Geschichten aus dem Security Operations Center (SOC)

Da die Häufigkeit und Vielfältigkeit von Cyberangriffen täglich zunimmt, war die Notwendigkeit umfassender Security-Maßnahmen noch nie so wichtig wie heute. Für Analysten, die ein Security Operations Center (SOC) für einen globalen Extended Detection and Response (XDR)-Dienst besetzen, bringt jeder Tag Dutzende oder sogar Hunderte von Warnmeldungen und Ereignissen mit sich. Wie gelingt es diesen Security-Experten, die Flut potenzieller Bedrohungen auf einer riesigen und vielfältigen Angriffsfläche zu durchschauen?

Nachfolgend habe ich drei reale Beispiele von Cyberangriffen skizziert, die die SOC-Teams von Barracuda XDR beobachtet haben. Sie zeigen, wie blinde Flecken in der Cybersecurity die Ergebnisse dieser Angriffe beeinflussen können.

Szenario 1: Ransomware-Angriff und Datenschutzverletzung bei einem IT-Unternehmen

Ein Kunde hat Barracuda XDR Managed Endpoint Security abonniert, aber nur für Geräte, für die er bereits Security hatte. Dies offenbarte eine Security-Lücke, die schließlich ausgenutzt wurde. In diesem Fall wurde die ursprüngliche Datenschutzverletzung durch eine Kompromittierung des SSL-VPN einer Firewall erleichtert, die keine Multi-Faktor-Authentifizierung (MFA) ermöglichte, sodass der Angreifer eine Zero-Day-Schwachstelle ausnutzen konnte, um Fuß zu fassen. Der Angreifer bewegte sich dann lateral durch das Netzwerk, kompromittierte Server, erhöhte die Privilegien, manipulierte Adminkonten und -gruppen und richtete nicht autorisierte Kommunikationskanäle mit einem bösartigen Command-and-Control-Server (C&C) ein.

Das Fehlen robuster Security-Maßnahmen auf mehreren Ebenen der Netzwerkinfrastruktur ermöglichte es dem Angreifer, verschiedene Schwachstellen auszunutzen, was zu erheblichen Schäden und einer Beeinträchtigung des Netzwerks führte.

Während des Angriffs nutzte der Bedrohung verschiedene Tools, um die blinden Flecken in der Security auszunutzen, das System zu kompromittieren, bösartige Aktivitäten auszuführen und der Erkennung zu entgehen. Dazu gehörten Tools zur Fernsteuerung, zum Aufbau einer dauerhaften Netzwerkverbindung, zur Erleichterung der lateralen Bewegung und zur Unterstützung der Datenexfiltration.

Wie viele andere Bedrohung griff der Angreifer auf handelsübliche IT-Tools zurück, die, wenn sie isoliert entdeckt würden, nicht sofort Verdacht erregen würden. In den Händen eines Angreifers werden diese Tools für Aktivitäten wie das Remote-Herunterladen bösartiger Payloads oder Skripte oder das Scannen von Netzwerken verwendet, um offene Ports, laufende Dienste und andere Netzwerkattribute zu identifizieren, die für weitere Ausnutzungen oder zur Suche nach zusätzlichen Zielen verwendet werden können.

Der Ransomware-Angriff, der auch eine Datenexfiltration beinhaltete, führte zu einer Betriebsunterbrechung, die zu einer Unterbrechung der Dienste und wahrscheinlich zu erheblichen finanziellen Verlusten führte. Der Datendiebstahl vergrößerte den Schaden durch den Verlust von geistigem Eigentum, Kundendaten sowie durch Compliance-Verstöße.

Dieser Vorfall unterstreicht die Notwendigkeit einer umfassenden Security-Strategie mit einem ganzheitlichen Ansatz, der über den Endpunktschutz hinaus auch die Netzwerk-, Server-, Cloud- und E-Mail-Sicherheit umfasst.

Szenario 2: Ransomware-Angriff auf einen Hersteller

Bei diesem Angriff nutzte der Bedrohung kompromittierte Zugangsdaten aus, um sich unbefugten Zugriff auf einen Remote Desktop Protocol (RDP)-Server zu verschaffen. Dazu verwendete er ein gängiges Tool zum Brute-Force-Angriff auf ein VPN-Konto.

Die Angreifer nutzten Security-Fehlkonfigurationen aus, wie z. B. das unsachgemäße Ausschließen Essentials Systemverzeichnisse. Diese kritischen Versäumnisse führten dazu, dass über 100 Geräte kompromittiert wurden und das ERP-System des Opfers gestört wurde. Der Bedrohung hat auch die Backup-Daten des Unternehmens gelöscht.

Wie beim ersten Vorfall setzten die Angreifer eine Vielzahl von Tools ein, um das System zu kompromittieren, Brute-Force-Angriffe auszuführen, Passwörter zu extrahieren, nach Security-Schwachstellen zu suchen und laterale Bewegungen und Remote-Codeausführung zu unterstützen.

Die Security-Verletzung hat den Betrieb des Unternehmens erheblich gestört und zu großen finanziellen Verlusten geführt. Die Kompromittierung des Netzwerks brachte die Produktion zum Stillstand und die Produktionspläne durcheinander. Außerdem verlängerte der Verlust der Backup-Daten die Ausfallzeit und den Wiederherstellungsprozess. Es dauerte mehr als zwei Monate, bis das Unternehmen seinen Betrieb wieder im vollen Umfang aufnehmen konnte.

Die unvollständige Implementierung von Sicherheitslösungen machte diesen Kunden anfällig für diese Art von Angriffen.

Szenario 3: Ransomware-Angriff auf einen Einzelhändler

In unserem dritten Beispiel führten offengelegte Assets, schwache Authentifizierung und fehlende Security-Transparenz dazu, dass ein wichtiger Server mit seinem Remote-Desktop-Protokoll (RDP) dem öffentlichen Internet ausgesetzt war. Der Bedrohung nutzte den offenen RDP-Kanal, um in das Netzwerk einzudringen, und zielte auf die Domänen-Controller (DCs) ab, wo er Konten erstellte und anschließend löschte, um seine Spuren zu verwischen.

Dank dieses Zugangs konnte der Bedrohung die Integrität und Vertraulichkeit des Netzwerks gefährden. Der Bedrohung extrahierte vertrauliche Daten von den Dateiservern und verkaufte die gestohlenen Informationen im Dark Web.

Die Angreifer nutzten ein gängiges Tool zur Emulation von Bedrohungen, das dazu verwendet werden kann, die Persistenz aufrechtzuerhalten, die Privilegien zu erweitern, sich lateral zu bewegen und Daten zu stehlen. Hinzu kamen Tools zum Knacken von Passwörtern und Tools, die den Angreifern geholfen hätten, die Umgebung des Opfers besser zu verstehen und abzubilden, um sie weiter auszunutzen.

Die Auswirkungen der Sicherheitsverletzung konzentrierten sich auf den Diebstahl und die Veröffentlichung sensibler Daten im Dark Web. Die kritischen Dateiserver, die während des Angriffs kompromittiert wurden, enthielten wertvolles geistiges Eigentum und sensible Kundeninformationen, deren unbefugte Offenlegung zu Reputationsschäden führte und das Vertrauen der Kunden untergrub.

Wie bei den ersten beiden Beispielen unterstrich auch diese Sicherheitsverletzung die Notwendigkeit einer ganzheitlichen Cybersecurity-Strategie.

Der Wert einer umfassenden Cybersecurity-Abdeckung

Alle drei Angriffe sind eine deutliche Erinnerung daran, dass unvollständige Security-Maßnahmen Unternehmen anfällig für Angriffe machen können, die weitreichende Folgen haben können, sowohl finanziell als auch für die Reputation. Darüber hinaus führt ein Mangel an Security-Transparenz in der gesamten Umgebung dazu, dass verdächtige Aktivitäten schwerer zu erkennen und mit anderen Aktivitäten zu korrelieren sind, was eine schnelle und umfassende Reaktion auf den Angriff verzögern oder verhindern kann. Bedenken Sie, dass alle drei Unternehmen über Sicherheitslösungen verfügten. Da sie jedoch nicht in eine ganzheitliche Suite von Cybersecurity-Systemen investiert hatten, die ihr gesamtes IT-Ökosystem (Cloud, Server, Netzwerke, Anwendungen usw.) schützten, konnten kritische Lücken leicht ausgenutzt werden.

Die Integration von Netzwerk-, Endpunkt-, Server-, Cloud- und E-Mail-Sicherheit durch XDR ermöglicht eine beispiellose Erkennung von Bedrohungen sowie Reaktionsfähigkeit. Das liegt an den Daten. Mit einer umfassenden XDR-Lösung wird jeder Winkel der IT-Infrastruktur – von E-Mails bis hin zu Cloud-Anwendungen – überwacht und mit erweiterten Security-Maßnahmen und einem vollständigen Spektrum an Abwehrtools in Kombination mit proaktiven Strategien für die Suche nach und die Reaktion auf Bedrohungen geschützt. Dies ermöglicht ein schnelles Handeln und minimiert das Zeitfenster für Bedrohung.

Hinweis: Dieser Artikel wurde ursprünglich im Managed Services Journal veröffentlicht.