Was sind Indikatoren für eine Kompromittierung?

Sophos XDR Testversion

Indikatoren für eine Kompromittierung (IOCs) werden oft als „digitale Brotkrümel“ bezeichnet. Sie umfassen Nachweise, dass ein Cyberangriff im Gange ist. Darüber hinaus liefern IOCs Informationen zu den Tools, die während eines Cyberangriffs verwendet werden, zu den Angreifern und mehr. 

Indikatoren für eine Kompromittierung

Sicherheitsteams suchen anhand von Indikatoren für eine Kompromittierung nach böswilligen Aktivitäten oder Bedrohungen. Diese Indikatoren können in das Cybersecurity-Monitoring Ihres Unternehmens aufgenommen werden. Sie helfen Ihnen dabei, einen laufenden Cyberangriff zu stoppen. Über IOCs können Sie außerdem nach Möglichkeiten suchen, Ransomware, Malware und andere Cyberbedrohungen zu erkennen und zu stoppen, bevor sie zu Datenpannen führen.

Wie funktionieren Indikatoren für eine Kompromittierung?

Wenn Cyberkriminelle Ihr Unternehmen angreifen, hinterlassen sie einen digitalen Footprint. So erkennt Ihr Sicherheitsteam beispielsweise kriminelle Aktivitäten auf Ihrem System und Ihren Protokolldateien nach einem Cyberangriff. Zu diesem Zeitpunkt kann Ihr Team digitalforensische Daten aus diesen Systemen und Dateien sammeln. Anschließend kann es ermitteln, ob ein Cyberangriff oder eine Datenpanne im Gange oder bereits geschehen ist.

Ihr Sicherheitsteam kann in Ihrer gesamten IT-Infrastruktur nach Indikatoren für eine Kompromittierung suchen. Alternativ können Sie einen Managed-Security-Service-Provider (MSSP) beauftragen, der für Sie nach IOCs sucht. In beiden Fällen können fortschrittliche Technologien und Tools eingesetzt werden, um Ihren Netzwerktraffic und andere Quellen auf IOCs zu überprüfen und zu analysieren. Wird eine verdächtige Aktivität festgestellt, kann sie entsprechend isoliert werden.

Arten von Indikatoren für eine Kompromittierung

Netzwerk

Zu IOCs im Netzwerk zählen irreguläre Trafficmuster, Verknüpfungen zu bösartigen IP-Adressen oder Domänen oder anderen Anzeichen für verdächtige Aktivitäten auf einem Netzwerk. Zur Erkennung dieser IOCs können Sie Intrusion-Detection-Systeme (IDS), Systeme für das Sicherheitsinformations- und Ereignis-Management (SIEM) und andere Tools für die Netzwerküberwachung einsetzen.

Host-basiert

Hierzu gehören ungewöhnliche Dateiaktivitäten, Änderungen an den Konfigurationseinstellungen des Systems und andere verdächtige Aktivitäten auf einem Computer oder System. Ihr Unternehmen kann host-basierte IOCs mit Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) und anderen Endpoint-Security-Lösungen erkennen.

Dateibasiert

Dateibasierte Hinweise auf Kompromittierung deuten auf bösartige Systemdateien oder Malware hin. Zu den Beispielen für dateibasierte IOCs gehören verdächtige Hashes, Dateinamen und Dateipfade. EDR- und Sandboxing-Tools werden in der Regel zur Erkennung dateibasierter IOCs verwendet.

Verhaltensbasiert

Verhaltensbasierte Indikatoren für eine Kompromittierung wie mehrere fehlgeschlagene Anmeldeversuche oder ungewöhnliche Anmeldezeiten deuten auf verdächtige Benutzeraktivitäten auf einem System oder Netzwerk hin. Tools zum Benutzer-Monitoring wie die Verhaltensanalyse von Benutzern und Entitäten (UEBA) können für die Erkennung verhaltensbasierter IOCs verwendet werden.

Beispiele für Indikatoren für eine Kompromittierung

  • Spitzen oder eine Verlangsamung des Netzwerktraffics oder andere ungewöhnliche Aktivitäten im Zusammenhang mit ausgehendem Netzwerktraffic
  • Eskalation von Benutzerzugriffsrechten für ein bestimmtes Konto, Einsatz eines Kontos für den Zugriff auf andere, die dem Benutzer zusätzliche Rechte gewähren, oder andere Anomalien bei privilegierten Benutzerkonten
  • Kontoanmeldungen, die in Ländern außerhalb Ihres Unternehmensstandorts erfolgen
  • Mehrere fehlgeschlagene Anmeldeversuche auf einem einzelnen Konto
  • Mehrere Zugriffsanfragen für eine einzelne Datei
  • Nutzung eines bisher nicht verwendeten Netzwerk-Ports
  • Unerlaubte Änderungen an Ihrem Registry oder Ihren Systemdateien
  • DNS-Anfragen (Domain Name System), die plötzlich und ohne Ankündigung erfolgen

Lebenszyklus von Indikatoren für eine Kompromittierung

1. Ermittlung

Ihr Unternehmen kann Indikatoren für eine Kompromittierung wie folgt ermitteln:

  • Suche in Systemprotokollen
  • Analyse des Netzwerktraffics
  • Durchführung von Sicherheits-Scans
  • Abruf von Sicherheitswarnungen aus Geräten und der Software

2. Überprüfung

Informationen zu einer möglichen Bedrohung erhalten Sie über viele Tools und Technologien, u. a.:

  • Analyse des Netzwerktraffics
  • Malware-Analyse
  • Systemanalyse
  • Threat Intelligence

3. Freigabe

Sobald Sie IOCs feststellen, können Sie sie an Ihre Mitarbeiter, Strafverfolgungsbehörden oder andere Unternehmen in Ihrer Branche weitergeben. Dadurch können Sie:

  • Neue Möglichkeiten für den Schutz gegen Bedrohungen ermitteln
  • Trends und Muster bei Cyberangriffen erkennen
  • Die Reaktion auf Vorfälle und deren Beseitigung beschleunigen

4. Bereitstellung

An dieser Stelle können Sie Sicherheitskontrollen implementieren, um Ihren Cybersecurity-Status zu verbessern. Es bietet sich an, mehrere Kontrollebenen einzurichten, damit Sie Ihre Cybersecurity optimieren.

5. Detection and Response

Zur Prüfung auf IOCs stehen Ihnen mehrere Tools und Techniken zur Verfügung. Wenn ein IOC erkannt wird, können Sie:

  • Das betroffene System oder Netzwerk isolieren, um zu verhindern, dass die Bedrohung sich ausbreitet
  • Verdächtigen Netzwerktraffic blockieren, infizierte Systeme in Quarantäne verschieben oder andere Maßnahmen ergreifen, um die Bedrohung zu beseitigen
  • Relevante Stakeholder über den Vorfall und die ergriffenen Maßnahmen zu dessen Bereinigung benachrichtigen

6. End-of-Life (EoL)

Ein IOC hat die EOL-Phase erreicht, wenn sie ihn erfolgreich bereinigt haben. Zu den Faktoren, durch die ein IOC nicht mehr relevant ist, gehören u. a.:

  • Änderungen an Technologien: Ein IOC könnte veraltet sein, da bestimmte Technologien nicht mehr eingesetzt werden.
  • Ständig neue Bedrohungen: Sie könnten andersartigen Bedrohungen ausgesetzt sein, da Cyberbedrohungen stets weiterentwickelt werden.
  • Sicherheitsoptimierungen: IOCs könnten redundant oder unnötig werden, nachdem Sie in hochmoderne Sicherheitstools oder -technologien investieren.      

Was ist ein Angriffsindikator (IOA)?

Ein Angriffsindikator (IOA) deutet darauf hin, dass Cyberkriminelle Ihr Unternehmen angreifen möchten. Sehen wir uns zur Veranschaulichung eines IOA ein Beispiel an.

Bei Phishing-Angriffen versuchen Cyberkriminelle, Ihr potenzielles Opfer dazu zu bringen, auf einen Link zu klicken oder ein Dokument zu öffnen, wodurch das jeweilige Gerät infiziert wird. Sie müssen nach potenziellen Opfern suchen und sich überlegen, wie sie deren Aufmerksamkeit erhalten. Mehrere Schritte sind erforderlich, um potenzielle Opfer dazu zu bringen, schädliche Software herunterzuladen.

IOAs konzentrieren sich auf die Schritte, die Cyberkriminelle für ihre Angriffe unternehmen. Wenn Ihr Unternehmen nach diesen Schritten Ausschau hält, können Sicherheitslücken geschlossen werden. Vor allem aber können Sie Cyberangriffe in der Anfangsphase stoppen oder bevor sie durchgeführt werden.

Beispiele für Angriffsindikatoren

  • Kommunikation zwischen öffentlichen Servern, die normalerweise nicht miteinander kommunizieren
  • Kommunikation zwischen internen Hosts und Empfängern außerhalb des Landes, in dem sich Ihr Unternehmen befindet
  • Verknüpfungen zu Nicht-Standardports
  • Malware, die innerhalb weniger Minuten nach dem Entfernen aus einem infizierten Gerät wieder auftaucht
  • Benutzeranmeldungen aus mehreren Regionen

Unterschied zwischen Indikatoren für eine Kompromittierung und Angriffsindikatoren

Indikatoren für eine Kompromittierung weisen nach, dass derzeit ein Cyberangriff im Gange oder bereits erfolgt ist. Sobald Cyberkriminelle Ihr Unternehmen angreifen, können Sie IOCs erkennen. Anhand dieser Hinweise können Sie die Auswirkungen eines Angriffs analysieren. 

Angriffsindikatoren sind wiederum Hinweise darauf, dass Sie bald einem Cyberangriff ausgesetzt sein könnten.  Sie erkennen IOAs vor einem Cyberangriff oder einer Datenpanne. Durch den richtigen Umgang mit IOAs können Sie Datenpannen möglicherweise vermeiden.

Vorteile der Überwachung von Indikatoren für eine Kompromittierung

Durch das Monitoring nach IOCs können Sie Sicherheitsvorfälle schnell erkennen und darauf reagieren. Wenn keine Maßnahmen ergriffen werden, können diese Vorfälle Ihr Unternehmen, Ihre Mitarbeiter und Ihre Kunden gefährden. Sie können sich negativ auf Ihre Reputation und Ihren Umsatz auswirken. Auch die sensiblen Daten Ihres Unternehmens können kompromittiert werden, was zu Regelverstößen und Strafen führt.

Herausforderungen der Überwachung von Indikatoren für eine Kompromittierung

Die Suche nach IOCs ist reaktiv – nicht proaktiv. Ihr Unternehmen muss darauf warten, bis eine Cyberbedrohung in Ihrer IT-Infrastruktur auftaucht, bevor ein entsprechender IOC ermittelt werden kann. Wenn Sie in Sachen Cybersecurity proaktiver vorgehen möchten, kann Ihr Unternehmen in robustere Prevention-Produkte und -Services investieren. Dadurch können Sie IOCs als Ergänzung zu Ihrer Cybersecurity-Gesamtstrategie nutzen. 

Best Practices für den Umgang mit IOCs

  • Legen Sie Kontrollen für das Identity and Access Management (IAM) fest, damit Sie schnell und einfach sehen, wer Zugriff auf Ihre Daten, Systeme und Netzwerke hat.
  • Teilen Sie Ihre Netzwerke in Segmente auf. Wenn Cyberkriminelle dann eines Ihrer Netzwerke infiltrieren, können Sie durch Segmentierung das Risiko verringern, dass diese Angreifer alle Netzwerke kompromittieren.
  • Nutzen Sie Threat Intelligence, um in puncto Cyberbedrohungen immer aktuelle Informationen zu nutzen, aktuelle und neue Bedrohungen zu verfolgen und die besten Möglichkeiten zum Schutz vor diesen Bedrohungen zu suchen.
  • Setzen Sie Managed Detection and Response (MDR), EDR, XDR, Threat Intelligence-Plattformen und andere Sicherheitstools und -technologien ein, um IOCs zu verwalten.
  • Automatisieren Sie die Analyse und Korrelation von Indikatoren für eine Kompromittierung, sodass Sie die dringendsten IOC-Alerts auf Basis ihres Schweregrads priorisieren und sofort auf kritische Bedrohungen reagieren können.
  • Stellen Sie einen Incident-Response-Plan auf, bei dem Sie IOCs einsetzen, um den Schweregrad eines Vorfalls zu prüfen und ihn so schnell und effektiv wie möglich zu bereinigen.
  • Arbeiten Sie mit einem MSSP zusammen, der Ihre Cybersecurity Posture analysieren, Lücken identifizieren und Ihnen helfen kann, aktuelle und zukünftige Schwachstellen bestmöglich zu beseitigen und zu vermeiden.
  • Setzen Sie Branchenpartner über IOCs in Kenntnis, damit diese gemeinsam mit Ihnen Cyberbedrohungen in Ihrem Sektor angehen können.
  • Prüfen Sie IOCs regelmäßig und erstellen Sie eine Aufbewahrungsrichtlinie, die auf behördlichen Vorgaben für Ihre Branche und den Anforderungen Ihres Unternehmens basiert.

Schulen Sie Ihre Mitarbeiter zu IOCs und erläutern Sie, was sie sind, wie sie funktionieren und was Ihre Mitarbeiter zum Schutz vor Cyberbedrohungen tun können.

 

Verwandtes Sicherheitsthema: Welche Rolle spielen Honeypots in der Cybersecurity?

Weitere Cybersecurity News