Nutzung der Metadaten für Security Whitepaper: Die Macht der Metadaten für die Sicherheit nutzen Abbildung 3 zeigt eine erschreckende neue Realität in der Demokratisierung des Hackens. Wer Schaden anrichten will, braucht wenig Geschick und wenig Ressourcen, um einen erfolgreichen Angriff durchzuführen. Malware-Pakete und Wege, sie zu verbreiten, werden auf dem Schwarzmarkt verkauft und sind billig zu bekommen. Infolgedessen nehmen das Volumen und die Häufigkeit von Angriffen zu, und die Zeit bis zum erfolgreichen Durchbruch und Datendiebstahl oder Ausschleusung von Daten wird immer kürzer. Dies stellt einen neuen Druck für Sicherheitsarchitekturen dar, um die Zeit bis zur Erkennung und Reaktion zu verkürzen. Wenn Bedrohungen anhalten während die Malware so modifiziert wird, dass sie die Abwehrmechanismen der Vergangenheit überwindet, ist der Prozess des erfolgreichen Datendiebstahls etwas komplizierter. Die meisten fortgeschrittenen persistenten Bedrohungen (Advanced Persistent Threats, (APTs) folgen einer „Kill Chain“ (eingeführt von Lockheed Martin und popularisiert von Mandiant), die im Wesentlichen eine Sechs-SchritteSequenz ist, die einen spezifischen Satz von Aktivitäten enthält, die mit jedem Schritt verbunden sind. Aufklärung. Angreifer zielen auf die Organisation und ihre Mitarbeiter und recherchieren Informationen über Social Media und öffentliche Kanäle, um zu verstehen, welche Personen strategisch wichtig sind und über umfassende Zugriffsrechte verfügen, und wie sie anfällig für Phishing-Betrug oder Malware sind. Tag Null. Angreifer nutzen die Informationen, die sie bei der Erkundung sammeln, als Waffe, indem sie es schaffen, heimlich einen schädlichen Code auf dem Zielgerät zu installieren. Dieser Code ist ein Brückenkopf oder ein Haken in das Netzwerk der Organisation, auf die gezielt zugegriffen wird. Hintertür. Einmal auf dem Zielgerät angekommen, stellen sie dann über das Internet eine Verbindung zu Servern her, die als Befehls- und Kontrollinfrastruktur (Command and Control Server) dienen. Command und Control Server (auch C&C oder C2 genannt) können mehr Malware auf infizierte Geräte herunterladen und zusätzliche Hacker-Tools im Zielnetzwerk bereitstellen. 1 Aufklärung 2 Phishing & Zero-Day-Angriff 3 Hintertür Seitwärtsbewegung. Mit neu heruntergeladenen Tools aus der C&C-Kommunikation können Hacker tiefer in das Netzwerk eindringen, indem sie auf verfügbare Ressourcen zugreifen oder ihre Privilegien durch eine manipulierte Authentifizierungsinfrastruktur ausweiten. Datensammlung. Die Angreifer beginnen damit, Informationen über Hosts im Netzwerk, Netzwerktopologien, vertrauenswürdige Beziehungen, Windows-Domänenstrukturen, Dateisystemstandorte und vieles mehr zu sammeln. In dieser Phase identifizieren Angreifer, wo wertvolle Daten gespeichert sind. Ausschleusung. In dieser letzten Phase werden die wertvollen Daten aus dem Netzwerk extrahiert und an Depotstellen im gesamten Web gesendet. Wenn diese Phase erfolgreich abgeschlossen ist, hat der Netzwerkbruch zu Datenverlust und -diebstahl geführt und ist nun ein Sicherheitsereignis. Die meisten Angriffe folgen dieser Angriffskette (Kill Chain) mit nur sehr geringen Modifikationen. Selbst Angriffe, die anders aussehen, folgen diesem Muster. Dies schafft die Möglichkeit, Datendiebstahl und -verlust zu mildern oder zu stoppen, indem Angreifer und ihr Stadium in der Angriffskette identifiziert werden. Die Schritte, die Angreifer in jeder Phase unternehmen, können ihre Ziele verraten, wenn Organisationen deren Bewegungen innerhalb von Netzwerken überwachen und analysieren können. Diese Art der Identifizierung konzentriert sich auf Sicherheitsanalysen, die fortgeschrittene Techniken für das Pattern Matching anwenden können, ein neues und sich schnell entwickelndes Gebiet der Cybersicherheit, das man Verhaltensanalyse nennt. Erstellung von Modellen für normales und schlechtes Verhalten Das Identifizieren von anomalem Verhalten wie ein schlechter Akteur, der sich seitlich in einem Netzwerk bewegt, erfordert einige wichtige Schritte: 1) Aufbau eines Verständnisses für das normale Verhalten in Netzwerken, sodass Abweichungen markiert werden können, und 2) Verständnis des Kontextes für das Verhalten, um die Abweichung als angemessen oder unbeabsichtigt genau zu identifizieren. 4 5 6 Seitwärtsbewegung Datensammlung Ausschleusung Abbildung 4: Sechs-Schritte-Sequenz spezifischer Aktivitäten für eine fortgeschrittene persistente Bedrohung © 2016 Gigamon. Alle Rechte vorbehalten. 3 Whitepaper: Die Macht der Metadaten für die Sicherheit nutzen Was als normales Verhalten betrachtet wird, kann sehr spezifisch für eine Organisation sein, abhängig von der Art des Geschäfts, in dem sie tätig ist, und wie ihr Netzwerk aufgebaut ist, was wiederum einzigartige Verkehrsmuster erzeugt. Die Etablierung der Normalität einer Organisation bedeutet den Aufbau eines Modells durch Beobachtung von Datenflüssen und Konnektivität. Ebenso können Modelle für schlechtes oder bösartiges Verhalten mit Hilfe bekannter Datensätze erstellt werden, wie sie in Malware-Datenbanken und Bedrohungs-Feeds verfügbar sind. Diese Modelle müssen fortlaufend über den Kontext des Normalen (z. B. typische und wiederkehrende Verkehrsspitzen am Monatsende) und der Absicht (z. B. was wie zu viele unautorisierte Zugriffsversuche aussieht, ist eigentlich ein vergessenes Passwortproblem und kein DDoS-Angriff) informiert werden. Sobald diese Modelle und ein System zu ihrer Aktualisierung etabliert sind, werden sie kontinuierlich in Bezug auf einander trianguliert, so dass anomales und wirklich schädliches Verhalten identifiziert werden kann. Das klingt als Plan einfach. Die Umsetzung ist jedoch ziemlich schwierig. Die Schaffung eines Kontextes für die Netzwerknutzung ist eine Herausforderung, da es einfach zu viele Informationsquellen gibt, die alle zu unterschiedlichen Abteilungen gehören (z. B. Gruppen für Endpunkte, Netzwerkrouting und Switching, Anwendungen, virtualisierte Systeme, Sicherheitsgeräte wie Firewalls, Intrusion Prevention und Data Loss Prevention Systeme) mit unterschiedlichen Zugriffsrechten und Formaten (z. B. Syslog, Json und Textdateien). Und selbst wenn es möglich ist, alle diese Informationen zu sammeln, gibt es einfach zu viel davon, um sie problemlos zu speichern und zu analysieren. Viele Organisationen erhalten Millionen (wenn nicht gar Milliarden) von Ereignissen von verschiedenen Geräten. Erschwerend kommt hinzu, dass einige dieser Informationsquellen überhaupt nicht zur Verfügung stehen. Auditing-Funktionen können rechenintensiv sein und Sicherheitseinrichtungen belasten, deren primäre Funktion der Schutz ist, sodass die granulare Protokollierung standardmäßig deaktiviert sein kann. • Spezifisch für jede Organisation. • Benötigt Daten aus dem gesamten Unternehmen. Notwendigkeit, Schlecht • Entwickelt aus früheren schlechten Aktionen, Sandboxing, Bedrohun Please complete the form to gain access to this content Access Now Related Resources Closing the Cloud Visibility Gap Helping Service Providers on their Network Journey Understanding the Value of Application-Aware Network Operations When Networks Meet The New Tomorrow Resilience During Unprecedented Change How to get high performing, secure networks while staying within budget 2019 Cyberthreat Report - Executive Brief DE 2019 Cyberthreat Report - Infographic DE Bekämpfung der Bedrohung von innen neue Ansätze bei der Bereitstellung von Netzwerksicherheit Gigamon und die allgemeine Datenschutzverordnung der Europäischen Union The Surprising Ways that Inline Bypass Helps Protect Network Operations How to Gain Control of Complex Applications in the Time of Digital Transformation Definitive Guide to Next-Generation Network Packet Brokers Network Architecture with Security in Mind Next-Generation Network Packet Brokers What Do You Mean TLS 1.3 Might Degrade My Security? Security at the Speed of Your Network Inline Bypass: Scaling Inline Threat Prevention Tools to Keep Pace with High-Speed Networks How to Strengthen Security While Optimizing NETWORK PERFORMANCE Scaling Network Security
Whitepaper: Die Macht der Metadaten für die Sicherheit nutzen Abbildung 3 zeigt eine erschreckende neue Realität in der Demokratisierung des Hackens. Wer Schaden anrichten will, braucht wenig Geschick und wenig Ressourcen, um einen erfolgreichen Angriff durchzuführen. Malware-Pakete und Wege, sie zu verbreiten, werden auf dem Schwarzmarkt verkauft und sind billig zu bekommen. Infolgedessen nehmen das Volumen und die Häufigkeit von Angriffen zu, und die Zeit bis zum erfolgreichen Durchbruch und Datendiebstahl oder Ausschleusung von Daten wird immer kürzer. Dies stellt einen neuen Druck für Sicherheitsarchitekturen dar, um die Zeit bis zur Erkennung und Reaktion zu verkürzen. Wenn Bedrohungen anhalten während die Malware so modifiziert wird, dass sie die Abwehrmechanismen der Vergangenheit überwindet, ist der Prozess des erfolgreichen Datendiebstahls etwas komplizierter. Die meisten fortgeschrittenen persistenten Bedrohungen (Advanced Persistent Threats, (APTs) folgen einer „Kill Chain“ (eingeführt von Lockheed Martin und popularisiert von Mandiant), die im Wesentlichen eine Sechs-SchritteSequenz ist, die einen spezifischen Satz von Aktivitäten enthält, die mit jedem Schritt verbunden sind. Aufklärung. Angreifer zielen auf die Organisation und ihre Mitarbeiter und recherchieren Informationen über Social Media und öffentliche Kanäle, um zu verstehen, welche Personen strategisch wichtig sind und über umfassende Zugriffsrechte verfügen, und wie sie anfällig für Phishing-Betrug oder Malware sind. Tag Null. Angreifer nutzen die Informationen, die sie bei der Erkundung sammeln, als Waffe, indem sie es schaffen, heimlich einen schädlichen Code auf dem Zielgerät zu installieren. Dieser Code ist ein Brückenkopf oder ein Haken in das Netzwerk der Organisation, auf die gezielt zugegriffen wird. Hintertür. Einmal auf dem Zielgerät angekommen, stellen sie dann über das Internet eine Verbindung zu Servern her, die als Befehls- und Kontrollinfrastruktur (Command and Control Server) dienen. Command und Control Server (auch C&C oder C2 genannt) können mehr Malware auf infizierte Geräte herunterladen und zusätzliche Hacker-Tools im Zielnetzwerk bereitstellen. 1 Aufklärung 2 Phishing & Zero-Day-Angriff 3 Hintertür Seitwärtsbewegung. Mit neu heruntergeladenen Tools aus der C&C-Kommunikation können Hacker tiefer in das Netzwerk eindringen, indem sie auf verfügbare Ressourcen zugreifen oder ihre Privilegien durch eine manipulierte Authentifizierungsinfrastruktur ausweiten. Datensammlung. Die Angreifer beginnen damit, Informationen über Hosts im Netzwerk, Netzwerktopologien, vertrauenswürdige Beziehungen, Windows-Domänenstrukturen, Dateisystemstandorte und vieles mehr zu sammeln. In dieser Phase identifizieren Angreifer, wo wertvolle Daten gespeichert sind. Ausschleusung. In dieser letzten Phase werden die wertvollen Daten aus dem Netzwerk extrahiert und an Depotstellen im gesamten Web gesendet. Wenn diese Phase erfolgreich abgeschlossen ist, hat der Netzwerkbruch zu Datenverlust und -diebstahl geführt und ist nun ein Sicherheitsereignis. Die meisten Angriffe folgen dieser Angriffskette (Kill Chain) mit nur sehr geringen Modifikationen. Selbst Angriffe, die anders aussehen, folgen diesem Muster. Dies schafft die Möglichkeit, Datendiebstahl und -verlust zu mildern oder zu stoppen, indem Angreifer und ihr Stadium in der Angriffskette identifiziert werden. Die Schritte, die Angreifer in jeder Phase unternehmen, können ihre Ziele verraten, wenn Organisationen deren Bewegungen innerhalb von Netzwerken überwachen und analysieren können. Diese Art der Identifizierung konzentriert sich auf Sicherheitsanalysen, die fortgeschrittene Techniken für das Pattern Matching anwenden können, ein neues und sich schnell entwickelndes Gebiet der Cybersicherheit, das man Verhaltensanalyse nennt. Erstellung von Modellen für normales und schlechtes Verhalten Das Identifizieren von anomalem Verhalten wie ein schlechter Akteur, der sich seitlich in einem Netzwerk bewegt, erfordert einige wichtige Schritte: 1) Aufbau eines Verständnisses für das normale Verhalten in Netzwerken, sodass Abweichungen markiert werden können, und 2) Verständnis des Kontextes für das Verhalten, um die Abweichung als angemessen oder unbeabsichtigt genau zu identifizieren. 4 5 6 Seitwärtsbewegung Datensammlung Ausschleusung Abbildung 4: Sechs-Schritte-Sequenz spezifischer Aktivitäten für eine fortgeschrittene persistente Bedrohung © 2016 Gigamon. Alle Rechte vorbehalten. 3 Whitepaper: Die Macht der Metadaten für die Sicherheit nutzen Was als normales Verhalten betrachtet wird, kann sehr spezifisch für eine Organisation sein, abhängig von der Art des Geschäfts, in dem sie tätig ist, und wie ihr Netzwerk aufgebaut ist, was wiederum einzigartige Verkehrsmuster erzeugt. Die Etablierung der Normalität einer Organisation bedeutet den Aufbau eines Modells durch Beobachtung von Datenflüssen und Konnektivität. Ebenso können Modelle für schlechtes oder bösartiges Verhalten mit Hilfe bekannter Datensätze erstellt werden, wie sie in Malware-Datenbanken und Bedrohungs-Feeds verfügbar sind. Diese Modelle müssen fortlaufend über den Kontext des Normalen (z. B. typische und wiederkehrende Verkehrsspitzen am Monatsende) und der Absicht (z. B. was wie zu viele unautorisierte Zugriffsversuche aussieht, ist eigentlich ein vergessenes Passwortproblem und kein DDoS-Angriff) informiert werden. Sobald diese Modelle und ein System zu ihrer Aktualisierung etabliert sind, werden sie kontinuierlich in Bezug auf einander trianguliert, so dass anomales und wirklich schädliches Verhalten identifiziert werden kann. Das klingt als Plan einfach. Die Umsetzung ist jedoch ziemlich schwierig. Die Schaffung eines Kontextes für die Netzwerknutzung ist eine Herausforderung, da es einfach zu viele Informationsquellen gibt, die alle zu unterschiedlichen Abteilungen gehören (z. B. Gruppen für Endpunkte, Netzwerkrouting und Switching, Anwendungen, virtualisierte Systeme, Sicherheitsgeräte wie Firewalls, Intrusion Prevention und Data Loss Prevention Systeme) mit unterschiedlichen Zugriffsrechten und Formaten (z. B. Syslog, Json und Textdateien). Und selbst wenn es möglich ist, alle diese Informationen zu sammeln, gibt es einfach zu viel davon, um sie problemlos zu speichern und zu analysieren. Viele Organisationen erhalten Millionen (wenn nicht gar Milliarden) von Ereignissen von verschiedenen Geräten. Erschwerend kommt hinzu, dass einige dieser Informationsquellen überhaupt nicht zur Verfügung stehen. Auditing-Funktionen können rechenintensiv sein und Sicherheitseinrichtungen belasten, deren primäre Funktion der Schutz ist, sodass die granulare Protokollierung standardmäßig deaktiviert sein kann. • Spezifisch für jede Organisation. • Benötigt Daten aus dem gesamten Unternehmen. Notwendigkeit, Schlecht • Entwickelt aus früheren schlechten Aktionen, Sandboxing, Bedrohun
