IT-Security-Spezialisten in sogenannten SOCs, CDCs oder CSIRTs haben meist viel um die Ohren, weil sie sich um zahlreiche Events und Incidents kümmern müssen. Mit Systemhärtung lässt sich die Flut an (Falsch-) Meldungen deutlich reduzieren und zugleich das Risiko eines erfolgreichen Angriffs deutlich reduzieren.
Welche großen Herausforderungen ein SOC-Team hat
Alle Unternehmen, die digital arbeiten und eine große IT-Infrastruktur betreiben, sollten ein Security Operations Center (SOC) haben – entweder ein eigenes Team oder durch einen Dienstleister unterstützt. Die SOC-Spezialisten überwachen bestenfalls rund um die Uhr alle Systeme und leiten zum Beispiel bei Cyber-Attacken sofort passende und abgestimmte Gegenmaßnahmen ein.
So viel zur Theorie.
In der Praxis zeigt sich, dass SOC-Teams häufig überlastet sind und nur mit hohem Aufwand Cyber-Angriffe und dergleichen erkennen und abwehren können. Warum ist das so? Zum einen sind unserer Erfahrung nach Security Operations Center häufig personell unterbesetzt. Das liegt am Fachkräftemangel, denn Unternehmen finden nicht die passenden Mitarbeiter. Zudem fallen die Budgets für SOCs zu klein aus.
Ein weiterer, wichtiger Grund: SOC-Experten stehen oft einer schier endlosen Anzahl an Events und potentiellen Security-Incidents gegenüber. Nicht selten gibt es False-Positiv-Raten von deutlich über 50 Prozent. Das hat Auswirkungen auf verschiedenen Ebenen:
-
- Fachlich entpuppt sich ein sehr großer Teil der Alerts als irrelevant bzw. als Fehlalarme.
- Zeitlich beschäftigen sich die teils hochspezialisierten Fachkräfte den größten Teil der wertvollen Arbeitszeit mit nicht relevanten Themen.
- Die Incident-Flut sorgt für Unruhe, da sie eventuell in andere Bereiche eines Unternehmens weitergetragen wird.
- Aus Sicht der Motivation ist die Fluktuation hoch. Viele Fachkräfte haben einfach keine Lust, aufgrund falsch konfigurierter Systeme oder schlecht eingestellter Schwellwerte ständig Fehlalarmen hinterher zu rennen.
Warum kommt es zu so vielen Fehlalarmen?
Dafür gibt es mehrere Gründe. Zum Beispiel geben Überwachungssysteme ohne professionelles Tuning extrem viele Meldungen aus. Sie unterscheiden nicht zwischen wirklich wichtigen und relativ unwichtigen Anomalien. Das führt zu einer Vielzahl an Alarmmeldungen.
In diesem Fall definieren die SOC-Verantwortlichen nicht genau, in welcher Tiefe die einzelnen Systeme überwacht werden sollen. Man “sammelt“ einfach Logs ein und definiert keine sauberen Schwellwerte. Das Ergebnis können Hunderte Alerts pro Stunde sein.
Das bringt verständlicherweise die SOC-Mitarbeiter an den Rand der Verzweiflung, da sie sinnbildlich den Wald vor lauter Bäumen nicht mehr sehen. Und wenn man dann noch Pech hat, kommen zusätzlich noch Infrastruktur-Probleme hinzu. Denn: Wenn unzählige Daten empfangen, geparst, vereinheitlicht, analysiert und verglichen werden, desto mehr Speicher- und Rechenlast entsteht. Diese Ressourcen müssen vorhanden sein, um eine Verarbeitung von Events “near realtime” gewährleisten zu können.
Ein weitere, eminente Ursache liegt viel tiefer: Die Systeme, die durch Anomalieerkennungssysteme überwacht werden, sind in der Regel nicht sicher konfiguriert. Sie weisen viele Schwachstellen und Lücken auf, die dementsprechend leicht kompromittiert werden können. Anders gesagt: Eine auf industrieerprobten Standards implementierte Systemhärtung ist nicht vorhanden.
Weshalb Systemhärtung Security-Teams stark entlasten kann
Ein ungehärtetes System hat Tür und Tor offen für “Cyber-Gangster”. Diese nutzen unnötige Dienste, ungepatchte Anwendungen oder andere Angriffsflächen, um in IT-Infrastrukturen einzudringen und sich dort auszubreiten. Wird eine Attacke erkannt, schrillen verständlicherweise an allen Enden die Alarmglocken auf.
Eine nachhaltige Systemhärtung hilft in vielen verschiedenen Dimensionen. Zum Einen wird der Schutz der IT-Systeme deutlich erhöht, Angriffe können dank einer umfassenden Systemhärtung ins Leere laufen. Zum Anderen hilft Systemhärtung aber auch im Umfeld “Detection & Response”.
Das hat auch Microsoft im veröffentlichten “Digital Defense Report” ziemlich klar dokumentiert:
“SOCs can mitigate alerts using hardening rules capabilities (..). Hardening against common threats can not only reduce alert volume, but also may stop many attackers before they get access to networks.”
Frei übersetzt bedeutet das:
“SOCs können Alarme mit Systemhärtung mitigieren. Systemhärtung gegen gängige Bedrohungen kann nicht nur die Anzahl der Alarme reduzieren, sondern auch viele Angreifer stoppen, bevor sie Zugang zu Netzwerken erhalten.”
Die Folge: Wo es weniger (Falsch-)Alarmierungen gibt, kann ein echter Angriff besser erkannt werden! Insbesondere dort, wo dem Angreifer aufgrund einer Härtung der schnelle und einfache Weg in die Infrastruktur verwehrt wurde. Der Aufwand für die Angreifer steigt. Sie müssen “lauter” werden, was die Chance steigen lässt, dass sie das SOC erkennt.
Ein Beispiel, wie Härtung und SOC-Alerts zusammenhängen
Schauen wir uns WannaCry an. Die Ransomware hielt 2017 die IT-Welt in Atem und ging monatelang durch die Medien. Das Debakel basierte auf dem Protokoll SMB v1, welches damals schon viele Jahre als unsicher bekannt war.
So trennte sich Microsoft 2014 öffentlich von SMB v1, unter anderem wurde es bei Neuinstallationen entfernt. Der Konzern aus Redmond, das Center for Internet Security (CIS) und andere Organisationen gaben lange vor dem WannaCry-Chaos entsprechende Konfigurations- bzw. Härtungsempfehlungen heraus. Doch diesen folgten nur wenige Unternehmen.
Als WannaCry zuschlug, gab es weltweit Alarmmeldungen. Die Security-Teams (SOC, CSIRT etc.) standen unter Dauerstress. Entweder, um sich präventive Maßnahmen einfallen zu lassen und sinnvolle Erkennungsmethoden zu entwickeln. Oder um die Weiterverbreitung zu stoppen, wenn schon unzählige Endgeräte verschlüsselt und die Unternehmen im Nachgang mit immensen Lösegeld-Forderungen erpresst wurden.
Am Ende sorgte WannaCry nicht nur für Tumult, sondern auch für finanzielle Verluste. Kaspersky schätzt den Schaden, der durch WannaCry in etwa 150 Ländern weltweit entstand, auf etwa vier Milliarden US-Dollar.
Unternehmen, die ihre Systeme richtig gehärtet hatten, indem sie beispielsweise SMB v1 nicht mehr einsetzten, blieben von diesen teuren Folgen verschont. Denn WannaCry konnte zwar einzelne Systeme infizieren, falls beispielsweise über Phishing-Mails Schadcode ausgeführt wurde, sich jedoch nicht im gesamten Netzwerk ausbreiten. Der genutzte technische Angriffsvektor SMBV1 war eben nicht mehr aktiviert.
Beispiele in dieser Art gab es in der Vergangenheit zahlreiche. Und auch aktuell reißen die Meldungen, dass Organisationen, Behörden und Unternehmen erfolgreich gehackt werden, nicht ab. Die SOC-Teams haben allerhand zu tun, weil die IT-Entscheider ihre “Hausaufgaben” – die sichere Konfiguration – vorab nicht erledigten.
Kann ein SOC komplett entlastet werden?
Nein. Ein IT-System zu 100 Prozent vor Angriffen und Breaches zu schützen, ist ein theoretisches Ziel, aber unrealistisch. Trotzdem sollten IT- und Security-Verantwortliche stets ihr Bestes geben, dass es Hacker und Cyber-Kriminelle so schwer wie möglich haben, erfolgreich zu sein.
Oft zeigt sich: Wenn ein Angreifer mit seinen Standard-Methoden scheitert, gibt er auf und sucht sich ein leichteres Opfer. Oder er ist gezwungen, andere Methoden anzuwenden, über x Systeme zu “hüpfen” oder neue Dinge auszuprobieren.
Auch hierauf geht oben genannter “Digital Defense Report” von Microsoft ein:
“Ransomware attackers are motivated by easy profits, so adding to their cost via security hardening is key in disrupting the cybercriminal economy.”
Oder übersetzt:
“Ransomware-Angreifer sind durch Gewinne motiviert, sodass die Erhöhung des Aufwandes durch Systemhärtung ein wichtiger Faktor mit großem Einfluss auf das cyberkriminelle Wirtschaftssystem darstellt.”
Einfacher formuliert kann man sagen: Je schwerer der Einbruch ist, desto weniger Einbrecher versuchen es und sind am Ende erfolgreich.
Audits und Nachweise nicht vergessen!
Legt man den Hackern viele Steine in den Weg, haben die Mitarbeiter aus dem Security Operations Center genügend Zeit, um Gegenmaßnahmen zu ergreifen und die Aktionen des “Cyber-Gangsters” unschädlich zu machen.
Und im Nachhinein kann der Pfad des Angreifers nachgezeichnet werden. Die Arbeit eines IT-Forensiker wird erleichtert, wenn es genügend Log-Files und Audit-Reports gibt. Letztgenannte Nachweise lassen sich zum Beispiel schnell und einfach mit dem kostenlosen AuditTAP erzeugen.
Auf Basis der Erkenntnisse sollten neue, präventive Aktionen erfolgen. Das könnte die Schließung weiterer Schwachstellen sein oder eine Steigerung der Sicherheit durch striktere Härtung. Dazu gehört zum Beispiel das Auflösen von Sondergenehmigungen für veraltete Software, da diese aktuelle Sicherheitsstandards nicht mehr unterstützen.
Und das SOC hat seine Prozesse zu überarbeiten und seine Tools zu optimieren, um in Zukunft noch besser für weitere Cyberattacken gewappnet zu sein! Diese werden sicherlich kommen.
Fazit
Wichtige Entscheider in Unternehmen fokussieren sich häufig auf Maßnahmen wie Detection und Response, eventuell auch auf Recover bzw. Restore. Das ist in Ordnung, immerhin sollen Cyber-Angriffe erkannt und behoben werden.
Doch dabei darf man nie vergessen, präventiv aktiv zu werden! Denn: Wenn man die Systeme über eine Härtung “verschließt”, können auch weniger “Einbrecher” eindringen und Schäden anrichten! WannaCry, Mimikatz, DefenderStop und Konsorten verlieren dann schnell ihren Schrecken.
Und wie lässt sich eine nachhaltige und zugleich automatisierte Systemhärtung realisieren? Mit Hardening-Tools wie dem Enforce Administrator!
Benötigen Sie Unterstützung bei der Härtung Ihrer Systeme? Kontaktieren Sie uns! Unsere Experten melden sich umgehend bei Ihnen.
Schreiben Sie uns eine E-Mail!
Bilder: Freepik, Wikimedia