gegen Cyberbedrohungen. „Verstehen Sie, was in Ihrer Organisation wertvoll ist. Wer wird versuchen, diese großen Vermögenswerte zu bekommen? Das gibt Ihnen einen Überblick über das Risiko, sagt er. Dann verstehen Sie, ob Sie kompromittiert wurden und wo Sie angreifbar sind. Zum Schluss das größte Problem: Wissen Sie genau, was Sie tun werden, wenn im Falle eines Verstoßes das Telefon klingelt? fragt Kawalec. Das sind die großen Fragen, die jeder Cybersicherheitsleiter oder Chief Information Security Officer im Namen seines Unternehmens beantworten können sollte – denn wenn er das nicht kann, steckt er in Schwierigkeiten.“
Wie bei vielen anderen Straftaten sind die ersten 48 Stunden nach einem Verstoß die kritischsten. Aber wie schnell und wie gut eine Organisation reagiert und sich erholt, hängt davon ab, was getan wurde Vor der Vorfall. Ihre anfängliche Notfallreaktion hängt vollständig und grundlegend von der Arbeit ab, die Sie Monate zuvor geleistet haben: Schreiben und verstehen Sie einen Plan zur Reaktion auf Sicherheitsverletzungen, identifizieren Sie die Rollen und Verantwortlichkeiten der beteiligten Personen, insbesondere der Ersthelfer, und schulen Sie dann die Personen, erklärt Kawalec. Übungen sind ebenfalls von entscheidender Bedeutung: Führen Sie Szenarien und Red-Team-Reviews – oder realistische Simulationen – durch und führen Sie den Vorstand des Unternehmens durch eine reale Erfahrung eines Cyberangriffs, sagt er. Auf diese Weise erleben sie es nicht zum ersten Mal.“
Und es wird nicht das letzte Mal gewesen sein. Wie der neueste Cyber Risk Report von HPE dokumentiert, hat die Zahl der Sicherheitsverletzungen zugenommen, und obwohl Angreifer immer noch relativ alte Methoden verwenden, um Firewalls zu skalieren und Antivirensoftware und andere traditionelle Abwehrmaßnahmen zu umgehen, werden sie auch immer ausgefeilter. Sie passen ihre Techniken an, um neuere Cybersicherheitstechnologien zu umgehen. Darüber hinaus entwickeln sie komplizierte Geschäftsmodelle, bei denen sie bei Angriffen zusammenarbeiten, und erweitern ihre Reichweite auf das Internet der Dinge, einschließlich Mobiltelefone, Tablet-Computer und Cloud-Dienste. All dies summiert sich zu massiven Ausgaben für Organisationen: Die Studie zu den Kosten der Cyberkriminalität 2015: Global , durchgeführt vom Ponemon Institute und gesponsert von HPE, schätzt die durchschnittlichen jährlichen Kosten der Cyberkriminalität für 252 bewertete Unternehmen auf 7,7 Millionen US-Dollar in nur einem Jahr, wobei das Sicherheitsforschungsunternehmen berichtet, dass einige bis zu 65 Millionen US-Dollar verloren haben.
Der Umgang mit immer raffinierteren Gegnern erfordert entsprechend ausgefeilte Verteidigungslinien. Vor diesem Hintergrund hat HPE einen Industriestandard entwickelt Cyber-Referenzarchitektur (CRA), das Kunden einen Entwurf für fortschrittliche Dienste zum Schutz vor Bedrohungen und Funktionen zur Reaktion auf Vorfälle bietet. Neben anderen Funktionen enthält der CRA die aktuellsten Erkenntnisse von FireEye zu APTs, jenen Situationen, in denen Angreifer starke Stützpunkte errichten und über lange Zeiträume Chaos anrichten.
Im Wesentlichen ist die CRA ein Cybersecurity-Kochbuch, sagt Leach von HPE. „Die Referenzarchitektur artikuliert, wie Ihre Organisation aussehen sollte: die Schlüsselbereiche, die Bandbreite der Verantwortlichkeiten und die Metriken. Es reicht vom strategischen Teil – einschließlich der Durchführung von Reaktionsübungen innerhalb eines Unternehmens – über die Mitarbeiter, die Operationen bis hin zu dem, was Sie bei einem tatsächlichen Verstoß tun sollten, erklärt er.
Die Architektur umfasst auch Pläne für die spezifische Verwendung, die die gemeinsamen Ereignisse synthetisieren und sie der CRA zuordnen, um zu sehen, ob sie Risiken und Betriebsrisiken adressiert, fügt Leach hinzu. „Der Chief Information Security Officer (CISO) geht das Risiko wahrscheinlich so proaktiv wie möglich an. Aber ein CISO verfügt möglicherweise nicht über alle Teile dieser Referenzarchitektur und muss daher mit anderen zusammenarbeiten, um das Gesamtbild zu erhalten, sagt er. Der CRA ist wirklich ein wertvoller End-to-End-Leitfaden.'
Arbeiten Sie mit den Experten zusammen
Statistiken zeigen, dass Unternehmen bei der Cybersicherheit Hilfe von außen benötigen. Nur 47 Prozent der von Mandiant im Jahr 2015 gemeldeten Verstöße wurden intern von den eigenen Mitarbeitern eines Unternehmens entdeckt; In 53 Prozent der Fälle erfuhren Unternehmen von externen Quellen wie Strafverfolgungsbehörden, Medien, Kunden oder Lieferanten – oder sogar von den Angreifern selbst – von Verstößen. Laut Kawalec bringt eine solche Benachrichtigung von außen die Unternehmensleiter in eine schwierige, reaktive Position. „Das bedeutet, dass es ihnen sehr schwer fällt, die Situation zu kontrollieren, die angemessene Reaktion zu befehlen und zu steuern und auch aus einer Position der Stärke heraus zu kommunizieren“, sagt er. Sie müssen sich darauf konzentrieren, das Verhalten von Benutzern und Systemen zu verstehen und zu verfolgen, und dann ein Muster mit etwas abgleichen, von dem sie wissen, dass es nicht richtig ist.“
Immer mehr globale Unternehmen wenden sich an HPE, wenn es um Cybersicherheits-Korrekturdienste geht, die durch FireEyes fortschrittliche Bedrohungserkennung, Intelligenz, Methoden und Expertise in der Reaktion auf Vorfälle unterstützt werden. HPE-FireEye-Bedrohungsanalysten engagieren sich als Erweiterung des Cybersicherheitsteams eines Unternehmens und liefern Einblicke und Informationen von vornherein. Neben der Reaktion auf Vorfälle suchen HPE und FireEye proaktiv nach Indikatoren für Kompromittierungen in den Umgebungen ihrer Kunden.
Mit 10 Security Operations Centern auf der ganzen Welt und 5.000 Sicherheitsexperten, die 10.000 Kunden betreuen, bietet HPE eine beispiellose globale Reichweite. Darüber hinaus verfügt FireEye über sechs globale Sicherheitsbetriebszentren, die 4.400 Kunden eine konstante Erkennung und Reaktion bieten. Zusammen bilden die beiden Unternehmen eine starke Partnerschaft im Bereich Cybersicherheit, sagt Kawalec. „Wenn man die Ressourcen eines typischen Sicherheitsteams in einer ziemlich großen Organisation betrachtet, bestehen selbst große Sicherheitsteams nur aus 15 bis 100 Personen. HPE und FireEye sind in der Lage, Cybersicherheitsfähigkeiten für ein breites Spektrum von Unternehmen zu projizieren. Deshalb wenden sich die Leute an uns, um diese Hilfe zu erhalten.“
Um mehr über Cybersicherheit zu erfahren, erkunden Sie bitte diese HPE-FireEye-Ressourcen-Website .
