Die Gefahr durch Datenlecks innerhalb der Organisation ist mindestens genauso groß wie durch Hackerangriffe, die von außen stattfinden. Laut aktuellem Insider Threat Index sollen in Europa Insider-Bedrohungen zwar leicht gesunken sein, aber immer noch sind 38 Prozent der Sicherheitsvorfälle auf die direkte Bedrohung durch böswillige oder unachtsame Mitarbeiter zurückzuführen.
Entsprechend wichtig ist es, Daten gegen Bedrohungen von innen abzusichern. Da in diesen Fällen in der Regel keine Schadsoftware zum Einsatz kommt, können traditionelle Antivirenprogramme keinen Schutz bieten. Doch auch Insider hinterlassen Spuren und eben diese gilt es aufzuspüren - wie im Fall einer Berufsschule für angehende Informatiker in Österreich. Gerufen wegen einer unerklärlichen Störung, deckte die Firma EDV-Notruf live einen Angriff auf die Schulserver auf und konnte den Aufenthaltsort des Angreifers straßengenau bestimmen.
Auf frischer Tat ertappt
Was ist geschehen? Die Schule ist IT-seitig gut aufgestellt – die 300 Computer und mobilen Geräte im Netzwerk über mehrere Firewalls geschützt. Den IT-Verantwortlichen ist aufgefallen, dass diverse DNS-Auflösungen (Domain Name System) innerhalb des Schulnetzwerkes nicht mehr zugelassen wurden. Um der Ursache auf den Grund zu gehen, engagieren die Verantwortlichen einen externen Notfall-Service, der noch am selben Abend zur späten Stunde, zu der keine Rechner aktiv sein sollten, mit der Analyse beginnt.
Grundlage dafür bildet die IT-Security-Lösung „Adaptive Defense 360“ (AD 360) inklusive des „Advanced Reporting Tool“ (ART), ein Modul, das mit wenigen Klicks detaillierte Rückschlüsse aus dem IT- und Sicherheitsmanagement einer Organisation zieht. Die Experten spielten AD 360 auf einen Administrationsrechner, um einen Überblick zu laufenden Prozessen und ungewöhnlichen Verhaltensmustern zu erhalten.
Denn die Panda-Lösung bietet eine Echtzeitüberwachung und Klassifizierung aller Prozesse von allen Endpoints; gleichzeitig ermöglicht das integrierte ART-Modul einen automatisierten Abgleich aller gewonnenen Telemetriedaten. So können Angriffe und ungewöhnliche Aktivitäten erkannt werden. Nach nur 15 Minuten hatte das Team über die Analyse von Log-Files feststellen können, dass ein Server permanent mit einem Schülerübungs-PC im Labor kommuniziert.
Zudem offenbarten die weitreichenden Analysemöglichkeiten von ART, dass sich ein zusätzlicher DNS-Server im Netzwerk befindet, der nicht zur Schule gehört, mit dem auf diverse Systeme, Rechner und Umgebungen zugegriffen wurde – unter anderem auf das Notensystem der Schule. Offensichtlich hatte der Angreifer ein sogenanntes goldenes Ticket gelöst – verkürzt bedeutet das, dass ein Hacker umfassenden und vollständigen Zugriff auf das gesamte Netzwerk hat, selbst dann, wenn Passwörter geändert werden.
Viele IT-Security-Lösungen sind in so einem Fall machtlos, da der Angriff nicht als solcher erkannt wird. Das „Advanced Reporting Tool“ hingegen wertet alle Prozessdaten aus, also nicht nur als böswillig kategorisierte Angriffe, sondern auch Whitelisted-Vorgänge, die – wie in diesem Praxisfall – den ausschlaggebenden Hinweis auf illegale Vorgänge geben können. Letztlich konnte das EDV-Notruf-Team live beobachten, wie der Angreifer auf das Schulsystem zugreift.
So kam ein weiteres Feature von Pandas ART zum Einsatz: Lokalisierung der Prozesse. Da auf Wunsch alle Prozessaktivitäten und die Kommunikation von Endpoints untereinander auf einer Karte angezeigt werden, konnte das Team schnell den Server ausfindig machen, der auf das Schulnetzwerk Zugriff hat und ihn straßengenau ausfindig machen. Bei der Überprüfung der Adresse wurde dann schnell klar: Es handelt sich um einen Schüler, der Prüfungsunterlagen von den Servern kopiert und Noten verbessert hat.
In diesem Fall hat die Schule von einer Anzeige abgesehen, um dem Schüler die Möglichkeit zu geben, sich mit seinem Können für die „gute“ Seite einzusetzen und nicht als Hacker einen illegalen Weg einzuschlagen. Dieses Beispiel zeigt, dass die Zeiten, in denen allein eine fortschrittliche Antiviren-Software ausreicht, vorbei sind. Gerade in Organisationen, in denen viele Mitarbeiter Zugang zu persönlichen und sensiblen Daten haben, muss die Bekämpfung von Bedrohungen durch Insider in die IT-Sicherheitsstrategie implementiert sein.
Das im Fall der Berufsschule eingesetzte „Advanced Reporting Tool“ von Panda Security bietet umfangreiche Analysemöglichkeiten, denen kaum Grenzen gesetzt sind. Während andere Programme ausschließlich Blacklisted-Informationen für Auswertungen heranziehen, kann Panda auf sämtliche gewonnenen Prozessdaten zugreifen. Es enthält viele standardisierte Auswertungsmöglichkeiten zum Auffinden von Problemen oder Risiken – gerade in den Bereichen Compliance und Datenschutz.
Integriert in Pandas Cyber-Sicherheitslösung „Adaptive Defense 360“, stellt das ART-Modul IT-Administratoren auf Knopfdruck ausführliche Sicherheitsinformationen auf Abruf bereit. So können eben nicht nur Angriffe von außen festgestellt werden, sondern eben auch ungewöhnliche Verhaltensmuster sowie ein interner Missbrauch der Firmennetzwerke und -systeme. Es stehen diverse Dashboards mit Schlüsselindikatoren, Suchoptionen und individuell anpassbare Warnmeldeoptionen zur Verfügung. Dabei lassen sich Suchvorgänge und Alerts spielend leicht an die eigenen Gegebenheiten des Unternehmens anpassen.
Das können beispielsweise die Kontrolle von Remote-Tools, die gegen Compliance-Richtlinien verstoßen, Ausführungen von Programmen mit Sicherheitslücken, unerlaubte Zugriffe auf Verzeichnisse oder Exfiltrationen besonderer Dokumente sein. Doch das ART-Modul dient nicht nur als Kontrollebene und zeigt den Zugriff auf vertrauliche Dateien sowie Datenlecks im Netzwerk. Als flexibler, Cloud-basierter Big Data Service, der ausgefeilte und individuell konfigurierbare Analysemöglichkeiten in übersichtlichen Dashboards bietet, hilft es, den Workflow von IT-Administratoren zu optimieren und die Effizienz zu steigern.
Ganz nebenbei haben Unternehmen und Organisationen über das Tool zusätzlich die Option, die Nutzungsmuster ihrer IT-Ressourcen zu analysieren, um Kostensenkungspotenziale zu definieren und umzusetzen. Beispielsweise erhalten sie die volle Kontrolle über die im Unternehmen genutzten RDP-Verbindungen oder können Anwendungen mit hoher Bandbreitennutzung anzeigen lassen.
Unter dem Titel „ART – Die Kunst, Licht ins Dunkel zu bringen“ veranschaulichte Werner Lugschitz, Inhaber von EDV-Notruf, diesen Praxisfall jüngst auf der diesjährigen Panda Security Roadshow, die im vergangenen Monat in vier Ländern und elf Städten über 350 Partner sowie IT-Verantwortliche begeisterte.