Bedrohungen, die mehrere Ebenen der Infrastruktur einer Firma treffen, sind heutzutage weit verbreitet. Unternehmen setzen für deren Erkennung und Reaktion darauf häufig Sicherheitstools ein, die sich lediglich auf einzelne Bereiche und nicht auf das gesamte System konzentrieren. Einige Unternehmen haben auch Security Information and Event Management (SIEM)-Tools im Einsatz, um die verschiedenen Bedrohungen zu aggregieren. SIEM-Lösungen sind zwar effektiv, doch ist deren Betrieb oft teuer. Darüber hinaus erfordern sie häufig das Sichten großer Datenmengen für Korrelation und Analyse durch die Security Operation Center (SOCs). Andere Sicherheitslösungen wiederum verfügen zwar über leistungsstarke Erkennungs- und Reaktionsfähigkeiten, doch fehlt ihnen die Telemetrie, die für den Blick über den Tellerrand erforderlich ist. Der Beitrag stellt anhand eines realen Beispiels dar, mit welcher Art der Bedrohungen SOCs fertig werden müssen und welche Art der Sicherheitslösung für das Handling dieser Bedrohungen benötigt wird.
Ryuk: eine heutige Bedrohung
Ryuk gehört zu den auffallendsten Ransomware-Familien der letzten Zeit. Sie verkörpert möglicherweise am besten das neue Paradigma der Ransomware-Angriffe, bei denen böswillige Akteure Qualität vor schiere Quantität stellen.
Oberflächlich betrachtet unterscheidet sich Ryuk kaum von anderen Ransomware-Familien der Vergangenheit. Sie verschlüsselt weiterhin wichtige Dateien, Dokumente und andere sensitive Daten. Doch einen auffallenden Unterschied zu anderen gibt es: Während andere Ransomware wahllos Opfer mit einer wie mit einer Schrotflinte angeht, zielen die Cyberkriminellen mit Ryuk auf ganz bestimmte Unternehmen, von denen sie ein viel höheres Lösegeld verlangen. Da die Akteure häufig hinter äußerst sensiblen Informationen etwa in der Finanzbranche und dem Militär her sind, bleibt den Opferorganisationen oft nichts anderes übrig, als die beträchtliche Lösegeldsumme zu zahlen.
2019 untersuchten Trend Micro™; Managed XDR and Incident Response-Teams einen Vorfall eines Kunden, der mit Ryuk-Ransomware infiziert war. Diese Infektion umfasste mehrere Ebenen der Kompromittierung, darunter mehrere Endpunkte und das Netzwerk des Unternehmens. In diesem Fall bestand Ryuks Routine aus E-Mails als Infektionsvektor, um zum Endpunkt zu gelangen. Von dort aus verbreitete sie sich auf den Rest des Netzwerks.
Die Infektion begann mit einer bösartigen Spam-Mail, die an einen Mitarbeiter der Organisation geschickt wurde mit einen bösartigen Anhang - ein Downloader für TrickBot -, der sich innerhalb des Netzwerks auf zwei Wegen verbreiten kann: entweder durch den berüchtigten EternalBlue-Exploit (der auch bei den WannaCry-Angriffen von 2017 verwendet wurde) oder durch gestohlene Zugangsdaten. Im Fall des besagten Kunden nutzte TrickBot nach dem Download ins System angreifbare Router aus und verwendete sie als Command-and-Control (C&C)-Server zum Austausch von Anleitungen. Zudem legte TrickBot Ryuk als Payload ab. Die TrickBot-Module weisen auch Fähigkeiten für den Informationsdiebstahl auf, so dass die Malware in jeder Opfer-Organisation deren Dateien verschlüsseln und ihre Informationen stehlenkann. Und das führt zu Schäden, die weit über das hinausgehen, was normale Ransomware-Familien anrichten können.
Hier war Trend Micro Managed XDR in der Lage, die kompromittierten Rechner und die Angriffskette zu identifizieren, indem Daten aus verschiedenen Quellen gesammelt wurden, um so ein klareres Bild davon zu erhalten, womit die Organisation es zu tun hatte.
Trend Micro XDR: auf fortgeschrittene Bedrohungen zugeschnitten
Trend Micro XDR ist darauf ausgerichtet, alle Bedrohungen wie Ryuk mithilfe von Machine Learning und Analytics für die Korrelation verschiedener Vorfälle über mehrere Ebenen hinweg zu bekämpfen. Die XDR-Lösung gibt es entweder als Plattform oder als Managed Service über Trend Micro Managed XDR, die sich den gesamten Wissens- und Erfahrungsschatz der Sicherheitsexperten von Trend Micro zunutze macht, um rund um die Uhr Alarme zu überwachen und Prioritäten zu setzen sowie Recherchen und Suchen nach Bedrohungen durchzuführen.
Die Lösung unterstützt Unternehmen dabei, Strategien zur Erkennung und Reaktion auf Bedrohungen zu implementieren. Die Herausforderungen für Unternehmen bestehen unter anderem in folgenden Punkten:
- Teure und oft miteinander unvereinbare Sicherheitswerkzeuge, die für die Datenaggregation und -analyse benötigt werden. Ein traditionelles SOC-Setup verwendet mehrere Softwarepakete mit unterschiedlichen Methoden zur Speicherung und Indizierung von Daten - die sich auf verschiedene Teile des Systems konzentrieren. Der Silo-Charakter dieser Tools führt dazu, dass Sicherheitsanalytiker Daten manuell korrelieren müssen, was eine zusätzliche Belastung für ihren Arbeitsablauf darstellt.
- Endpoint Detection and Response (EDR)-Lösungen, die nicht über die gesamte Telemetrie-Palette verfügen, um den ganzen Umfang eines Angriffs zu erkennen.
- Die zu lange Zeitspanne, die für Fragen von hoher Priorität aufgewendet wird. Das bedeutet, dass die Stärkung und Verbesserung der Sicherheitsprozesse und der Systeminfrastruktur in den Hintergrund treten.
Durch den Einsatz von maschinellem Lernen, fachkundiger Sicherheitsanalyse und Erkennungsregeln für die Korrelation und Priorisierung von Warnmeldungen kann Trend Micro XDR das SOC einer Organisation dabei unterstützen, den Zeitaufwand für die Überprüfung und Recherche zu verringern und dadurch schnellere Erkennungs- und Reaktionsmöglichkeiten zu schaffen. Es nutzt die von jedem Vektor gesammelten Telemetriedaten, um Sicherheitsanalysten einen vollständigen Einblick in laufende Angriffe zu ermöglichen und gleichzeitig die XDR-Analyse-Engine für eine schnellere und effektivere Reaktionsstrategie bei künftigen Angriffen zu verbessern. Trend Micro XDR nutzt einen facettenreichen Ansatz, der auf mehreren Ebenen des Systems arbeitet:
E-Mails
Trend Micro™; Cloud App Security kann den E-Mail Layer schützen durch den Einsatz von maschinellem Lernen für Webreputation und dynamische Analysen. Die Lösung kann verdächtige Inhalte nicht nur im Text sondern auch im Anhang erkennen. Sie bietet Sandbox-Analysen und Exploit-Erkennung für Dokumente.
Endpunkte
Trend Micro Apex One™; bietet fortschrittliche, automatisierte Erkennung und Abwehr zum Schutz der Endpunkte vor Bedrohungen wie Ransomware und dateilose Malware. Darüber hinaus kann es die von einem Angriff betroffenen Endpunkte mit Hilfe von anpassbaren Untersuchungs- und Überwachungsfunktionen auf Abruf identifizieren.
Netzwerk
Trend Micro™;Deep Discovery™;Email Inspector kann das Unternehmensnetzwerk überwachen, einschließlich allen physischen, virtuellen Verkehrs. Die Lösung liefert mithilfe spezialisierter Erkennungs-Engines und anpassbarer Sandbox-Analyse vollständige Einsichten in alle Aspekte von fortgeschrittenen Bedrohungen.
Cloud
Trend Micro Cloud One™;– Workload Security schützt Cloud Workloads, Servers und Container vor Bedrohungen in kritischen Anwendungen, Betriebssystemen und Plattformen wie Docker und Kubernetes. Zu den eingesetzten Techniken gehören virtuelles Patching und maschinelles Lernen.
Die Infografik zeigt anhand des Ryuk-Beispiels, wie Trend Micro XDR jede Ebene eines Unternehmens schützt: