Cyber-Defense-Center
Analystenelite gegen Wirtschaftsspione
Fortsetzung des Artikels von Teil 2
Korrelierte Log-Daten
Bernd Eßer erläutert: „Um eine solche Infektion zu detektieren, müssen drei Ereignisse miteinander korrelieren. Das beginnt bei den Proxy-Servern. Sie protokollieren, wenn ein Arbeitsplatzrechner mit einer bestimmten IP-Adresse eine ausführbare Datei aus dem Internet herunterlädt.“ Für sich alleine betrachtet ist das nicht verdächtig. Es könnte sich um einen vollkommen legitimen Vorgang handeln. „Wenn dieselbe IP-Adresse innerhalb weniger Minuten eine weitere ausführbare Datei von einer anderen URL herunterlädt“, ergänzt Eßer, „etabliert sich jedoch ein Anfangsverdacht.“ Auch dieser Vorgang könnte legitim sein: Ein Mitarbeiter lädt innerhalb kurzer Zeit zwei Software-Tools aus dem Internet herunter. Möglicherweise handelte es sich bei dem ersten Download jedoch um einen Trojaner, der nach seiner Installation ein Remote-Administration-Tool nachlud. „Da wir keine Mitarbeiter überwachen“, sagt Bernd Eßer, „sondern gezielt nach kriminellen Verhaltensmustern suchen, gibt das SIEM bis jetzt noch keinen Alarm aus.“
Erst wenn ein drittes Ereignis mit den beiden vorhergehenden korreliert, werden die Forensiker informiert. Die Notifikation erfolgt, wenn dieselbe IP-Adresse innerhalb weniger Minuten nach den zwei Downloads ausführbarer Dateien versucht, an den Proxy-Servern vorbei direkt auf das Internet zuzugreifen. Remote-Administration-Tools nehmen nach Installation automatisch Kontakt mit einem Command-and-Control-Server (C&C) im Internet auf. Über einen solchen Server steuern Hacker befallene Systeme aus der Ferne. Die Proxy-Server-Einstellungen des Unternehmens bleiben dabei in der Regel unberücksichtigt. Diesen Verbindungsversuch detektiert die Telekom mit Honeypot-Systemen, die sie in ihrem Intranet installiert hat. „Diese dreifache Kombination von Ereignissen“, so Eßer, „wird mit allergrößter Wahrscheinlichkeit nicht absichtlich von einem Mitarbeiter provoziert. Unser SIEM erstellt ein Ticket und unsere Analysten gehen der Sache auf den Grund.“
Datenschutz berücksichtigen
Unternehmen, die ebenfalls über die Auswertung von Log-Daten nachdenken, sollten bedachtsam vorgehen. US-amerikanische Organisationen bedienen sich häufig eines Big-Data-Ansatzes, um gespeicherte Daten aus allen möglichen Log-Quellen im Falle eines vermuteten oder tatsächlichen Angriffs im großen Stil auszuwerten. In Eu-ropa ist das aus datenschutzrechtlichen Gründen nur eingeschränkt möglich. Da das Cyber Defense Center ausschließlich die Vorgehensweise externer Cyberkrimineller modelliert, ist das Verfahren datenschutzrechtlich unbedenklich. Die Use-Cases sind so gestaltet, dass sie den Anfangsverdacht eines kriminellen Vergehens begründen und erlauben damit die weitere Auswertung der Log-Daten.
- Analystenelite gegen Wirtschaftsspione
- Neue Spionage-Abwehr gefordert
- Korrelierte Log-Daten
Lesen Sie mehr zum Thema
