{"id":27605,"date":"2021-10-22T12:08:51","date_gmt":"2021-10-22T10:08:51","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27605"},"modified":"2021-10-22T12:08:51","modified_gmt":"2021-10-22T10:08:51","slug":"ask-the-analyst","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ask-the-analyst\/27605\/","title":{"rendered":"IT-Sicherheitsanalysten eine Frage stellen \u2013 mit Ask the Analyst leicht gemacht"},"content":{"rendered":"

Mitarbeiter von IT-Sicherheitszentralen (Security Operations Center, SOC) und Abteilungen f\u00fcr Informationssicherheit bitten die Experten von Kaspersky oft um Hilfe. Wir haben die Ursachen der am h\u00e4ufigsten gestellten Anfragen analysiert und einen speziellen Service ins Leben gerufen, der es den Kunden erm\u00f6glicht ihre Fragen direkt an den richtigen Fachexperten zu stellen.<\/p>\n

Wof\u00fcr die Hilfe eines Experten erforderlich ist<\/h2>\n

Die Bedrohung von Cyberangriffen nimmt stetig zu und Internetverbrecher finden immer mehr M\u00f6glichkeiten, um ihre Ziele zu erreichen, besonders durch das Entdecken von neuen Schwachstellen in Soft- und Hardware (von Anwendungen, Servern, VPN-Gateways und Betriebssystemen), die sofort f\u00fcr Exploits verwendet werden. Hunderttausende neue Malware-Exemplare tauchen t\u00e4glich auf und zahlreiche Organisationen aus den verschiedensten Bereichen, einschlie\u00dflich Gro\u00dfunternehmen und Beh\u00f6rden, fallen den Angriffen zum Opfer. Dar\u00fcber hinaus tauchen auch regelm\u00e4\u00dfig neue ausgekl\u00fcgelte Bedrohungen auf und komplexe APT-Angriffe (Advanced Persistent Threat) stellen eine Gefahr f\u00fcr Organisationen dar.<\/p>\n

Unter diesen Umst\u00e4nden spielt Bedrohungsanalyse (engl. Threat Intelligence, TI)<\/a> eine wichtige Rolle. Nur mit den aktuellsten Informationen zu den Tools und Taktiken der Angreifer ist es m\u00f6glich ein effektives Schutzsystem aufzubauen. Au\u00dferdem sind diese Informationen bei Vorf\u00e4llen erforderlich, um eine aufschlussreiche Untersuchung durchzuf\u00fchren, Eindringlinge im Netzwerk aufzusp\u00fcren und rauszuwerfen. Dar\u00fcber hinaus ist es ausschlaggebend den ersten Angriffsvektor zu finden, um einen erneuten Angriff zu vermeiden.<\/p>\n

Organisationen, die Bedrohungsanalyse durchf\u00fchren m\u00f6chten, brauchen einen qualifizierten Mitarbeiter, der TI-Anbieterdaten in der Praxis anwenden kann. Dieser Experte spielt bei jeder Bedrohungsuntersuchung die wichtigste Rolle. Allerdings ist die Einstellung, die Fortbildung und die Bindung von Cybersicherheitsanalysten teuer und nicht jedes Unternehmen kann sich ein Expertenteam leisten.<\/p>\n

H\u00e4ufig gestellte Fragen<\/h2>\n

Bei Kaspersky gibt es mehrere Abteilungen, die den Kunden bei Cybervorf\u00e4llen mit Rat und Tat zur Seite stehen. Zu diesen Abteilungen z\u00e4hlen: das Forschungs- und Analyseteam (Global Research and Analysis Team GReAT), the Global Emergency Response Team (GERT) und das Kaspersky Threat Research Team. Insgesamt arbeiten \u00fcber 250 erstklassige Analysten und Experten in unseren Teams und diese Teams erhalten eine Menge Anfragen von Kunden zu Cyberbedrohungen. Durch die Analyse der Anfragen, die wir in letzter Zeit erhalten haben, konnten wir einige Kategorien identifizieren.<\/p>\n

Analyse von Malware oder verd\u00e4chtiger Software<\/h3>\n

Ein Szenario, das relativ h\u00e4ufig vorkommt, umfasst die Trigger der Erkennungslogik von Regeln f\u00fcr Endpoint-Sicherheit oder Bedrohungssuche (engl. Threat Hunting)<\/a>. Das IT-Sicherheitsteam oder die SOC-Mitarbeiter untersuchen die Warnung, finden ein sch\u00e4dliches oder verd\u00e4chtiges Objekt, aber verf\u00fcgen nicht \u00fcber die erforderlichen Ressourcen, um eine detaillierte Studie durchzuf\u00fchren. Das Unternehmen wendet sich an Kaspersky-Experten, um die Funktionalit\u00e4t des gefundenen Objekts herauszufinden, zu \u00fcberpr\u00fcfen, wie gef\u00e4hrlich es tats\u00e4chlich ist und wie gew\u00e4hrleistet werden kann, dass der Vorfall nach dem Entfernen des Objekts vollkommen beendet ist.<\/p>\n

Wenn unsere Experten schnell identifizieren k\u00f6nnen, auf welche Bedrohung sich die Informationen beziehen, die der Kunden geschickt hat (wir verf\u00fcgen \u00fcber eine riesige Wissensdatenbank mit den g\u00e4ngigen Angreifer-Tools und mit mehr als eine Milliarde an einzigartigen Malware-Exemplaren), wird sofort auf die Anfrage geantwortet. Ist das nicht der Fall, ist eine ausf\u00fchrlichere Untersuchung erforderlich und bei komplexen F\u00e4llen kann es manchmal ein bisschen l\u00e4nger dauern.<\/p>\n

Zus\u00e4tzliche Informationen zu Gef\u00e4hrdungsindikatoren<\/h3>\n

Die meisten Unternehmen verwenden eine Reihe von unterschiedlichen Quellen f\u00fcr die Gef\u00e4hrdungsindikatoren (engl. Indicators of Compromise, IoCs). Wie wertvoll ein Gef\u00e4hrdungsindikator ist, h\u00e4ngt im Wesentlichen von der Kontextverf\u00fcgbarkeit ab, bzw. von der Verf\u00fcgbarkeit der zus\u00e4tzlichen Informationen \u00fcber den Indikator und deren Bedeutung. Leider steht dieser Kontext nicht immer zur Verf\u00fcgung. Gehen wir davon aus, dass ein SOC-Analyst einen bestimmten Gef\u00e4hrdungsindikator im SIEM-System (kurz f\u00fcr Security Information and Event Management) entdeckt. Der Mitarbeiter erkennt au\u00dferdem einen Ausl\u00f6ser, der zu einem Vorfall f\u00fchren k\u00f6nnte, aber die erforderlichen Informationen zum Fortfahren mit der Untersuchung stehen nicht zur Verf\u00fcgung.<\/p>\n

In diesen F\u00e4llen kann eine Anfrage an Kaspersky gesendet werden, um mehr Informationen zu dem entsprechenden Gef\u00e4hrdungsindikator bereitzustellen. Oft stellt sich heraus, dass der Indikator f\u00fcr eine Kompromittierung ernst genommen werden sollte. Beispielsweise erhielten wir einmal eine IP-Adresse, die im Traffic-Feed des Unternehmens gefunden wurde (d. h. es wurde vom Unternehmensnetzwerk darauf zugegriffen). Bei der Adresse war u. A. ein Software-Management-Server namens Cobalt Strike gehostet, ein leistungsstarkes Remoteserver-Verwaltungstool (oder schlicht und einfach eine Backdoor), das von allen Arten von Internetverbrechern verwendet wird. Wenn ein Cobalt-Strike-Server entdeckt wird, ist das in den meisten F\u00e4llen ein Anzeichen daf\u00fcr, dass das Unternehmen bereits angegriffen wurde (es kann sich dabei um einen echten Angriff oder eine Cyber\u00fcbung handeln). Unsere Experten stellen zus\u00e4tzliche Informationen zu diesem Tool bereit und empfehlen umgehend eine Vorfallreaktion (eng. Incident Response, IR) durchzuf\u00fchren, um die Gefahr zu bannen und die Hauptursache festzustellen, die zu dieser Kompromittierung gef\u00fchrt hat.<\/p>\n

Anfragen zu Taktiken, Techniken und Abl\u00e4ufen<\/h3>\n

Gef\u00e4hrdungsindikatoren reichen l\u00e4ngst nicht aus, um einen Angriff abzuwehren oder einen Vorfall zu untersuchen. Sobald festgestellt werden konnte, welche Internetverbrechergruppe hinter dem Angriff steckt, brauchen SOC-Analysten in der Regel Informationen zu den Taktiken, Techniken und Abl\u00e4ufen (engl. Tactics, Techniques and Procedures, TTPs) \u2013 sie brauchen genaue Daten zum Modus Operandi der Gruppe, um herauszufinden, wo und wie die Angreifer in die Infrastruktur gelangen konnten, detaillierte Informationen zu den Methoden, die die Bedrohungsakteure verwenden, um sich im Netzwerk einzunisten und auch wie die Datenexfiltration durchgef\u00fchrt wird. Diese Informationen stellen wir im Rahmen unseres Services Threat Intelligence Reporting zur Verf\u00fcgung.<\/p>\n

Die Methoden von Internetverbrechern \u2013 selbst, wenn sie derselben Gruppe angeh\u00f6ren \u2013 k\u00f6nnen sehr unterschiedlich ausfallen. Deshalb ist es unm\u00f6glich alle Details in einem Bericht festzuhalten \u2013 nicht einmal sehr detaillierte Berichte enthalten alle Informationen. Aus diesem Grund fragen uns TI-Kunden, die unsere Berichte zu fortgeschrittener andauernder Bedrohung (engl. Advanced Persistent Threat, APT) und Bedrohungen durch Crimeware anwenden, manchmal nach zus\u00e4tzlichen Informationen zu konkreten Aspekten der Angriffstechnik im Rahmen eines bestimmten Kontextes des Kunden.<\/p>\n

Bis jetzt haben wir auf diese Arten von Fragen und viele andere \u00fcber spezielle Services geantwortet oder im begrenzten Rahmen \u00fcber den technischen Support. Die Zunahme dieser Anfragen in letzter Zeit und die Tatsache, dass das Fachwissen und Know-how unserer Experten von gro\u00dfem Wert f\u00fcr Unternehmen sind, hat uns dazu angeregt einen spezifischen Service namens \u201eKaspersky Ask the Analyst\u201c anzubieten, der schnellen Zugang zur Beratung unserer Experten \u00fcber einen einzigen Kanal bietet.<\/p>\n

Service \u201eAsk the Analyst\u201c von Kaspersky<\/h2>\n

Unser neuer Service erm\u00f6glicht es Mitarbeitern (insbesondere SOC-Analysten und Informationssicherheitsexperten) Ratschl\u00e4ge von Kaspersky-Experten zu erhalten, wodurch die Untersuchungen f\u00fcr die Unternehmen erheblich kosteng\u00fcnstiger ausfallen. Da wir uns der Wichtigkeit von rechtzeitiger Bedrohungsinformationen bewusst sind, bieten wir Dienstg\u00fctevereinbarungen (DGV) f\u00fcr alle Arten von Anfragen an. Mit Kaspersky Ask the Analyst genie\u00dfen Informationssicherheitsexperten folgende Services:<\/p>\n