Phishing-Mails gehören zu den meist verbreitetsten und einfachsten Methoden, um in Firmennetze einzudringen und Daten abzugreifen: Ein Mitarbeiter eines Unternehmens erhält beispielsweise eine E-Mail von einem vermeintlichen Kollegen, inklusive Anhang. Auf dem ersten Blick scheint alles normal. Nur bei genauerem Hinsehen erscheinen Inhalt und Dateiendung des Anhangs merkwürdig.
Handelt es sich dabei vielleicht um eine Phishing-Mail? Andreas Groß, Senior Manager Presales bei Trellix, erklärt, wieso automatisierte Prozesse notwendig sind und wie XDR die E-Mail-Sicherheit erhöhen kann.
Die Bedrohung durch Phishing-Mails ist allgegenwärtig und Cyber-Kriminelle nutzen immer perfidere Methoden, um sich Zugang zu Daten und Netzwerken zu verschaffen. Viele Unternehmen richten daher Postfächer für Cyber-Sicherheitsbelange ein, an die verunsicherte Mitarbeiter potenziell gefährliche Mails weiterleiten können. Diese Mails landen dann bei den Sicherheitsmitarbeitern im Security Operation Center (SOC).
Hier kümmern sich die Sicherheitsexperten und Analysten um die Bearbeitung der eingehenden Meldungen: Sie analysieren die Nachrichten und filtern potenziell bösartige Inhalte wie Malware in Anhängen oder Links zu infizierten Webseiten heraus. Darüber hinaus geht das SOC-Team dem Absender genauer auf den Grund, um auch herauszufinden, in welchen Postfächern anderer Kollegen sich dieselbe oder ähnliche Mails befinden.
Dieser gesamte Auswertungsprozess kann pro E-Mail im Durchschnitt etwa 30 bis 45 Minuten beanspruchen. Dabei beträgt die Erfolgschance nicht immer hundert Prozent: Es besteht immer das Risiko, dass Mitarbeiter Bedrohungen übersehen und eine Phishing-Mail nicht erkennen – zumal Kriminelle diese immer realistischer aufbereiten. Gleichzeitig stellt sich nicht jede, auf den ersten Blick gefährlich erscheinende Mail, als bösartig heraus.
Geht man nun davon aus, dass in einer Woche hundert solcher Weiterleitungen in diesem speziellen Postfach eingehen, so kann diese Analyse- und Auswertungszeit 50 Wochenstunden erreichen – also mehr Stunden als in einer üblichen Arbeitswoche gesetzlich geregelt. Dass dabei wichtige, wertschöpfende Tätigkeiten auf der Strecke bleiben, ist die logische Konsequenz.
Da Cyber-Kriminelle aber auf unterschiedlichste Weise versuchen, in Systeme zu gelangen und ihre Methoden sowie Tools dynamisch weiterentwickeln, setzen Unternehmen im Rahmen ihrer Bedrohungsabwehr oftmals auf viele verschiedene Sicherheitslösungen. Gleichzeitig bedeutet das jedoch, dass SOC-Mitarbeiter täglich nicht nur zahlreiche verdächtige E-Mails überprüfen, sondern auch auf unzählige Warnmeldungen reagieren und False-Positives herausfiltern müssen.
Die gute Nachricht für alle SOC-Teams: Bei dieser Form der Analyse handelt es sich vornehmlich um eine Routineaufgabe – die perfekte Grundlage für Automatisierung. Doch wie lassen sich Cyber-Sicherheit und das Aufspüren von gefährlichen Phishing-Mails ohne das Zutun menschlicher SOC-Mitarbeiter automatisieren?
Extended Detection and Response (XDR): Cyber-Sicherheit automatisieren
Eine Extended Detection and Response-Plattform (XDR) kann SOC-Mitarbeiter dabei unterstützen, Ordnung in diese Komplexität zu bringen und dadurch die Bedrohungsabwehr erheblich stärken. Sie führt die Bedrohungsdaten – einschließlich des Endpoints und E-Mail – zentral an einem Ort zusammen, analysiert sie automatisch und liefert gleichzeitig wichtigen Kontext zum Vorfall.
Eine solche Plattform sorgt somit für eine höhere Transparenz sowie Kontrolle über die gesamte IT-Umgebung. Dadurch ermöglicht sie eine gezielte Bedrohungserkennung über sämtliche Systeme, Netzwerke sowie Geräte hinweg und die zuständigen Teams können effizienter gegen bösartige Eingriffe von außen vorgehen.
Da sie neben den internen auch externe Daten hinzuzieht, erkennt eine XDR-Plattform sogar Bedrohungen, mit denen ein Unternehmen bislang noch nicht konfrontiert wurde.
Verdächtige E-Mails effizienter überprüfen
Die XDR-Plattform kann auch für das Monitoring eines bestimmten Postfaches eingesetzt werden. Sie durchleuchtet eingehende Mails und sucht nach „Indicators of Compromise“ (IoCs) – also Hinweise auf bedrohliche Inhalte wie beispielsweise URLs oder IPs.
In unserem Fall stößt sie auf einen infizierten Anhang und eine Phishing-URL in der E-Mail und weiß, wer der betroffene Mitarbeiter ist. Daraufhin ist sie in der Lage, weitere Postfächer zu identifizieren, die denselben Anhang oder die URL empfangen haben, und löscht die entsprechenden Mails – alles ganz automatisch.
Die XDR-Plattform kann zusätzlich Zugriffsrichtlinien für die Firewall erstellen, damit diese URLs künftig automatisch geblockt werden. Im Anschluss isoliert sie betroffene Endgeräte vom Netzwerk und führt einen automatisierten Scan der Endgeräte durch – für den Fall, dass ein Mitarbeiter die Daten bereits heruntergeladen, entpackt und/oder installiert hat.
SOC-Teams können sich zudem einen Report des Vorfalls zusammenstellen lassen, um diesen für Review- sowie Lernzwecke zu verwenden und in Zukunft für ähnliche Angriffe gewappnet zu sein. Mithilfe einer XDR-Plattform können Unternehmen ihre SOC-Teams entlasten und setzen wichtige zeitliche Kapazitäten frei, um die eigene Sicherheit und die der Mitarbeiter zu steigern.