Wo es Anfang des Jahres noch der Supply Chain-Angriff über SolarWinds (auch bekannt unter „Sunburst“) war, folgten im April der Exchange-Server-Exploit und nun in diesem Monat die Ransomware-Attacke auf Colonial Pipeline.
Hervorzuheben ist, dass vielen Angriffen eine Phase vorangeht, wo Angreifer unbemerkt in das Netzwerk eindringen und lange unter dem Radar der gängigen IDS/IPS-Tools bleiben. Auch mit EDR (Endpoint Detection and Response) ausgestattete Hosts werden gerne umgangen. Erschwerend kommt hinzu, dass Agenten nicht auf allen Servern installiert werden können, um kontinuierlich alle Zugriffe und Aktivitäten zu überwachen – man denke nur an DNS-Server oder IoT-Devices. Logs sind in dieser Hinsicht ebenfalls nicht zuverlässig, denn sie können manipuliert oder gelöscht werden, um unlautere Aktivitäten zu verschleiern.
Im Fall von Colonial Pipeline hat es das Netzwerk getroffen, das für die Steuerung und Kontrolle der technischen und systemrelevanten Infrastruktur zuständig war. Idealerweise sollten solche sensiblen Netzwerke von der übrigen IT-Umgebung abgekoppelt sein. In der Realität ist das oftmals jedoch nicht der Fall und eine noch so kleine Verbindung zwischen beiden Netzwerken lässt sich finden. Sobald der letzte Perimeter überwunden (oder wahrscheinlicher: umgangen) ist, steht einer Attacke nichts mehr im Weg – es sei denn, man überwacht das Netzwerk selbst.
Mehr Sichtbarkeit durch NDR
Im Gegensatz zu Logs können Netzwerkpakete weder manipuliert noch gelöscht werden, denn das würde die Datenübertragung stören. Das wiederum fällt auf. Selbiges gilt für die Übertragung ungewohnt großer Datenmengen, die Kommunikation mittels unüblicher Protokolle oder außerordentliche Zugriffe. Das Aufspüren solcher außergewöhnlichen Verhaltensweisen ist eine der Stärken von NDR (Network Detection and Response) und kann unter dem Begriff „(User) Behavior Analytics“ zusammengefasst werden. Zusätzlich ist die grundsätzliche Erhöhung der Netzwerksicherheit durch Überwachung gängiger Security-Hygiene-Praktiken möglich.
Unter dem Strich lässt sich also feststellen, dass der Schwerpunkt des Netzwerkmanagements sich zunehmend von einer reinen Betriebsbetrachtung hin zu einer Anomalie-basierten Betrachtung verschiebt. Dieser kollaborative Ansatz bedient verschiedene IT-Teams mit derselben Datengrundlage und wird auf diese Weise künftig umfassend zur Geschäftssicherung beitragen.
Eine weitere Analyse zum Colonial Pipeline-Angriff finden Sie unter diesem Link. Oder kommen Sie direkt auf uns zu: Olga Wall, Consultant für Application Performance Management oder Fabian Fink, Account Manager.
Besuchen Sie uns auch gerne auf dem BizOps-Forum, wo wir am 9. Juni einen Workshop zum Thema „amasol SecOps – a user-centric security foundation for IT-driven business outcomes” halten werden.