Was ist Bedrohungserkennung?

Bedrohungsakteur*innen gefährden ständig unsere Cybersicherheit, indem sie alle Arten von Methoden und Tools einsetzen. Die Identifizierung dieser Bedrohungen ist schwierig und erfordert starke Fähigkeiten zur Erkennung von Bedrohungen. In diesem Blog werden wir über die Erkennung von Bedrohungen sprechen: was sie ist, welche Bedrohungen wir erkennen und wie sie erkannt werden.

Lassen Sie uns zunächst definieren, was wir unter einer Bedrohung verstehen. Das U.S. National Institute of Standards and Technology (NIST) definiert eine Cyber-Bedrohung als:

Jeder Umstand oder jedes Ereignis, der/das Potenzial hat, den Betrieb der Organisation (einschließlich der Mission, der Funktionen, des Images oder des Rufs), die Vermögenswerte der Organisation oder Einzelpersonen über ein Informationssystem durch unbefugten Zugriff, Zerstörung, Offenlegung, Änderung von Informationen und/oder Denial-of-Service zu schädigen. Auch das Potenzial einer Bedrohungsquelle, eine bestimmte Schwachstelle in einem Informationssystem erfolgreich auszunutzen.

Mit anderen Worten: Eine Bedrohung ist alles, was Sie oder die Daten oder Abläufe Ihres Unternehmens stören kann. Was ist Bedrohungserkennung? Die Bedrohungserkennung analysiert das Verhalten Ihres Systems, um Bedrohungen zu erkennen, bevor sie Ihr System beschädigen. Dies unterscheidet sich von einem anderen, ähnlichen Begriff, der Bedrohungsabwehr, die darauf abzielt, das Eindringen von Bedrohungen in Ihr System von vornherein zu verhindern.

Lassen Sie uns über einige gängige Bedrohungsarten sprechen.

Arten von Bedrohungen

Malware

Malware oder bösartige Software wird von Angreifern verwendet, um Ihre Daten zu stehlen, Ihr System zu zerstören, die Kontrolle über Ihr Gerät zu übernehmen oder um andere Tricks anzuwenden. Malware kann über folgende Wege auf Ihr Gerät gelangen:

• Downloads aus dem Internet
• Speichern von E-Mail-Anhängen
• Angreifer*innen, die Systemschwachstellen ausnutzen
• Anklicken von bösartigen Links

Wenn die Malware erst einmal auf Ihr Gerät oder Ihre Server gelangt ist, können die Angreifer*innen die gesammelten Informationen nutzen, um Ihre Daten mithilfe von Ransomware auszunutzen - einer Art von Malware, bei der die Angreifer Ihre Daten verschlüsseln und/oder sammeln und Geld dafür verlangen, dass sie geheim bleiben. Oder sie können Ihren Benutzernamen und Ihr Kennwort verwenden, um tiefer in das Netzwerk Ihres Unternehmens einzudringen, bis sie finden, was sie suchen.

Social Engineering

Social-Engineering-Angriffe versuchen in der Regel, die menschliche Natur auszunutzen, sei es durch Freundlichkeit (z. B. ein Angreifer/eine Angreiferin, der/die sich als jemand in Not ausgibt) oder durch Angst (z. B. die Drohung, dass etwas Schlimmes passieren wird). Diese Art von Angriffen ist weit verbreitet und wird oft dazu benutzt, Ihre Daten zu stehlen oder Malware auf Ihren Computer herunterzuladen.

Phishing ist eine Form des Social Engineering, die eine große Gefahr für die Datensicherheit darstellt. Es ist oft einfacher, Informationen zu stehlen oder Benutzer*innen dazu zu bringen, Malware zu installieren, da dies weniger technisches Know-how erfordert. Phishing könnte so aussehen:

• Eine E-Mail, die sich als Ihre Bank ausgibt, fordert Sie auf, Ihr Passwort zurückzusetzen. Wenn Sie jedoch auf den Link klicken, werden Sie auf eine ähnlich aussehende Website geleitet, auf der Angreifer*innen Ihren Benutzernamen und Ihr Passwort aufzeichnen können.
• Eine Textnachricht, die besagt, dass Ihr Paket nicht zugestellt werden kann und Sie auf einen Link klicken müssen, um das Problem zu beheben. Der Link führt Sie zu einer bösartigen Website.
• Sie verwalten die Finanzen Ihres Unternehmens und erhalten eine E-Mail mit einer angehängten Rechnung von einem böswilligen Absender/einer böswilligen Absenderin, der vorgibt, ein Unternehmer zu sein. Sie laden den Anhang herunter, der Malware auf Ihrem Gerät installiert.

Fehlkonfigurationen und Schwachstellen

Manchmal gehen Bedrohungen nicht von Angreifer*innen aus - sie sind Schwachstellen in Ihrem System. Das könnte sein:

• Veraltete Software oder Betriebssysteme
• Software mit bekannten oder unbekannten Schwachstellen, die Angreifer*innen ausnutzen können
• Schwache Passwortrichtlinien
• Zu laxe Zugriffsrichtlinien; keine App der Grundsätze der geringsten Privilegien

Verweigerung von Diensten

Ein Denial-of-Service-Angriff dient dazu, ein Gerät am ordnungsgemäßen Betrieb zu hindern. Bei einem verteilten DoS-Angriff könnte ein Angreifer/eine Angreiferin beispielsweise eine große Anzahl von Geräten verwenden, um auf eine Website zuzugreifen. Wenn die Website nicht mehr in der Lage ist, den erhöhten Datenverkehr zu bewältigen, wird der Server, der die Website unterstützt, heruntergefahren, sodass der Zugriff auf die Website nicht mehr möglich ist. Dies kann den Betrieb eines Unternehmens stark beeinträchtigen, insbesondere wenn die Website eine wichtige Einnahmequelle darstellt.

Insider-Bedrohungen

Von Insider-Bedrohungen spricht man, wenn jemand, der über Ihr System Bescheid weiß, etwas tut, das Ihre Cybersicherheit beeinträchtigt. Dies kann unbeabsichtigt geschehen, z. B. wenn ein Mitarbeiter/eine Mitarbeiterin auf einen Phishing-Angriff hereinfällt, oder absichtlich, z. B. wenn ein verärgerter Mitarbeiter/eine verärgerte Mitarbeiterin sein Insiderwissen nutzt, um Informationen zu stehlen.

Unbekannt

Es gibt viele Bedrohungen, darunter auch neue, die von den Sicherheitsteams noch nicht entdeckt wurden. Diese können schwer zu finden sein und erfordern fortschrittliche Erkennungsfunktionen.

Methoden zur Erkennung von Bedrohungen

Die Erkennung dieser Bedrohungen ist keine einfache Aufgabe. Unternehmen sind ständig mit Bedrohungen konfrontiert - ein einziger erfolgreicher Angriff genügt, um erheblichen Schaden anzurichten. Deshalb ist es von entscheidender Bedeutung, die richtigen Werkzeuge in Ihrer Verteidigungsstrategie zu haben. Es gibt einige Methoden, um Angriffe zu erkennen:

Signaturbasierte Erkennung

Die signaturbasierte Erkennung erkennt bekannte Komponenten einer Bedrohung, indem sie auf eine Datenbank mit bekannten Bedrohungssignaturen zurückgreift. Ihre Software zur Erkennung von Bedrohungen scannt Ihr Gerät beispielsweise auf Code, der als Teil von Malware bekannt ist. Wenn dieser Code gefunden wird, weiß Ihre Software, dass sich Malware auf Ihrem Gerät befindet.

Verhaltensbasierte Erkennung

Bei der verhaltensbasierten Erkennung wird nicht wie bei der signaturbasierten Erkennung nach spezifischem Code gesucht. Stattdessen wird nach Verhaltensweisen gesucht, die darauf hindeuten, dass sich Malware auf Ihrem Gerät befinden könnte. Beispielsweise könnte Ihr infiziertes Gerät mehr Ressourcen verwenden oder den Zugriff auf einen fremden Netzwerkstandort anfordern.

Künstliche Intelligenz und maschinelles Lernen

Künstliche Intelligenz (KI) und maschinelles Lernen (ML) werden eingesetzt, um die Erkennungsmöglichkeiten zu verbessern. Mit KI/ML kann Ihre Software Bedrohungen erkennen, die nicht in einer Datenbank enthalten sind oder unerwartete Verhaltensweisen aufweisen. Dies ist ein leistungsfähiges Tool, das mit Sicherheitsforscher*innen zusammenarbeitet und über die Fähigkeit eines Menschen, Bedrohungen zu erkennen, hinausgeht.