In den frühen Stadien eines Live-Cyberangriffs ist die Zeit sowohl Ihr Verbündeter als auch Ihr Feind. Je schneller Sie den Angriff erkennen und eindämmen können, desto besser. Aber je länger sich ein Cyberkrimineller in Ihren Systemen befindet, desto grösser ist die Wahrscheinlichkeit, dass Sie einen erheblichen Verstoss und potenziellen Verlust erleben.

„Das Ziel von jedem Angriff ist das Abziehen von Daten”, sagt Paul Keely, Chief Cloud Officer von Open Systems. „Der erste Schritt des Angriffs besteht darin, sich lateral auszubreiten; der zweite – Kontinuität zu erlangen; und der dritte – Daten herauszuholen.”

Die gute Nachricht ist, dass sich Angreifer beim Einstieg im Allgemeinen langsam bewegen. Die schlechte Nachricht ist, dass je vorsichtiger und geduldiger sie sind, umso unwahrscheinlicher es ist, dass sie von Ihnen bemerkt werden. Und sie bewegen sich nicht immer vorsichtig. Während Paul in einigen Fällen Unternehmen gesehen hat, die dank eines sehr subtilen Hacks über ein Jahr lang Verstössen ausgesetzt waren, hat er in den USA auch einen Angriff auf eine Ölpipeline erlebt, bei dem Angreifer Systeme verschlüsselten und innerhalb von Minuten nach dem Eintritt die Kontrolle übernahmen.

Das Problem sind zunehmend „raffinierte unkomplexe“ Angriffe, bei denen die Angreifer leistungsstarke Tools nutzen, die von Experten entwickelt und von so ziemlich jedem betrieben werden, der Word oder Google über eine grafische Schnittstelle verwenden kann.

Ich habe vor kurzem einige Zeit mit Paul verbracht, um über diese ersten Minuten zu sprechen: Was passiert und was sollten Sicherheitsteams tun, um ihre Chancen auf schnelle Erkennung und Minimierung von Zugriff und Schäden zu maximieren.

Als Erstes müssen mehrere Verteidigungsebenen eingerichtet werden.

„Im Idealfall bricht jemand bei einem Verstoss durch eine oder zwei Türen ein, wird aber in dieser Umgebung festgehalten“, sagt Keely. „Leute hassen es, Firewalls auf ihren lokalen Computern zu haben, aber eine Firewall auf dem lokalen Computer macht es wirklich schwer, dass Malware sich auf andere Bereiche ausbreiten kann.“

Zu viele Organisationen haben immer noch die „Burgmentalität“  ... hinter diesen starken Mauern bin ich sicher. Die Realität ist, dass es einfach nicht stimmt und was man aus Sicht der Cybersicherheit will, ist dass ein Angreifer, der erfolgreich eine Reihe von Türen durchbrochen hat, sofort einer anderen Reihe gegenübersteht. Wenn Sie Cyberkriminelle verlangsamen und sie zwingen, mehrere Barrieren zu umgehen, erhöht dass Ihre Chance, ihnen Einhalt zu gebieten.

Wie?

Ein grosser Teil davon ist relativ einfach.

Einige Punkte sind sogar leicht, zumindest mit der richtigen Einstellung.

„Den meisten Frust bei Angreifern erzeugen Sie mit einer grundlegenden Cyberhygiene. Halten Sie dazu Ihre Geräte auf dem neusten Stand und weisen Sie ihnen nur geringe Berechtigungen zu. Darüber hinaus sollten Sie Antivirenprogramme und eine EDR-Software auf dem Gerät nutzen sowie über eine Firewall verfügen“, sagt Paul.

Der letzte Teil ist der Schlüssel zur Minimierung des Nord-Süd-Zugriffs auf andere Services und des Ost-West-Zugriffs auf andere Standorte, wenn Angreifer in einen einzelnen Computer eindringen.

Bei einem Krankenhaus, mit dem Paul zusammengearbeitet hat, meldeten sich Domainadministratoren bei Desktops an. Das bedeutet, dass sie möglicherweise Kerberos-Schlüssel auf diesen Geräten hinterlassen hatten, die genau das bieten, was Angreifer brauchen, um tiefer in Systeme einzudringen. Die Priorität besteht darin, Konten zu trennen und keine „Schlüssel zum Himmelreich“-Konten zu haben, die unbegrenzten Zugriff auf mehrere Systeme bieten.

„Domain-Admins sollten keinen lokalen Administratorzugriff auf Desktop-PCs haben“, sagt Paul. „Es sollte ein Desktop-Support-Team sein, das Zugriff darauf hat und die Konten des Desktop-Supportteams sollten keinen Zugriff auf eine Serverinfrastruktur, Cloud-Infrastruktur haben … das sind grundlegende Dinge.“

Es gibt einfach zu viele Unternehmen, in denen Domain-Admins AD Connect und Office 365 einrichten und in beiden dieselben Konten verwenden, was bedeutet, dass Cyberkriminelle, die in ein OnPrem-Konto eindringen, Zugriff auf alle On-Prem-Umgebungen erhalten können.

Wie sieht es nach einem Verstoss aus?

Ein Teil des Problems beim schnellen und entschlossenen Umgang mit Malware und Cybersicherheitsvorfällen ist das Gefühl der Scham. Keely meint jedoch, dass es hierfür keinerlei Grund gäbe.

„Bankangestellte schämen sich schliesslich auch nicht, wenn jemand mit einer Pistole hineinkommt und die Herausgabe von Bargeld fordert. Aber wenn wir einen Cyberangriff erleiden, gibt es immer dieses Element von Schuld und Schamgefühl.“

Das ist grundsätzlich unfair, sagt Keely. Schliesslich müssen die Angreifer nur einmal gewinnen, während die Verteidiger jedes Mal gewinnen müssen. Und dabei wissen sie noch nicht einmal genau, wie sie angegriffen werden und woher der Angriff kommt.

Der entscheidende Punkt ist, im Voraus auf die Abwehr möglichst vieler Angriffe vorbereitet zu sein, den Zugang und den Schaden bei erfolgreichen Angriffen zu begrenzen und in der Lage zu sein, so schnell wie möglich auf jede Gefahr zu reagieren. Diese Reaktionsfähigkeit und die Fähigkeit der Schadensbegrenzung hängt von drei Fragen ab, die Sie im Falle eines erfolgreichen Angriffs beantworten müssen:

Wie sind sie hier her gelangt?
Was haben sie getan?
Wohin haben sie sich bewegt?

Die Beantwortung dieser Fragen wird Ihnen und den Experten, mit denen Sie zusammenarbeiten, dabei helfen, das Problem zu isolieren, Rechner und Daten zu bereinigen und die Auswirkungen zu beheben.