SECURITY30. März 2021

Compromise Assessment für Banken: Security Maturity Level – eine kritische Betrachtung

Christoph Lemke, Security Consultant SecuinfraSecuinfra

Compromise Assessment kann ein wert­vol­les Tool dar­stel­len, um die IT-Se­cu­ri­ty von Ban­ken ne­ben tra­di­tio­nel­len Maß­nah­men wie Vul­nera­bi­li­ty Ma­nage­ment oder Pe­ne­tra­ti­ons-Test zu er­wei­tern. Da­mit kön­nen lau­fen­de oder ver­gan­ge­ne An­grif­fe de­tek­tiert wer­den. Den­noch müs­sen sich Ban­ken dar­über klar sein, dass nur ein ganz­heit­li­cher An­satz, der auf dem Zu­sam­men­spiel von Tools und Know­how ba­siert, das Se­cu­ri­ty Ma­tu­ri­ty Le­vel dau­er­haft an­he­ben kann.

von Christoph Lemke, Security Consultant Secuinfra

Unternehmen wie Banken oder Versicherer set­zen in der Re­gel tra­di­tio­nel­le Schutz­maß­nah­men wie Vul­nera­bi­li­ty Ma­nage­ment oder Pe­ne­tra­ti­ons-Tests ge­gen Cy­ber­an­grif­fe ein; die­se sind al­ler­dings im­mer schwie­ri­ger zu de­tek­tie­ren. Ad­van­ced Per­sis­tant Thre­ats (APT) zum Bei­spiel nut­zen ei­ge­ne Tools mit un­be­kann­ten Si­gna­tu­ren, die ein IPS (In­tru­si­on Preven­ti­on Sys­tem) oder IDS (In­tru­si­on De­tec­tion Sys­tem) nicht erkennt.

Vulnerability Management oder Penetrations-Tests stellen Momentaufnahmen von der Sicherheit des Systems und der Konfiguration dar. Die Ergebnisse basieren beim Vulnerability Management überwiegend auf den Datenbeständen und beim Penetrations-Test auf dem Fachwissen der Tester. Ohne breites Knowhow und Qualität können die Ursachen von Angriffen nicht ermittelt werden. Penetrations-Test sind zudem invasiv. Da es zu Ausfällen und Mehrkosten kommen kann, sind sie mit hohen Risiken verbunden.

Beide Methoden zeigen nicht auf, ob vorhandene Schwachstellen bereits ausgenutzt wurden. Oft werden Zero-Day-Lücken übersehen:

unbekannte Sicherheitslücken, die ausgenutzt werden können, um Schaden anzurichten.”

Auch einfache Konfigurationsfehler wie zu großzügige Berechtigungsmaßnahmen fallen durch das Raster:

Im Active Directory von Windows finden sich häufig Accounts oder Gruppen mit diversen Berechtigungen und schlechten Passwörtern. Im Ernstfall kann darüber die komplette Infrastruktur kompromittiert werden.”

Traditionelle oder präventive Maßnahmen reichen also nicht aus, um das Maturity-Level der IT-Security-Infrastruktur von Banken zu heben, Angriffe und akute Bedrohungen zu erkennen und darauf zu reagieren. Compromise Assessment kann hier eine wertvolle Ergänzung darstellen: Es ist darauf ausgelegt, Spuren von Angriffen zu finden, die sogenannten IOCs – Indicators of Compromise. Durch ihre Analyse und Bewertung werden kompromittierte Systeme und die zugrundeliegenden Schwachstellen entdeckt und daraus klare Handlungsempfehlungen abgeleitet. Die Ursachen werden in der Remediationsphase behoben und der gewünschte Soll-Zustand hergestellt, um laufende Angriffe zu beenden und künftige zu verhindern. Compromise Assessment ist dabei eine bewertende, keine präventive Disziplin in der IT-Security von Banken. Sie betrachtet die gesamte Infrastruktur und ermöglicht einen Blick in die Vergangenheit.

Die Spuren von laufenden und vergangenen Angriffen finden

Ein Angreifer hinterlässt zwangsläufig forensische Artefakte, die für die Auswertung herangezogen werden können. Dies können beispielsweise Log- und Dumpdateien von Angriffswerkzeugen, Dateien mit ungewöhnlichem obfuskiertem Inhalt, Werkzeuge zur Persistenzerzeugung oder schlicht Tools in untypischen Verzeichnissen oder spezifische Konfigurationsschlüssel sein. Es kann sich ebenso um ungewöhnliche Netzwerkverbindungen zu verdächtigen Servern, IP-Adressen und Ports handeln oder um Logdateien von Interaktionen, Anmeldungen und Prozessstarts. Die Anzahl und Vielfalt der in der Praxis detektierbaren IOCs ist dabei durchaus erschreckend.

Alleine das Tool THOR APT Scanner der Nextron Systems GmbH enthält aktuell im Basisregelsatz beispielsweise ca. 18.000 IOCs in 26 verschiedenen Detektionsmodulen. Es wird weltweit von Threat Huntern und Incident Respondern geschätzt.

Autor Christoph Lemke, Secuinfra
Experte für Compromise Assessment: Christoph Lemke Christoph Lemke hat bis März 2017 Technische Informatik an der Beuth Hochschule für Technik in Berlin studiert und startete im April 2017 bei Secuinfra (Webseite) als Cyber Defense Analyst. Seitdem beschäftigt er sich hauptsächlich mit der Erkennung, Analyse und Abwehr von Cyber-Angriffen basierend auf SIEM-Lösungen und dem Bereich Digital Forensics. Innerhalb diverser Projekte hat Christoph Lemke bereits erfolgreich die Detektions-Fähigkeiten von SIEM-Infrastrukturen verbessert. Seine Erfahrungen aus den Bereichen Digital Forensics und Incident Response sind dabei in die Entwicklung von SIEM Use-Cases zur Identifikation von selbst herausfordernden Angriffen (sog. Advanced Persistent Threats) eingeflossen.

Gute Tools und breites Wissen um Angriffe schnell zu erkennen

Studien be­le­gen, dass es in der Re­gel zwei bis drei Mo­na­te dau­ert, bis ein An­griff über­haupt ent­deckt wird. Der Scha­den wird mit je­dem Tag, an wel­chem der An­grei­fer un­ent­deckt bleibt, größer. Über Compromise Assessment kann die Zeit zur Er­ken­nung ei­nes er­folg­rei­chen An­griffs im bes­ten Fall auf we­ni­ge Ta­ge re­du­ziert wer­den. Üb­li­cher­wei­se wer­den An­grif­fe kurz nach Be­ginn der Ana­ly­se ent­deckt, weil mit den Events der höchs­ten Hi­tra­te be­gon­nen wird. Ma­ß­geb­lich da­für ist ei­ne Sum­me an Ta­gen, wel­che sich aus der Scan-Dau­er und dem Be­ginn der Ana­ly­se zu­sam­men­setzt. Die­ser Zeit­raum kann je nach Scan­-Kon­fi­gu­ra­ti­on, Grö­ße des Sys­tems und An­zahl zu­rück­ge­lie­fer­ter Events stark va­ri­ie­ren. Ei­ne un­ge­fäh­re Kenn­grö­ße ist ei­ne Wo­che, da die Scan­-Dau­er zwi­schen we­ni­gen Mi­nu­ten und meh­re­ren Ta­gen be­tra­gen kann und im An­schluss di­rekt mit der Ana­ly­se be­gon­nen wird. Man sor­tiert die Events nach Schwe­re­grad und be­ginnt mit den schwer­wie­gends­ten. Al­ler­dings kön­nen auch Events mit ei­nem nied­ri­gen Schwe­re­grad In­di­ka­to­ren für ei­nen An­griff dar­stel­len. Des­we­gen ist es wich­tig, dass die Ana­lys­ten ein brei­tes Wis­sen über den Auf­bau und die Funk­ti­ons­wei­se der Sys­te­me be­sit­zen: Das Er­geb­nis der Ana­ly­se kann nur so gut sein, wie es das Know-How der Ana­lys­ten zu­lässt. Die Tools und das zu­grun­de­lie­gen­de Re­gel­werk der IOC-Scan­ner ge­ben die rich­ti­ge Rich­tung vor, die Hin­wei­se müs­sen dann rich­tig ge­deu­tet und in Zu­sam­men­hang ge­bracht werden.

Die Notwendigkeit von Continuous Compromise Assessment

Auch wenn ein Compromise Assessment Scan Klarheit über laufende und vergangene Angriffe bringt und einen tiefen Einblick liefert – er bleibt eine Momentaufnahme. Jede Änderung an den Systemen einer Bank kann Angriffsvektoren beheben, aber eben auch neue schaffen. Deswegen ist ein Continuous Compromise Assessment sinnvoll: Das Scannen nach Angriffsspuren und Analysen auf wiederkehrender Basis. Der initiale Scan ist dabei recht aufwändig, da eventuell Millionen forensischer Artefakte untersucht werden müssen, was mehrere Tage in Anspruch nehmen kann. Die Folgescans und -auswertungen sind bedeutend einfacher, da nur die Änderungen durchleuchtet werden müssen.

Ein Compromise Assessment Scan allein verkürzt nicht die Zeit, bis ein Angriff erkannt wird. Das geschieht nur, wenn alle Maßnahmen aus vorhergehenden Scans umgesetzt und in regelmäßigen Abständen die Systeme erneut gescannt werden. Diese Maßnahmen müssen priorisiert, zeitnah umgesetzt und verfolgt werden, damit das Sicherheitslevel langfristig steigt. Dabei kann es sich zum Beispiel um das Einführen eines zentralisierten Log-Managements oder gar SIEM handeln, das Abändern der Domain Policy und das Einführen eines Berechtigungsmanagements.

Es ist auch sinnvoll, Systeme auszutauschen, wenn diese zu alt sind oder der Hersteller den Support eingestellt hat. So können Banken ihre Prozesse optimieren und ein Sicherheitslevel erreichen, welches dazu beiträgt, dass neue Angriffe schneller behandelt oder verhindert werden können.”

Fazit

Compromise Assessment ist eine exzellente Disziplin, um laufende oder vergangene Angriffe auf Banken zu erkennen, zu bewerten und durch entsprechende Maßnahmen in Zukunft zu verhindern. Es kann die IT-Security einer Bank sinnvoll erweitern, ist alleine aber nicht ausreichend, um deren Security Maturity Level zu erhöhen. Denn Compromise Assessment ist eine passive Disziplin und muss manuell durchgeführt werden. Erst in Kombination mit anderen Tools und Maßnahmen entsteht ein Kosmos, welcher das gesamte Sicherheitslevel widerspiegelt.Christoph Lemke, Secuinfra

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert