Zuschreibung von Cyberangriffen: Keine voreiligen Schlüsse ziehen
Die Reaktion auf einen Cyberangriff erfordert eine intensive Konzentration auf das Wesentliche. Voreilige Schlüsse über die Identität des Angreifers sind eine häufige und kostspielige Ablenkung.
Wichtige Punkte
- Bei der Untersuchung eines Einbruchs in das Netzwerk Ihres Unternehmens ist Zeit von entscheidender Bedeutung.
- Doch die Reaktion auf Cybersecurity-Vorfälle kann in der Eile, den Angreifer zu identifizieren, untergehen - was als Attribution bekannt ist.
- Stattdessen sollten sie sich zunächst darauf konzentrieren, wie der Angreifer in ihr Netzwerk eindringt.
Es ist nur menschlich, dass man die Schuld zuweisen möchte, wenn ein Cyberangreifer in das Netzwerk Ihres Unternehmens eindringt. Auch wenn die Attribution - am richtigen Ort und zur richtigen Zeit - einen gewissen Wert hat, helfen diese Informationen in den meisten Fällen nicht bei der unmittelbaren Reaktion auf einen Vorfall.
Das war die Erkenntnis aus dem jüngsten Webinar von Mimecast mit dem Titel "Attribution, Fact or Fiction?", an dem Sam Humphries, Head of Security Strategy bei Exabeam, teilnahm. Exabeam ist ein Partner von Mimecast und hat sich auf die Erkennung von Bedrohungen, Untersuchungen und Reaktionsabläufe für Sicherheitsteams spezialisiert. Sie können das Webinar auf Abruf hier ansehen (und die Diskussion über die Zuordnung beginnt bei Minute 18).
Wie Attribution die Reaktion auf Vorfälle verlangsamen kann
Bei der Reaktion auf einen Vorfall sollten drei Prioritäten gesetzt werden: Den Angriff stoppen, die Schadsoftware entfernen und die Daten wiederherstellen. Im Folgenden beschreibt Sam die zahlreichen Risiken, die mit der Priorisierung der Attribution verbunden sind:
"Wenn Sie anfangen, den Weg der Zuschreibung zu beschreiten, wird das Ihren Denkprozess bei der Untersuchung und Reaktion verzerren. Sie werden nach Dingen suchen, die nicht da sind. ... Sie ignorieren Informationen, die Ihre "heiße Vermutung", wer Sie angegriffen hat, nicht bestätigen. Oder Sie akzeptieren unbegründete Unwahrheiten". Vor allem "kann man Zeit verlieren, und Zeit ist bei einer Untersuchung ein absolutes Muss", sagte sie.
Etwa die Hälfte der befragten Incident Responder gab an, dass die Reaktion auf einen Vorfall typischerweise zwei bis vier Wochen dauert, so der Mimecast-Partner IBM,[1] und die Verluste der Unternehmen sind bei kürzeren Untersuchungen und Ausfallzeiten messbar geringer.[2] In vielen Fällen, insbesondere bei advanced persistent threats (APTs), kann der Angriff schon viel länger im Gange sein.
Die Zuschreibung ist nicht nur der falsche Ausgangspunkt für eine Untersuchung, sondern es wird auch immer schwieriger, einen nationalen Akteur oder eine Bande von Cyberkriminellen als Schuldigen zu identifizieren. Die Ermittler können sich mit Operationen unter falscher Flagge konfrontiert sehen, bei denen die Angreifer absichtlich Ablenkungsmanöver wie fremdsprachige Zeichen in ihren Code einbauen. Außerdem werden Ransomware-as-a-Service, E-Mail-Phishing-Kits und andere Hacking-Tools im Dark Web zum Verkauf an "Script-Kiddies" angeboten - jene ungelernten Neulinge, die die Reihen der Cyberangreifer immer größer werden lassen. Diese Kits sorgen für eine Menge gleich aussehender Angreifer. Unser Webinar enthielt ein weiteres Beispiel für Verschleierung, und zwar die Anatomie eines "impossible travel"-Exploits, bei dem der Angriff in Echtzeit über den gesamten Globus zu wandern schien.
Wenn ein Angriff noch im Gange ist, wenn er entdeckt wird, "erforschen sie im Wesentlichen ein System und ein internes Netzwerk, um zu sehen, was sie kontrollieren können, was sie stehlen können, was sie sonst noch angreifen können", so ein Bericht des Mimecast-Partners Palo Alto Networks. Möglicherweise sind sie auch gerade dabei, Geschäftsgeheimnisse Ihres Unternehmens, persönliche Identitätsdaten von Kunden oder Zugangsdaten für das Netzwerk zu exfiltrieren .[3]
Daher ist es wichtig, dass Sie sich unmittelbar auf die Geschehnisse konzentrieren - und nicht darauf, wer dahinter stecken könnte - und drei wichtige Fragen beantworten:
- Was haben sie getan?
- Wie haben sie das gemacht?
- Haben sie etwas gestohlen?
Wenn Attribution wichtig ist
Die zeitliche Zuordnung ist entscheidend. Auch wenn die Attribution in den meisten Fällen keine Priorität hat, so ist sie doch zum richtigen Zeitpunkt von großem Wert und kann in einigen Fällen sogar unerlässlich sein.
Regierungsbehörden müssen aus geopolitischen Gründen oft nationalstaatliche Akteure identifizieren. Auch die Versicherungsunternehmen wollen wissen, wer die Schuld trägt, und ein großer Versicherer hat kürzlich angekündigt, dass er so genannte "Kriegshandlungen" durch nationalstaatliche Akteure nicht mehr abdecken wird. Aus diesem Grund sollten viele Einsatzkräfte den letzten Teil einer Untersuchung der Zuordnung widmen.
Ein weiterer Zeitpunkt, sich mit der Attribution zu befassen, ist im Voraus - um Abwehrmaßnahmen gegen Angriffe aufzubauen. Bedrohungsdaten können die von verschiedenen Angreifern verwendeten Tools, ihre Methoden für den Zugriff auf ein Netzwerk und ihre typischen Ziele identifizieren. So kann zum Beispiel ein Krankenhaus Bedrohungsdaten nutzen, um sich gegen bekannte Angreifer im Gesundheitswesen zu verteidigen.
In der Hitze des Gefechts - auch wenn es aufschlussreich sein kann, den Modus Operandi der verschiedenen Angreifer zu kennen - ist die Zuordnung jedoch ein riskanter Ausgangspunkt für die Reaktion auf einen Vorfall. Die Frage nach dem "Wer" und nicht nach dem "Was" kann die Ermittler in die Irre führen und sie dazu veranlassen, andere Ermittlungswege zu verschließen, die zu den tatsächlichen Aktivitäten des Angreifers in Ihrem Netzwerk führen könnten. Normalerweise sollte man mit der Zuordnung warten.
Sechs Schritte zur Reaktion auf Vorfälle
Exabeam hat kürzlich einen sechsstufigen Plan zur Reaktion auf Vorfälle veröffentlicht,[4] :
- Vorbereitung: Zu den Aufgaben in dieser Phase gehören z. B. die Bildung eines Reaktionsteams auf einen Vorfall und die Erstellung eines Aktionsplans.
- Identifizierung: Dies ist die Zeit, um den Vorfall zu bewerten, Beweise zu sammeln und bei Bedarf zu eskalieren. E-Mail-basierte Bedrohungen stellen hier aufgrund ihres Umfangs und ihrer Komplexität eine besonders schwierige Herausforderung dar, da sie das bevorzugte Mittel von Cyberangreifern sind, um einen Angriff zu starten.
- Eingrenzung: Dieser Schritt umfasst die Eingrenzung, indem z. B. Netzwerkressourcen isoliert und Backups erstellt werden.
- Ausrottung: Hier entfernt das Reaktionsteam die Malware und flickt die für den Zugriff genutzten Netzwerkschwachstellen.
- Wiederherstellung: Jetzt ist es an der Zeit, die bereinigten Systeme vorsichtig wieder in Betrieb zu nehmen.
- Lessons Learned: Die Nachbesprechung und Dokumentation der Geschehnisse könnte auch eine Zurechnung beinhalten.
Die Quintessenz
Die Zuordnung von Angriffen zu einer bestimmten Cyberkriminalitätsbande oder einem nationalen Akteur hat Vor- und Nachteile - vor allem aber Nachteile, wenn es um einen Angriff auf Ihr Unternehmen geht. Das liegt daran, dass sie den Einsatzkräften und der Cloud einen Einblick in die tatsächliche Bedrohung geben kann, die es zu bekämpfen gilt. In einem Mimecast-Webinar wurde kürzlich dieses allzu menschliche Problem der Voreingenommenheit bei der Reaktion auf Vorfälle erörtert, und können Sie es auf Abruf ansehen (ab Minute 18).
[1] "Cybersecurity Incident Responders Have Strong Sense of Service," IBM
[2] "Kosten einer Datenpanne 2022," IBM
[3] "2022 Incident Response Report," Palo Alto Networks
[4] "Reaktion auf Zwischenfälle: 6 Schritte, Technologien und Tipps," Exabeam
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!