Barracuda full logo

Die SOC-Fallakten: Die automatisierte Bedrohungsabwehr von XDR bietet einem Mitarbeiter in der Cloud Hochgeschwindigkeitsschutz

Themen:
16. Jan.. 2025
|

Zusammenfassung des Incidents

  • Ein Mitarbeiter eines Telekommunikationsunternehmens verband sich wie gewohnt mit seinem Cloud-Konto.
  • Er schien dann eine Strecke von 361 km, etwa 225 Meilen, mit fast doppelter Schallgeschwindigkeit zurückzulegen, bevor er sich wieder einloggte, wie aus den Daten hervorgeht, die die automatisierten Erkennungssysteme von Barracuda Managed XDR erreichen.
  • Diese Erkennungssysteme registrierten gleichzeitig, dass:
    • Bei der zweiten Benutzeranmeldung wurde ein anderes Gerät verwendet.
    • Der zweite Login kam von einer IP-Adresse und einem Standort, die für diesen Benutzer ungewöhnlich waren.
    • Diese IP-Adresse wurde als bösartig markiert.
  • Insgesamt bestand eine Wahrscheinlichkeit von 99 %, dass das Konto von einem Bedrohungsakteur kompromittiert wurde.
  • Da der Arbeitgeber des Benutzers Automated Threat Response als Teil von XDR Cloud Security implementiert hatte, wurde das betroffene Konto automatisch gesperrt, der Kunde wurde benachrichtigt und der Vorfall wurde beendet.

Der Vorfall wurde von der Automated Threat Response-Funktionalität der Barracuda Managed XDR Cloud Security erkannt, eingedämmt und abgemildert. Barracuda Managed XDR ist ein Dienst für erweiterte Sichtbarkeit, Erkennung und Reaktion (XDR), der Kunden rund um die Uhr von Menschen und KI unterstützte Dienste zur Bedrohungserkennung, -analyse, -reaktion und -minderung bietet, um sie vor komplexen Bedrohungen zu schützen.

Wie der Angriff ablief

Eines Nachmittags gegen 15:25 Uhr verband sich ein Mitarbeiter eines Telekommunikationsunternehmens mit seinem gewohnten Gerät und von seinem üblichen Standort aus mit seinem Cloud-Konto.

  • Er schien dann mit über 2.160 km pro Stunde – der Geschwindigkeit des fortschrittlichen Aufklärungsflugzeugs Lockheed SR-71 Blackbird – zu einem Ort zu reisen, den er selten oder gar nicht besucht hatte, und loggte sich erneut mit einem anderen Gerät in sein Konto ein.
  • Diese anomale Aktivität löste eine ganze Reihe von Warnsignalen in den Barracuda XDR-Erkennungssystemen aus.
  • Der zweite Login wurde als verdächtig und unautorisiert erkannt.
  • Er zeigte vier Merkmale, die mit 99%iger Sicherheit auf eine Kontokompromittierung hindeuteten:
    • Das Szenario der „unmöglichen Reise“, bei dem eine Entfernung von 361 km (ca. 225 Meilen) mit fast doppelter Schallgeschwindigkeit zwischen den Anmeldungen zurückgelegt wird.
    • Bei der zweiten, verdächtigen Anmeldung wurde ein anderes Gerät verwendet.
    • Die maschinellen Lernindikatoren von Barracuda Managed XDR haben die mit dem verdächtigen Login verbundene IP-Adresse und den Standort als „selten“ für das betroffene Benutzerkonto markiert.
    • Die Bedrohungsaufklärung markierte die IP-Adresse, die bei dem verdächtigen Anmeldeereignis verwendet wurde, als möglicherweise bösartig.

Reaktion auf Bedrohungen und Abwehr

  • Nicht lange nach dem zweiten Anmeldeversuch validierte das maschinelle Lernmodell von XDR die anomalen Merkmale des verdächtigen Anmeldeereignisses und löste einen Alarm zur Erkennung bösartiger Aktivitäten aus.
  • Sechs Minuten später sperrte XDR das betroffene Konto automatisch und gab eine Sicherheitswarnung an die das Unternehmen aus.
  • Ein Cybersecurity-Analyst des SOC nahm telefonisch Kontakt mit dem Unternehmen auf, um es persönlich zu informieren. Das Unternehmen bestätigte den Vorfall als echten Vorfall. 
SOC-Falldateien – Beispiel für automatisierte Bedrohungsabwehr

Wichtige Erkenntnisse

  • Zusätzlich zur Implementierung von Sicherheitslösungen wie Barracuda Managed XDR mit automatisierter Bedrohungsreaktion und fortschrittlichem, mehrschichtigem E-Mail-Schutz können Unternehmen ihren Schutz gegen solche Vorfälle durch robuste Richtlinien und Mitarbeiterschulungen verstärken.
  • Dies sollte bedingte Zugriffsrichtlinien umfassen – wie etwa die Authentifizierung nur von autorisierten Standorten zuzulassen –, Maßnahmen zur Multifaktor-Authentifizierung (MFA) und die regelmäßige Rotation der Zugangsdaten, um die aktive Nutzung veralteter oder durchgesickerter Passwörter zu vermeiden.
  • Schulungen zur Stärkung des Risikobewusstseins werden dazu beitragen, dass Benutzer nicht Opfer von MFA-Müdigkeit und zunehmend komplexeren und ausweichenden Phishing-Angriffen werden.

Barracuda Managed XDR-Funktionen wie Threat Intelligence, Automated Threat Response und die Integration umfassenderer Lösungen wie XDR Server Security, XDR Network Security und XDR Cloud Security bieten umfassenden Schutz und können die Verweildauer drastisch reduzieren.

Um weitere Informationen darüber zu erhalten, wie Barracuda Managed XDR und das Security Operations Center Ihnen helfen können, kontaktieren Sie uns bitte hier

Bleiben Sie Angreifern mit rund um die Uhr verwalteter Cybersecurity immer einen Schritt voraus.
Verwandte Beiträge:
Zurück zur Schule, zurück zum Betrug, Teil 2: Eindämmung in Bewegung
Zurück zur Schule, zurück zum Betrug, Teil 2: Eindämmung in Bewegung
 Zurück zur Schule, zurück zu Betrug
Zurück zur Schule, zurück zu Betrug
 Kommunale Cybersecurity: MSPs stehen bei digitaler Verteidigung an vorderster Front
Kommunale Cybersecurity: MSPs stehen bei digitaler Verteidigung an vorderster Front
 Tredion verwendet Barracuda Managed XDR, um niederländischen Schulgruppen bei der Eindämmung von Cyber-Bedrohungen zu helfen
Tredion verwendet Barracuda Managed XDR, um niederländischen Schulgruppen bei der Eindämmung von Cyber-Bedrohungen zu helfen
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.