Indicators of Compromise & Indicators of Attack: Diese Warnzeichen sollten Sie lesen können

Erfolgreiche Ermittlungsarbeit beruht im Krimi wie in der IT-Sicherheit auf einem perfekten Zusammenspiel: Die Forensik gibt wichtige Rückschlüsse auf Tathergänge, die Kriminalpolizei und Profiler machen Bösewichte aufgrund verdächtiger Verhaltensmuster dingfest.

Wir kennen die Spurenleser aus dem Sonntagsabendkrimi. Sie müssen einem oder mehreren Angreifern auf die Spur kommen –  bestenfalls bevor das nächste Delikt geschieht. Dafür sammeln Ermittler zahlreiche Hinweise aus allen möglichen Quellen, mögen sie noch so unscheinbar sein. Richtig ausgewertet und zusammengefügt jedoch ergeben sie ein realistisches Szenario und die bevorstehende Tat kann vereitelt werden.

In der digitalen Welt deuten ungewöhnliche Aktivitäten im Netzwerk oder merkwürdige Bewegungen auf Systemen auf Angriffsaktivitäten hin. Dabei unterscheiden Sicherheitsexperten zwei Arten von Indikatoren, die ihre IT-Sicherheitssysteme stets im Blick haben sollten, um einen eventuellen Einbruch entweder ganz zu verhindern oder zumindest in seinem frühesten Stadium zu stoppen.

Teststreifen Farbabgleich

Definition: Was ist ein Indicator of Compromise (IoC)?

Ein Indicator of Compromise (oder kurz IoC), auf deutsch Kompromittierungsindikator oder auch Gefährdungsindikator genannt, ist jede Art von forensischem Beweis, der belegt, dass ein Cyberangriff stattgefunden hat. Es sind die Anhaltspunkte, nach denen Sicherheitsexperten sowie Softwarelösungen Ausschau halten, um festzustellen, dass ein System kompromittiert worden ist. Untersuchungen zeigen, dass die Mehrheit der IoCs für Monate, wenn nicht sogar Jahre, unentdeckt bleibt.

IoCs können aus dem Betriebssystem, dem Netzwerk, dem Speicher usw. gesammelt werden und haben verschiedene Formen: Indikatoren können ein Dateiname sein, eine Protokolldatei, ein Registry-Schlüssel, eine IP-Adresse oder ein Hash.

Kompromittierungsindikatoren sind eine wichtige Komponente im Kampf gegen Cyberangriffe. Sie sind zwar reaktiv, aber Unternehmen, die gründlich auf IoCs achten und sich über die neuesten IoC-Entdeckungen und -Berichte auf dem Laufenden halten, können Erkennungsraten und Reaktionszeiten erheblich verbessern.

Definition: Was ist ein Indicator of Attack?

Während Indicators of Compromise auf einer bereits vergangenen Kompromittierung beruhen, weisen Indicators of Attack (kurz IoA) auf einen bevorstehenden oder gerade beginnenden Angriffsversuch hin. Ein simples Beispiel aus der physischen Welt könnte der wiederholte Besuch fremder Autos in der Nachbarschaft sein. Dahinter könnten sich Einbrecher verbergen, die die Gegend auskundschaften. Aber dieses Beispiel zeigt bereits die Schwierigkeiten und Limitierungen einzelner Indikatoren auf: Ohne den richtigen Kontext bringen uns einzelne Hinweise nicht zum Ziel oder sogar auf die falsche Fährte. In der digitalen Welt mit ihrem schier unüberblickbaren Datenverkehr gilt das umso mehr.

Ungewöhnliches Verhalten von (privilegierten) Konten, seltsame Netzwerkaktivitäten, unerklärliche Konfigurationsänderungen und merkwürdige Dateien auf Systemen können allesamt auf eine potenzielle Cyberattacke hinweisen. In unserer Reihe “SIEM Use Cases” beschreiben wir ausführlich, welche verdächtigen Aktivitäten von einem SIEM (Security Information Event Management) aufgespürt werden können.

Eine intelligente SIEM-Lösung filtert aus tausenden Informationen, die pro Sekunde von einem IT-System generiert werden, sicherheitsrelevante Information heraus. Sämtliche Informationen aus (Security) Log- und anderen Daten werden zentral gesammelt, normalisiert, korreliert, bewertet und ausgewertet und archiviert. Wird ein Angriff oder eine Anomalie erkannt, schlägt das SIEM Alarm und informiert die entsprechenden Personen oder andere Überwachungssysteme. Stellen Sie sich ein SIEM als einen intelligenten Rauchmelder für Ihre IT-Infrastruktur vor.

Intelligenter Schutz ist proaktiv und reaktiv

Auch wenn sich die beiden Arten von Indikatoren gut voneinander abgrenzen lassen, spiegeln beide die zwei Seiten effektiver IT-Sicherheitsmaßnahmen wider: Einerseits proaktiv vorbeugende Maßnahmen zu ergreifen, andererseits reaktiv im Ernstfall die notwendigen Spuren zu sichern, um in Zukunft Schlimmeres zu verhindern. Der Schlüssel zum Erfolg ist ein Sicherheitskonzept, das beide Seiten – IoCs sowie IoAs – berücksichtigt. So sind Sie Angreifern den entscheidenden Schritt voraus!

 


On-Demand-Webinar: Managed SOC Service – Detection & Prevention für mehr IT-Sicherheit

Erfahren Sie im kostenlosen 30-minütigen Webinar, wie ein SIEM in Kombination mit Schwachstellen-Management zur mächtigen Einsatzzentrale gegen Cyberattacken wird. Ein Security Operations Center (SOC) bietet Ihrem Unternehmen den in Zeiten steigender Cyberkriminalität notwendigen Schutz:

  • Sichtbarkeit und Transparenz in Ihrer IT-Infrastruktur hinsichtlich IT-Sicherheit
  • Reduzierung von Angriffsflächen für Cyberkriminelle, Saboteure und Spione
  • Sie verkürzen die Zeit bis zum Erkennen von potenziellen Angriffen, sind handlungsfähig und können angemessen reagieren

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *