Die Angriffstechniken von Cyberkriminellen haben sich in den vergangenen Jahren stetig weiterentwickelt. Angriffe werden zum Teil über Wochen und Monate vorbereitet. So werden beispielsweise unbekannte Sicherheitslücken genutzt, um Schad- oder Spionagesoftware auf Systeme zu installieren. Diese können dann zu einem späteren Zeitpunkt ausgenutzt werden oder es können damit unbemerkt die Umgebung des Opfers analysiert werden, um kritische Systeme und wertvolle Daten zu identifizieren und diese dann unbemerkt abfließen zu lassen.
Der Compromise Scanner von DATAGROUP sucht in IT-Umgebungen nach Spuren von Angreiferaktivitäten. Dabei werden die Systeme regelmäßig nach typischen Angreiferwerkzeugen, Aktivitäten in Logs, Anomalien in Benutzerkonten oder Netzwerkverbindungen gescannt. Dabei greift der Scanner auf 12.000 handgefertigte YARA Signaturen und 400 Sigma Rules zurück. YARA ist ein quelloffenes Framework für die Mustererkennung von Schadsoftware. Sigma ist ein generisches Format zur Beschreibung von Angriffen, die in Protokollen entdeckt werden können.
Außerdem ist es möglich individuell auf die Bedrohungslage angepasste Indikatoren für eine Kompromittierung (IOCs) einzupflegen.
Die Scanergebnisse werden durch Security Analyst*innen von DATAGROUP analysiert. In diesem sogenannten Baselining werden die Meldungen aus den Scans gesichtet, bewertet und für die weitere Bearbeitung durch die Security Analyst*innen oder das IT-Personal aufbereitet.
Bei Meldungen, die auf eine Kompromittierung eines Systems hinweisen, kann der Compromise Scanner das betroffene System vom Netzwerk isolieren. Für eine forensische Analyse ist es außerdem möglich, verdächtige Dateien zu sichern, bevor der Angreifer seine Spuren verwischen kann.
Björn Klement
cybersecurity@datagroup.de