Extended Detection and Response
Phishing-Angriffe effizient erkennen
Das Risiko, Opfer von Phishing-Attacken zu werden, ist heute präsenter denn je. Doch wie lassen sich Bedrohungen, die per E-Mail in die Unternehmen gespült werden, effektiv erkennen? Und wie können Unternehmen ihre Endpoints absichern? Über die Rolle von Extended Detection and Response (XDR).
Während der vergangenen zwei Jahre nutzten Cyber-Kriminelle die Unsicherheit sowie die Entwicklung hin zu Remote Work und hybriden Arbeitsmodellen gezielt aus, um mithilfe von Phishing-E-Mails an Log-in-Daten zu gelangen. Dies führte dazu, dass die Zahl der Phishing-Angriffe während der Pandemie-Hochphase sprunghaft um 220 Prozent anstieg1. Allein im September 2021 wurden über 200.000 neue Phishing-Webseiten gemeldet2.
Phishing-Kampagnen lassen sich mit einem sehr geringen Aufwand umsetzen. Gleichzeitig verspricht diese Form des Social Engineerings hohe Erfolgschancen. Das macht Phishing-E-Mails zur meist verbreitetsten Methode, mit der sich Cyber-Kriminelle Zugang zu Unternehmensnetzwerken verschaffen können. Einmal im System angelangt, können sie ungestört Daten abgreifen und langfristige Schäden anrichten.
Verdächtige Inhalte proaktiv melden
Was können Mitarbeiter also tun, wenn sie E-Mails erhalten, die ihnen verdächtig erscheinen? Und was brauchen Security Operation Centers (SOCs), um sowohl die Auswertung verdächtiger Inhalte als auch die Bedrohungsabwehr effizienter zu gestalten?
Man nehme folgendes Szenario an: Ein Mitarbeiter eines Unternehmens findet in seinem Postfach eine E-Mail, die angeblich von einem seiner Kollegen stammt. Auf den ersten Blick scheint alles mit rechten Dingen zuzugehen, der Absender sieht legitim aus. Die Nachricht selbst ist jedoch merkwürdig: Der „Kollege“ verweist den betroffenen Mitarbeiter auf eine Webseite, die Informationen für ein anstehendes Projekt beinhalten. Alles, was er dafür tun muss, ist, sich mit seinem regulären Geschäftskonto anzumelden. Da das Unternehmen erst kürzlich eine Mitarbeiterschulung zum Thema „Phishing-Attacken“ durchführte, leitet der Mitarbeiter die E-Mail an ein eigens für Cyber-Sicherheitsbelange eingerichtetes Postfach weiter. Der Vorteil eines solchen Postfachs: Anomalien und potenziell bedrohungsrelevante Daten, die mit eingehenden E-Mails und ihren Anhängen in Zusammenhang stehen, werden hier zentral gesammelt, was die Analyse der Informationen wesentlich vereinfacht.
Das Aufspüren von Bedrohungen ist sehr zeitintensiv
Sobald die verdächtige E-Mail ein solches Sammelpostfach erreicht, ist es die Aufgabe der SOC-Mitarbeiter, die eingehende Meldung zu bearbeiten. Sie konzentrieren sich dabei auf sämtliche Inhalte der Nachricht, wie weiterführende Links zu infizierten Webseiten oder Anhänge, die Malware, Spyware oder Ransomware beinhalten könnten. Außerdem untersuchen sie die Absenderadresse und müssen herausfinden, ob sich die gleichen Inhalte bereits in den Postfächern anderer Kollegen befinden. Durchschnittlich nimmt die Analyse und Auswertung pro Mail 30 bis 45 Minuten in Anspruch. Nach dieser Zeit müssen sie jedoch nicht zwangsläufig auf ernstzunehmende Bedrohungen stoßen – nicht jede verdächtige Mail stellt sich als wirklich gefährlich heraus.
Nun muss man davon ausgehen, dass das SOC-Team nicht nur eine E-Mail am Tag erhält. Wenn wir uns nun vorstellen, dass sie innerhalb einer Woche mit hundert Weiterleitungen konfrontiert werden, kann die Bearbeitungszeit auf 50 Wochenstunden ansteigen. Durch die Menge der zu bearbeitenden Meldungen steigt zudem das Risiko, dass SOC-Mitarbeiter andere Bedrohungen übersehen. Gleichzeitig würden Aufgaben wie zum Beispiel Support-Anfragen von Kollegen zu kurz kommen – von wertschöpfenden Tätigkeiten ganz zu schweigen.
Cybersicherheit mithilfe von XDR automatisieren
Cyber-Kriminelle wenden verschiedene Methoden sowie Tools an, um in Unternehmensnetzwerke zu gelangen und passen sie kontinuierlich an. Daher setzen Unternehmen zur Bedrohungsabwehr häufig mehrere unterschiedliche Sicherheitslösungen ein. Folglich sind SOC-Mitarbeiter nicht nur damit beschäftigt, verdächtige E-Mails, sondern auch unzählige weitere Warnmeldungen auf False-Positives und den Grad des Risikos hin zu überprüfen.
Eine Extended Detection and Response-Plattform (XDR) kann Ordnung in diese Komplexität bringen und dadurch die allgemeine Bedrohungsabwehr stärken. Dafür sammelt sie sämtliche Bedrohungsdaten – einschließlich Netzwerk, Endpoints und sogar E-Mail – zentral an einem Ort und analysiert, korreliert sowie kontextualisiert diese Daten automatisch. Eine XDR-Plattform gestaltet auf diese Weise die gesamte IT-Umgebung transparenter. Dadurch sind SOC-Mitarbeiter in der Lage, Angriffe über sämtliche Systeme, Netzwerke und Geräte hinweg gezielt zu erkennen und auf diese mit entsprechenden Maßnahmen zu reagieren. Da die XDR-Plattform interne und externe Daten korreliert, erkennt sie sogar bislang unbekannte Bedrohungen.
Da es sich bei der Analyse von E-Mail-Inhalten und -Anhängen um eine Routineaufgabe handelt, lässt sie sich mithilfe einer XDR-Plattform automatisieren. So kann sie beispielsweise das Monitoring eines bestimmten Postfachs übernehmen. Sie analysiert umgehend eingehende E-Mails, sammelt alle relevanten Informationen und sucht nach Anomalien, die auf echte Bedrohungen hinweisen. Zu diesen sogenannten „Indicators of Compromise“ – kurz: IoC – zählen unter anderem infizierte Anhänge, Phishing-URLs oder IPs. Im obigen Beispiel wüsste sie nicht nur, wer der betroffene Mitarbeiter ist und wie die Absenderadresse lautet, sondern erkennt zudem eine unbekannte URL. Sie überprüft, ob diese vertrauenswürdig ist und ob ein Sicherheitsrisiko besteht. Im Anschluss sucht sie im Unternehmen automatisch nach weiteren Postfächern, in denen sich E-Mails mit demselben Link und/oder vom gleichen Absender befinden, und löscht sie.
Die XDR-Plattform isoliert betroffene Endgeräte daraufhin vom Netzwerk, um einen automatischen Scan durchzuführen. Dies soll verhindern, dass sich Bedrohungen wie heruntergeladene Malware über das Netzwerk weiter ausbreiten, sollte es zu einem Ernstfall kommen. Als weitere Maßnahme kann eine XDR-Plattform zusätzliche Richtlinien für die Firewall definieren, damit E-Mails mit bestimmten URLs oder Absenderadressen in Zukunft automatisch geblockt werden. Darüber hinaus können sich SOC-Mitarbeiter sämtliche Informationen über den Vorfall zu Review- und Lernzwecken in einem Report zusammenfassen lassen. Dies soll ihnen dabei helfen, sich auf ähnlich geartete Angriffe besser vorzubereiten.
Die Mitarbeiter mitnehmen
Phishing-E-Mails sind eine beliebte Angriffsmethode von Cyber-Kriminellen, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Die Vielzahl an potenziell gefährlichen E-Mails, die Unternehmen täglich erreichen, erschwert es Sicherheitsteams jedoch, Angriffe effizient zu erkennen. Eine XDR-Plattform kann dabei helfen, echte Bedrohungen automatisch sowie schnell herauszufiltern und SOC-Mitarbeitern genügend Zeit zu verschaffen, um auf diese zu reagieren.
Damit die Technologie erfolgreich sein kann, müssen jedoch Mitarbeiter ihren Beitrag zur Cyber-Sicherheit leisten. Dazu gehört es, dass sie Anhänge und Links, die sie per E-Mail erhalten, hinterfragen und nicht sofort öffnen. Unternehmen sollten daher in Security-Awareness-Trainings investieren, damit ihre Mitarbeiter lernen, verdächtige Inhalte gezielt zu erkennen und im Ernstfall richtig zu handeln.
Andreas Groß, Senior Manager Presales bei Trellix
1 https://www.f5.com/labs/articles/threat-intelligence/2020-phishing-and-fraud-report
Lesen Sie mehr zum Thema
