Unternehmen müssen mit der Geschwindigkeit zunehmend automatisierter Cyberangriffe Schritt halten und diese abwehren, bevor der Schaden eskaliert.
Die Zukunft von Cyber-Angriffen werden vorprogrammierte autonome Tools sein, die das Netzwerk einer Organisation infizieren und in ihr Netzwerk eindringen Laut Richard Stiennon, Gründer des Branchenanalyseunternehmens, können Ziele Ziele erreichen und sie innerhalb weniger Minuten stehlen oder beschädigen IT-Ernte.
Besondere Funktion
Sonderbericht: Ein Leitfaden zur Rechenzentrumsautomatisierung (kostenloses PDF)
Dieses E-Book, das auf der neuesten ZDNet/TechRepublic-Sonderfunktion basiert, untersucht, wie die Automatisierung von Rechenzentren neue Ebenen der Agilität und digitalen Transformation ermöglicht.
Lies jetztDie aktuellen Reaktionszeiten bei Vorfällen werden jedoch selbst in Best-Practice-Organisationen in Stunden gemessen. Stiennon sagt, dass mit zunehmender Automatisierung und Autonomie der Cyber-Angreifer auch die Cyber-Verteidiger automatisiert und autonom werden müssen.
Denken Sie an den NotPetya-Angriff vom Juni 2017, der den automatischen Software-Update-Prozess von unterwanderte Stattdessen installierte die ukrainische Buchhaltungssoftware MEDoc Schadsoftware, die sich dann über das Internet verbreitete Organisation.
NotPetya war eine russische Operation gegen die Ukraine, doch der Schaden breitete sich über Organisationen wie den Containerschiffriesen Maersk weltweit aus.
„Es gab einen einzigen Finanzkontrolleur in Odessa, der darauf bestand, dass er eine Kopie von MEDoc brauchte, und bei Maersk breitete sich die Infektion daraus aus.“ „In etwa 48 Stunden ist ein erster Infektionskeim auf all ihren Desktops entstanden“, sagte Stiennon bei einem von Cybereason in Sydney organisierten Briefing Dienstag.
Es dauerte neun Tage, das Chaos zu beseitigen. Maersk sagte, es habe sie einschließlich entgangener Einnahmen 300 Millionen US-Dollar gekostet.
„Wie wäre es, wenn Sie etwa zweieinhalb Minuten Zeit haben, in denen ein Angriff eindringen, sich seitlich bewegen, die gesuchten Ressourcen finden und sie herausfiltern kann? Deshalb werden wir auch autonome Antworten brauchen“, sagte Stiennon.
Das bedeutet, dass eine autonome Sicherheitsorchestrierung alles abwickelt, von der frühestmöglichen Erkennung eines Einbruchs bis hin zur Entscheidung darüber, wie dies geschehen soll reagieren, indem sie infizierte Maschinen identifizieren und isolieren und Aktualisierungen für Firewall-Regelsätze, Netzwerksegmentierung und Zugriff veröffentlichen Kontrollen.
„Das ist für die meisten von uns eine beängstigende Aussicht. Den meisten unserer Prozesse vertrauen wir nicht so sehr, aber wir müssen es tun, um an den Punkt zu gelangen, an dem wir darauf vertrauen können, dass wir uns auf diese automatische Weise verteidigen können.“
Wie können Sie das Management davon überzeugen, das Geld auszugeben, um Autonomie in die Sicherheitsorchestrierung einzubauen? Stiennon schlägt vor, das zu tun, was Lockheed Martin 2011 getan hat, und Threat Intelligence zu nutzen, um ihnen zu helfen, das Risiko zu verstehen.
Lockheed Martin analysierte die böswilligen Aktivitäten in verschiedenen Phasen des Angriffs Cyber-Kill-Chain, und ordnete sie bestimmten APT-Gruppen (Advanced Persistent Threat) zu, ohne diese APTs unbedingt bestimmten nationalstaatlichen oder kriminellen Akteuren zuzuordnen.
„Die CISO-Wochenzeitung berichtete ihrem oberen Management, und sie sagten: Schauen Sie, das sind die 14 Aktiven.“ Kampagnen, die gegen uns laufen, und hier sind sie diese Woche angekommen, und wie wir sie gestoppt haben“, sagte Stennon sagte.
Die meisten Organisationen verfügten nicht über die Ressourcen von Lockheed Martin, sagte er, aber Unternehmen wie Cybereason beginnen, verwaltete Dienste anzubieten, um diese Funktionen kleineren Organisationen zur Verfügung zu stellen.
Laut Charles Cote, Regionaldirektor für Asien bei Cybereason, fließen 80 Prozent der aktuellen Sicherheitsausgaben in die Prävention, und das muss sich ändern.
„Als Organisation glauben wir an Prävention. Firewalls, IPS, Antivirus, das brauchen Sie. Aber wir glauben auch, dass das scheitern wird“, sagte Cote.
„Wenn man nicht in der Lage ist, Schäden sofort zu erkennen und einzudämmen, wird der Kollateralschaden ausgeweitet.“
In Bilddateien versteckte Schadsoftware und gestohlene Daten
Das Nocturnus-Sicherheitsforschungsteam von Cybereason hat Angriffe analysiert, bei denen Elemente des Cyberangriffs in Bilddateien eingebettet wurden Steganographie.
Die Daten wurden kryptografisch in die niedrigstwertigen Bits der RGB-Farbwerte von Bildern kodiert. Diese Bilddateien, die normal aussahen, wurden dann auf einer legitimen Domain gehostet. Von dort wurden sie mit dem bereits vorhandenen Remote Access Tool (RAT) in das Zielnetzwerk heruntergeladen.
Das Herunterladen von Bilddateien von einem legitimen Server löste keine Sicherheitsüberwachung aus, da keine Anhaltspunkte dafür vorliegen, dass sie möglicherweise bösartig sind.
„Wir zeigen Ihnen eine Möglichkeit, herkömmliche Kontrollen ziemlich einfach zu umgehen … „Das geschieht insgesamt heimlich und ist sehr schwer zu entdecken“, sagte der leitende Sicherheitsberater Matthew Green.
Mit dieser Technik können beliebige Daten verschleiert werden. Dazu kann Malware gehören, die für die nächsten Phasen eines Angriffs benötigt wird, auszuführende Skripte oder Befehle dazu die Infrastruktur des Angreifers neu konfigurieren, was beispielsweise auf eine neue Befehls- und Kontrollfunktion hindeutet Server.
Das Nocturnus-Team hat auch gesehen, dass Steganographie zur Datenexfiltration eingesetzt wird. Die gestohlenen Daten wurden in etwa fünf Gigabyte große Bilddateien kodiert, die dann im Webverzeichnis der Organisation abgelegt wurden. Von dort könnten die Angreifer sie einfach herunterladen.
Letzten Monat Cybereason angekündigt eine Partnerschaft mit dem britischen Halbleiterunternehmen Arm, um mehrschichtigen Schutz, Erkennung und Reaktion in die Arm Pelion IoT-Plattform zu integrieren. Die Unternehmen planen, bis 2035 eine Billion vernetzter Geräte zu schützen.
Verwandte Berichterstattung
Die US-Regierung geht gegen Botnetze und andere automatisierte Angriffe vor
Neuer Bundesbericht gibt Empfehlungen, wie Organisationen sich gegen Bedrohungen verteidigen sollten.
UpGuard zielt darauf ab, die Erkennung von Sicherheitsverletzungen mit einem neuen Sicherheitstool zu automatisieren
Laut UpGuard können Unternehmen mit BreachSight Verstöße schneller erkennen und darauf reagieren, nachdem sie aufgetreten sind.
Wie Automatisierung die Kompetenzlücke im Bereich Cybersicherheit in Unternehmen schließen kann (TechRepublic)
Durch Automatisierung können Teams einen enormen Einfluss auf die Geschwindigkeit und Wirksamkeit der Cyberabwehr erlangen, sagt Kumar Saurabh, CEO und Mitbegründer von LogicHub.
5 Länder bereit für KI und Automatisierung (TechRepublic)
Von Südkorea bis Deutschland betrachtet Tom Merritt fünf Länder, die im Bereich KI innovativ sind.