Die heutige dynamische Belegschaft ist weit verstreut, agil und in ihrem Verhalten nicht vorhersehbar. Aus der Sicherheitsperspektive sind die Benutzeraktivitäten so verteilt wie nie zuvor – E-Mail, Cloud und SaaS Services gehen häufig über das Unternehmensnetzwerk hinaus.
Diese verteilte Konstellation stellt nicht nur das traditionelle Paradigma der Netzwerkgrenzen in Frage, sondern auch den stati- schen und isolierten Charakter der meisten Sicherheitstools – von traditionellen lokalen Abwehrmechanismen und E-Mail-Gateways bis hin zu cloudspezifischem Schutz für begrenzte Einsatzzwecke wie Zugriffsrichtlinien, Governance und Workload-Sicherheit.
Eine der größten Gefahren für die heutige Arbeitswelt lauert in SaaS-Anwendungen, da die Benutzer immer mehr auf Clouddienste zurückgreifen – von Salesforce und G Suite bis hin zu Box, Dropbox und Microsoft 365. Diese Plattformen steigern in ungeahntem Maße die Effizienz und Innovation, und Unternehmen jeder Art und Größe nutzen sie für die Verwaltung hochsensibler Daten und geschäfts- kritische Abläufe.
Aufgrund der zunehmenden Nutzung von SaaS müssen Sicherheit- steams einen komplexen Flickenteppich von Diensten mit nativen Sicherheitstools schützen, die nicht nur regelbasiert und statisch sind, sondern auch plattformspezifisch. Es gibt mittlerweile verschie- dene Third-Party-Tools, die das Ganze vereinheitlichen sollen, aber deren Ansatz für die Bedrohungserkennung ist ebenso starr und sie schützen nicht alle Systeme. Somit lässt sich das Verhalten der dynamischen Belegschaft nur schwer verfolgen, die das gesamte Spektrum an digitalen Infrastrukturen im Unternehmen nutzen.
Die vorhandenen Sicherheitstools in diesem Bereich agieren wie eine
„Schutzhülle“ für SaaS-Sicherheit – sehr wichtig für die Abwehr einfa- cher Bedrohungen, aber unzureichend gegen komplexere Angriffe.
Häufig entstehen diese Risiken durch Kompromittierung von SaaS- Zugangsdaten und Insiderbedrohungen, insbesondere durch böswillige Administratoren mit privilegierten Berechtigungen. Da selbst legitime Verhaltensweisen von Mitarbeitern oftmals nur schwer zu fassen und kaum vorhersehbar sind, ist ein statischer, vorprogrammierter Ansatz für SaaS-Sicherheit schlichtweg nicht ausreichend.
Um die heutigen dynamischen Mitarbeiter zu schützen, müssen Sicherheitsteams in der Lage sein zu erkennen, wann und wie ein vertrauenswürdiges Konto für schädliche Zwecke missbraucht wird. Dafür ist mehr als nur eine „Schutzhülle“ erforderlich, nämlich ein ganzes „Immunsystem“, das sich nicht nur an veränderte Gegebenheiten anpasst, sondern auf einem zentralen und verhal- tensbasierten Verständnis der gesamten Belegschaft beruht.
Einleitung
Inhalt
Einleitung 1 Ein Ansatz nach dem Vorbild
des menschlichen Immunsystems 2 Kompromittierung und Sabotage
eines Microsoft 365-Kontos 3
Schädlicher Datei-Download in Box 3 Microsoft 365- und SharePoint-Infiltrierung 4 Kompromittierung eines Microsoft 365
Kontos stellt Gefahr für Finanzdokumente dar 4 Kontokaperung bei Bank in Panama 5 Automatisierter Brute-Force-Angriff 5 Zugriffsversuch aus einer
ländlichen Gegend in Japan 6
Phishing-Link führt zu
Kompromittierung eines Kontos 6
Ein Ansatz nach dem Vorbild des menschlichen Immunsystems
Das Enterprise Immune System von Darktrace ist die erste und einzige Lösung, die einen intelligenten selbstlernenden Rundumschutz für Ihre dynamische Belegschaft bietet – egal, an welchem Ort sie arbeitet oder welche Anwendungen sie nutzt.
Das „Immunsystem“ von Darktrace ergänzt Ihre „Schutzhülle“. Es lernt fortwährend die normalen Verhaltensmuster, die sogenannten
„Patterns of life“, jedes Benutzers und Geräts in Ihrem Unternehmen und stellt komplexe Verhaltensweisen und Beziehungen in E-Mail-, Cloud- und Netzwerkumgebungen in einen Zusammenhang. Die Cyber-KI von Darktrace basiert nicht auf Annahmen oder vordefi- nierten Regeln und kann daher das Verhalten von Mitarbeitern im Kontext analysieren. Auf diese Weise erkennt die Technologie subtile Abweichungen, die auf eine echte Bedrohung hindeuten.
Das Enterprise Immune System macht sich ein Bild von den normalen Verhaltensweisen aller Ihrer Mitarbeiter und erkennt binnen Sekunden eine ungewöhnliche Nutzung von SaaS-Zugangsdaten und Insider mit böswilligen Absichten. Dieser einzigartige selbstlernende Ansatz ermöglicht es den Sicherheitsteams, komplexe Bedrohungen in SaaS- Umgebungen und darüber hinaus zu erkennen und abzuwehren.
Untersuchung von SaaS-Bedrohungen mit dem Cyber AI Analyst
Darktrace erkennt nicht nur gekaperte Konten und Insiderbedrohungen, sondern untersucht automatisch den gesamten Kontext SaaS-basierter Sicherheitsvorfälle. Immer dann, wenn das Enterprise Immune System ein verdächtiges Verhaltensmuster erkennt, leitet der „Cyber AI Analyst“
von Darktrace eine unternehmensweite Untersuchung ein. Dabei werden alle Anomalien wie bei einem Puzzle zusammengesetzt, damit zuverlässige Rückschlüsse auf die Art und Ursache des breiteren Sicherheitsvorfalls gezogen werden können.
Der Cyber AI Analyst wird sukzessive mit den Vorgehensweisen mensch- licher Analysten angelernt und automatisiert deren Workflows blitz- schnell in großem Maßstab. Dabei können auch Sicherheitsvorfälle untersucht werden, die auf neuartige Angriffsmethoden zurückgehen – mit vordefinierten Playbooks wäre das nicht möglich.
Der Cyber AI Analyst erstellt ein dynamisches, situatives Dashboard sowie Berichte, mit denen die meist überlasteten Sicherheitsteams in die Lage versetzt werden, geeignete Maßnahmen zu ergreifen. In den folgenden Beispielen erkannte die Cyber-KI von Darktrace Bedrohungen in SaaS-Umgebungen, die von statischen Sicherheitstools übersehen wurden. Die Technologie konnte die Bedrohungen unschädlich machen, bevor sie Schaden anrichten konnten.
Bei einer internationalen Non-Profit-Organisation mit Büros in aller Welt erkannte Darktrace, dass in Microsoft 365 ein Konto gekapert worden war, weil die statische „Impossible Travel“-Regel von Azure AD den Angriff nicht abgewehrt hatte. Die selbstlernende KI von Darktrace erkannte einen Anmeldevorgang von einer IP-Adresse aus, die ungewöhnlich für die betreffende Benutzerin und ihre Peer-Group war, und benachrichtigte sofort das Sicherheitsteam.
Darktrace wies darauf hin, dass für das Konto eine neue E-Mail- Verarbeitungsregel einrichtet worden war, die eingehende und ausgehende E-Mails löscht. Dies war ein deutlicher Hinweis auf eine Kompromittierung und das Sicherheitsteam konnte das Konto sperren, bevor der Angreifer Schaden anrichten konnte.
Mit dieser neuen E-Mail-Verarbeitungsregel hätte der Angreifer E-Mail-Korrespondenz mit anderen Mitarbeitern im Unternehmen führen können, ohne dass der legitime Benutzer etwas davon mitbe- kommen hätte. Dies ist eine beliebte Strategie von Cyberkriminellen, um sich dauerhaften Zugriff zu verschaffen und sich im Unternehmen einzunisten, möglicherweise als Vorbereitung für einen großange- legten Angriff.
Durch Analyse der ungewöhnlichen IP-Adresse in Verbindung mit dem unüblichen Verhalten des scheinbaren Benutzers identifizierte Darktrace diese Aktivität als Kontokaperung und verhinderte damit größeren Schaden für das Unternehmen.
Bei einem international tätigen Produktlieferanten deuteten mehrere verdächtige Anfragen auf der Box-Plattform des Unternehmens darauf hin, dass ein Benutzerkonto kompromittiert worden war.
Der Bedrohungsakteur meldete sich erfolgreich bei Box an und lud dann Spesenabrechnungen, Rechnungen und andere Finanzdokumente herunter. Anschließend entsperrte er eine Datei, die eine Liste sensibler Passwörter enthielt.
Aufgrund ihrer genauen Kenntnis der normalen Verhaltensweisen jedes Mitarbeiters im Unternehmen konnte die Cyber-KI von Darktrace die Bedrohung sofort identifizieren. Das Enterprise Immune System erkannte, dass die Aktivität zu einer für den legitimen Benutzer sehr ungewöhnlichen Zeit stattfand und dass der Standort der IP-Adresse im Vergleich zu den bisherigen Zugriffsorten des Mitarbeiters für diesen SaaS-Dienst ebenfalls anormal war.
In einem anderen Kontext wäre der Zugriff auf diese Dokumente vielleicht normal gewesen, aber aufgrund ihrer genauen Kenntnis des Benutzerverhaltens und ihrer granularen Einblicke in Box erkannte die Cyber-KI sofort die subtilen Hinweise auf die Kompromittierung des Kontos. Zudem konnte der Darktrace AI Analyst, der den Vorfall automatisch untersuchte, belegen, dass der unbefugte Dateizugriff Teil eines größeren, kritischen Vorfalls war, und das Sicherheitsteam entsprechend warnen.
Kompromittierung und Sabotage
eines Microsoft 365-Kontos Schädlicher Datei-Download in Box
Abbildung 2: KI von Darktrace erkennt den ungewöhnlichen SaaS- Anmeldeort
Abbildung 3: Darktrace gibt Standort der ungewöhnlichen IP-Adresse an
Bei einer US-amerikanischen Versicherungsgesellschaft konnte die Cyber-KI von Darktrace einen Angriff stoppen, der mit einem kompro- mittierten Microsoft 365-Konto begonnen hatte, weil die Technologie genaue Kenntnis der normalen Verhaltensweisen in dem Unternehmen und Einblick in die SaaS-Plattformen hatte.
Als sich ein Bedrohungsakteur erfolgreich bei einem der Microsoft 365-Konten des Kunden mit einer IP-Adresse in den Vereinigten Arabischen Emiraten anmeldete, erkannte die Cyber-KI das Verhalten als anormal, weil noch nie zuvor eine Anmeldung mit dieser IP-Adresse bei einem Microsoft 365-Konto stattgefunden hatte. Vier Tage später griff eine weitere ungewöhnliche IP-Adresse in den VAE auf das kompromittierte Konto zu. Dieses Mal richtete der Bedrohungsakteur eine neue E-Mail-Regel ein und machte sich seinen unberechtigten Zugriff weiter zunutze, um Dateien im persönlichen SharePoint-Konto des Benutzers zu lesen.
Die Cyber-KI von Darktrace hatte vorher noch nie beobachtet, dass irgendwelche Benutzerkonten mit IP-Adressen in den VAE aus dem betreffenden Netzwerk kommunizierten. Dies deutete darauf hin, dass das beobachtete Verhalten in hohem Maße ungewöhnlich für den Kunden und das Ergebnis einer Kompromittierung war.
Die Legacy-Tools des Kunden sahen die Bedrohung erst, als Änderungen an dem kompromittierten Konto vorgenommen wurden.
Die Cyber-KI hingegen erkannte das anormale Verhalten sofort und konnte die Bewegung des Angreifers zwischen den SaaS-Diensten genau verfolgen. Darktrace konnte schon in der ersten Angriffsphase das Sicherheitsteam warnen, detaillierte Informationen bereitstellen und sicherstellen, dass die Bedrohung neutralisiert wurde, bevor sie Schaden anrichten konnte.
Bei einem international tätigen Unternehmen infiltrierte ein Bedrohungsakteur das Microsoft 365-Konto eines Mitarbeiters, um sich Zugriff auf sensible Finanzdokumente in SharePoint zu verschaffen, darunter Gehaltsabrechnungen und Bankverbindungen.
Als nächstes nahm der Angreifer Konfigurationsänderungen an dem gehackten Posteingang vor – er löschte Elemente und verwischte seine Spuren.
Als der Darktrace AI Analyst den Vorfall untersuchte, erkannte er sofort den Zusammenhang zwischen den anormalen Aktivitäten und konnte ein umfassendes Bild des Angriffs zeichnen.
Die Cyber-KI von Darktrace erkannte, dass sich der Bedrohungsakteur mit verschiedenen, bislang noch nicht beobachteten externen IP-Adressen und aus unbekannten Netzwerken in Nigeria und Bulgarien anmeldete. Der AI Analyst wusste, dass sich der legi- time Benutzer nie zuvor mit einer dieser Adressen bei dem betref- fenden SaaS-Konto angemeldet hatte. Es deutete also alles darauf hin, dass die Anmeldevorgänge von beiden Standorten auf einen Angreifer zurückgingen.
Darktrace stellte außerdem fest, dass die Aktivität, die sich an diese beiden anormalen Anmeldevorgänge anschloss, zu einer für den Mitarbeiter ungewöhnlichen Uhrzeit stattfand. Dank seiner Fähigkeit, Ereignisse automatisch zu analysieren, um sich so ein umfassendes Bild eines Angriffs zu machen, konnte der AI Analyst diese schwachen Hinweise auf eine Bedrohung in Beziehung setzen und die Kontokompromittierung aufdecken.
Microsoft 365- und SharePoint-Infiltrierung
Kompromittierung eines Microsoft 365-Kontos stellt Gefahr für
Finanzdokumente dar
Darktrace stellte täglich über einen Zeitraum von einer Woche mehrere fehlgeschlagene Anmeldeversuche bei einem Microsoft 365 SaaS-Konto fest. Jede Anmelderunde erfolgte an sechs Tagen immer genau um 18.04 Uhr. Dass Uhrzeit und Anzahl der Anmeldeversuche immer gleich waren, deutete auf einen automatisierten Brute-Force- Angriff hin, der so programmiert war, dass nach einer bestimmten Anzahl an Fehlversuchen Schluss war, um eine Kontosperrung zu vermeiden.
Darktrace stufte dieses Muster als äußerst anormal ein und benach- richtigte das Sicherheitsteam. Hätte Darktrace nicht die schwachen Indikatoren in Beziehung gesetzt und die subtilen Hinweise auf die sich entwickelnde Bedrohung erkannt, hätte dieser automati- sierte Angriff noch Wochen oder Monate andauern können und der Angreifer hätte anhand anderer bereits gesammelter Informationen die Kennwörter der Benutzer erraten können.
Automatisierter Brute-Force-Angriff
Bei einem Brute-Force-Angriff auf eine bekannte Bank in Panama wurde ein Microsoft 365-Konto missbraucht. Die Anmeldungen erfolgten aus einem Land, das unter Berücksichtigung der „normalen Verhaltensmuster“ des Unternehmens ungewöhnlich war.
Darktrace registrierte 885 Anmeldevorgänge über einen Zeitraum von 7 Tagen. Während die meisten Authentifizierungen über IP-Adressen in Panama erfolgten, gingen 15 % von einer IP-Adresse in Indien aus, die 100 % ungewöhnlich war. Eine weitergehende Analyse ergab, dass dieser externe Endpoint auf mehreren Spam-Blacklists stand und in letzter Zeit mit missbräuchlichem Online-Verhalten – möglicherweise unbefugtes Internet-Scanning oder -Hacking – in Verbindung stand.
Kontokaperung bei Bank in Panama
Abbildung 4: Benutzeroberfläche, auf der die Anmeldeorte zu sehen sind
Darktrace stellte dann einen augenscheinlichen Missbrauch der Funktion zum Zurücksetzen des Kennworts fest – der Benutzer in Indien änderte in äußerst ungewöhnlicher Art und Weise die Kontoberechtigungen. Die Aktivität war so verdächtig, da nach dem Zurücksetzen des Kennworts fehlgeschlagene Anmeldeversuche von einer IP, die normalerweise mit dem Unternehmen verknüpft ist, beobachtet wurden. Diese deuteten darauf hin, dass der legitime Benutzer ausgesperrt worden war.
Abbildung 5: Aktivität im Zusammenhang mit dem SaaS-Konto;
zu sehen sind hier die geänderten Zugangsdaten
Abbildung 6: Schaubild zur Veranschaulichung der wiederholten Anmeldeversuche
Bei einem Finanzdienstleister in Europa wurde beobachtet, dass Microsoft 365-Anmeldungen von einer ungewöhnlichen IP-Adresse in einer ländlichen Gegend in Japan aus erfolgten.
Zugriffe von entfernten Standorten sind zwar durchaus möglich, wenn ein Benutzer auf Reisen ist oder einen Proxy-Service nutzt, aber dies konnte auch ein deutlicher Hinweis auf kompromittierte Zugangsdaten und schädlichen Zugriff durch einen unbefugten Benutzer sein. Angesichts dessen, dass der Zugangspunkt ein ganz anderer war als die sonst üblichen IPs, kennzeichnete Darktrace die Aktivität als anormal und empfahl sofort weitere Untersuchungen.
Das Sicherheitsteam konnte das Microsoft 365-Konto aus der Ferne sperren und die Zugangsdaten zurücksetzen und legte dem böswil- ligen Akteur damit das Handwerk. Wäre diese Aktivität nicht bemerkt worden, hätte der Bedrohungsakteur seine Zugriffsrechte nutzen können, um Malware in das Unternehmen einzuschleusen oder eine betrügerische Zahlung zu veranlassen.
Eine Mitarbeiterin klickte auf einen schädlichen Link in einer E-Mail, die zu einer gespooften Anmeldeseite führte. Dort wurden ihre E-Mail- Adresse und ihr Passwort abgegriffen. Der Angreifer hatte jetzt ihre Zugangsdaten und konnte sich damit per Fernzugriff bei Microsoft 365 anmelden.
Nachdem er in das Konto eingedrungen war, weitete er als nächstes den Angriff auf andere Opfer aus und schickte 99 E-Mails mit dem Betreff „Zahlungsavis“ an diverse Empfängerunternehmen. Diese Aktivität erscheint auf den ersten Blick nicht ungewöhnlich, wohl aber für diese Mitarbeiterin.
Darktrace stellte auch fest, dass eine neue Posteingangsregel erstellt worden war. Regeln für die Verarbeitung eingehender E-Mails dienen Angreifern häufig dazu, Spam zu verbreiten oder ihre Aktivitäten zu verbergen, indem E-Mails automatisch nach dem Versand gelöscht und die Spuren im E-Mail-System verwischt werden.
Durch die unabhängige Überwachung der E-Mails und der SaaS- Kontoaktivitäten jedoch konnte Darktrace die Aktivitäten des Angreifers im Gesamtkontext beurteilen, die verdächtigen Verhaltensweisen in Beziehung setzen und davon die Kompromittierung des Kontos ableiten.
Zugriffsversuch aus einer
ländlichen Gegend in Japan Phishing-Link führt zu
Kompromittierung eines Kontos
Abbildung 7: Die Anmeldung aus Japan wich von mehreren Modellen ab
