Intel Security-Bericht
Acht Indikatoren für einen Cyber-Angriff
Fortsetzung des Artikels von Teil 1
Acht Indikatoren für einen Angriff
Der Report von Intel Security zeigt die Top acht Indikatoren für einen Angriff, die Unternehmen im Blick behalten müssen, um gezielte Angriffe entdecken und abzuwehren zu können. Davon beziehen sich fünf auf Events im Zeitverlauf, was die Bedeutung der kontextbezogenen Korrelation zeigt:
- Interne Hosts kommunizieren mit bekannten bösartigen Zieladressen oder mit Zielen in anderen Ländern, in denen die Organisation keine Geschäfte betreibt.
- Interne Hosts kommunizieren mit externen Hosts über Nicht-Standard-Ports oder Protokoll/Port-Fehlanpassungen, beispielsweise senden sie Command-Shells (SSH) anstatt HTTP-Verkehr über Port 80, dem Standard-Web-Port.
- Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts. „Huckepack“ können Hacker so in das Unternehmen gelangen und Daten herausschleusen oder Zugriff auf Vermögenswerte erhalten. Das hebt den Wert der DMZ auf.
- Warnungen zur Malware-Erkennung außerhalb der Geschäftszeiten (in der Nacht oder am Wochenende) können auf einen gefährdeten Host hindeuten.
- Netzwerk-Scans von internen Hosts, die mit mehreren Hosts in einem kurzen Zeitraum kommunizieren, könnten auf einen Angreifer hindeuten, der sich quer durchs Netzwerk bewegt. Die Netzwerkabwehr, wie Firewall und IPS, ist selten so konfiguriert, dass sie Verkehr im internen Netzwerk überwacht – könnte es aber.
- Mehrere Alarmereignisse von einem einzelnen Host oder duplizierte Ereignisse auf mehreren Maschinen im gleichen Subnet über einen Zeitraum von 24 Stunden, zum Beispiel wiederholte Authentifizierungsfehler.
- Nach der Reinigung wird ein System innerhalb von fünf Minuten erneut von Malware befallen – wiederholte Infektionen deuten auf ein Rootkit oder eine anhaltende Gefährdung hin.
- Ein Benutzerkonto versucht sich innerhalb von wenigen Minuten in mehrere Ressourcen in verschiedenen Regionen oder aus verschiedenen Regionen heraus einzuloggen. Das kann ein Zeichen dafür sein, dass die Anmeldeinformationen des Benutzers gestohlen wurden oder dass ein Benutzer etwas im Schilde führt.
„Uns ist eine Workstation aufgefallen, die eigenartige Authentifizierungsanfragen um zwei Uhr nachts an den Domain-Controller geschickt hat. Das könnte eine normale Aktivität sein – es könnte aber auch ein Zeichen für einen bösartigen Angriff sein“, so Lance Wright, Senior Manager für Informationssicherheit und Compliance bei Volusion, einem Commerce-Solution-Provider, der an der Studie teilgenommen hat. „Nach diesem Vorfall haben wir die Regel eingeführt, dass wir informiert werden, wenn eine Workstation mehr als fünf Authentifizierungsanfragen außerhalb der Geschäftszeiten erhält. Dies hilft uns, den Angriff frühzeitig zu identifizieren, bevor irgendwelche Daten gefährdet sind.“
Intelligente SIEM-Technologien in Echtzeit minimieren die Zeit bis zur Entdeckung und verhindern so aktiv Datenlecks. Das geschieht durch Kontextualisierung von Indikatoren während der Analyse sowie automatisierte Policy-gesteuerte Reaktionen. Organisationen können ihre Erkennungsfähigkeit beschleunigen, schneller reagieren und aus vergangenen Ereignissen lernen. So werden sie vom Gejagten zum Jäger.
- Acht Indikatoren für einen Cyber-Angriff
- Acht Indikatoren für einen Angriff
Lesen Sie mehr zum Thema
