Wichtige Frage bei Sicherheitsvorf\u00e4llen: Was ist vorher passiert? Oft f\u00fchren die Spuren zu kompromittierten Benutzerkonten. Der Verkauf von Anmeldedaten ist schon fast eine eigene kriminelle Branche geworden. Auf illegalen M\u00e4rkten werden massenhaft Benutzernamen und Passw\u00f6rter feilgeboten. Damit werden Angriffe auf Unternehmensinfrastrukturen zum Kinderspiel. Verschiedenste Methoden f\u00fcr den Fernzugriff machen es den Kriminellen noch einfacher. Im Anfangsstadium wirken solche Angriffe meist wie legitime Aktionen der Mitarbeiter und bleiben den herk\u00f6mmlichen Sicherheitsmechanismen h\u00e4ufig verborgen.<\/p>\n
Ma\u00dfnahmen und Richtlinien zum Schutz von Benutzerkonten und Passw\u00f6rtern sind sch\u00f6n und gut, reichen aber l\u00e4ngst nicht aus. Allzu leicht k\u00f6nnen Passw\u00f6rter von Mitarbeitern in die falschen H\u00e4nde geraten: Phishing-Angriffe und Infostealer-Malware warten an jeder Ecke. Oder nachl\u00e4ssige Mitarbeiter verwenden dasselbe Passwort f\u00fcr gesch\u00e4ftliche und private Benutzerkonten oder passen einfach nicht auf ihre Daten auf.<\/p>\n
Wenn es um Angriffe auf Unternehmensinfrastrukturen geht, sind nicht nur Tools erforderlich, die bestimmte Bedrohungen identifizieren k\u00f6nnen. Ebenso unentbehrlich ist hier eine Verhaltensanalyse, die Abweichungen von normalen Benutzer- und Systemprozessen erkennt.<\/p>\n
Wie bereits in einem anderen Beitrag<\/a> erw\u00e4hnt, haben wir unser SIEM-System (Kaspersky Unified Monitoring and Analysis Platform) mit einer Reihe von UEBA-Regeln ausgestattet. Diese verbessern die Erkennung von Angriffen, bei denen kompromittierte Konten ausgenutzt werden. Sie erkennen Anomalien bei Authentifizierungsprozessen, in der Netzwerkaktivit\u00e4t und bei der Ausf\u00fchrung von Prozessen auf Windows-basierten Workstations und Servern. Im neuesten Update haben wir das System in die gleiche Richtung weiterentwickelt und um KI-Ans\u00e4tze erweitert.<\/p>\n Das System erstellt Authentifizierungsvorg\u00e4ngen ein Modell f\u00fcr normales Benutzerverhaltens und \u00fcberwacht Abweichungen von \u00fcblichen Szenarien: untypische Anmeldezeiten, ungew\u00f6hnliche Ereignisketten und anomale Zugriffsversuche. Mit diesem Ansatz kann das SIEM-System sowohl Authentifizierungsversuche mit gestohlenen Anmeldedaten als auch die Nutzung bereits kompromittierter Benutzerkonten aufdecken. Dazu z\u00e4hlen auch komplexe Szenarien, die zuvor unbemerkt geblieben w\u00e4ren.<\/p>\n Das System sucht nicht nach einzelnen Indikatoren, sondern analysiert Abweichungen von normalen Mustern. Komplexe Angriffe werden fr\u00fcher erkannt und gleichzeitig wird die Anzahl falsch positiver Ergebnisse reduziert. Und nicht zuletzt: Das SOC-Team wird erheblich entlastet.<\/p>\n Bisher war die Verwendung von UEBA-Regeln zur Anomalie-Erkennung relativ aufwendig: Es ging nicht ohne mehrere vorl\u00e4ufige Regeln und extra Listen mit zwischengespeicherten Daten. Die neue SIEM-Version hat einen neuen Korrelator. Darum k\u00f6nnen Diebst\u00e4hle von Benutzerkonten jetzt mithilfe einer einzigen spezialisierten Regel dingfest gemacht werden.<\/p>\n Je komplexer die Infrastruktur und je mehr Ereignisse, desto wichtiger werden die Leistung der Plattform, die Flexibilit\u00e4t bei der Zugriffsverwaltung und praktische Aspekte. Ein modernes SIEM-System muss Bedrohungen pr\u00e4zise erkennen und zudem auch \u201eresilient\u201c sein, ohne dass Ger\u00e4te st\u00e4ndig aktualisiert und Prozesse neu erstellt werden m\u00fcssen. Daher sind wir in Version 4.2 einen Schritt weiter gegangen, um die Plattform praktischer und flexibler zu gestalten. Die Neuerungen betreffen Architektur, Erkennungsmechanismen und Benutzererfahrung.<\/p>\n Eine der wichtigsten Neuerungen in der neuen SIEM-Version ist das flexible Rollenmodell. Die Kunden k\u00f6nnen jetzt eigene Rollen f\u00fcr verschiedene Systembenutzer erstellen und vorhandene Duplikate sowie Zugriffsrechte f\u00fcr die Aufgaben bestimmter Spezialisten anpassen. Vorteile: genauere Unterscheidung der Verantwortlichkeiten von SOC-Analysten, Administratoren und Managern, verringertes Risiko von \u00fcberfl\u00fcssigen Berechtigungen und mehr Transparenz f\u00fcr interne Unternehmensprozesse in den SIEM-Einstellungen.<\/p>\n In Version 4.2 stellen wir die Beta-Version eines neuen Korrelationsmoduls (2.0) vor. Es verarbeitet Ereignisse schneller und entlastet die Hardware. F\u00fcr die Kunden bedeutet dies:<\/p>\n Au\u00dferdem bauen wir die Integration der MITRE ATT&CK-Matrix f\u00fcr Techniken, Taktiken und Prozeduren systematisch weiter aus: Kaspersky SIEM deckt derzeit mehr als 60\u00a0% der gesamten Matrix ab<\/a>. Die Erkennungsregeln werden regelm\u00e4\u00dfig aktualisiert und durch Empfehlungen f\u00fcr geeignete Reaktionen erg\u00e4nzt. Dadurch k\u00f6nnen Kunden feststellen, welche Angriffsszenarien bereits unter Kontrolle sind, und ihr Schutzkonzept auf Basis eines branchenweit anerkannten Modells optimal planen.<\/p>\n Daneben bietet Version 4.2 eine Backup- und Wiederherstellungsfunktion f\u00fcr Ereignisse sowie den Datenexport in sichere Archive mit eingebauter Integrit\u00e4tskontrolle. Dies ist besonders wichtig f\u00fcr Untersuchungen, Audits und Compliance. Analysten werden entlastet, da Abfragen im Hintergrund ablaufen. Komplexe und ressourcenintensive Suchvorg\u00e4nge k\u00f6nnen jetzt im Hintergrund ausgef\u00fchrt werden und bremsen wichtige Aufgaben nicht aus. Das hei\u00dft: Vollgas bei der Analyse gro\u00dfer Datenmengen.<\/p>\nWeitere Neuerungen in Kaspersky Unified Monitoring and Analysis Platform<\/h2>\n
Neu: flexible Rollen und granulare Zugriffskontrolle<\/h3>\n
Neuer Korrelator\u00a0\u2013 stabilere Plattform<\/h3>\n
\n
Ber\u00fccksichtigung von TTPs gem\u00e4\u00df MITRE ATT&CK-Matrix<\/h3>\n
Weitere Verbesserungen<\/h3>\n