Kompromittierungsbewertungen sind allgemeine Untersuchungen, bei denen kompetente Teams hochentwickelte Tools einsetzen, um sich Umgebungen genauer anzusehen und laufende oder vergangene Angriffsaktivitäten sowie bestehende Schwachstellen in Kontrollen und Abläufen zu ermitteln. Das Ziel dieser umfassenden Bewertung ist die Beantwortung der kritischen Frage: „Wurde mein Unternehmen kompromittiert?“

In manchen Branchen wird die Durchführung von Kompromittierungsbewertungen durch Bestimmungen vorgeschrieben. Die Cybersecurity & Infrastructure Security Agency (CISA) empfiehlt ihren Einsatz als Best Practice für alle Unternehmen.

Vorteile einer Kompromittierungsbewertung

Trotz Fortschritten bei Cybersicherheitstechnologien sowie wachsende Sicherheitsbudgets ist die Verweildauer im Laufe der Jahre mehr oder weniger unverändert geblieben. Die Verweildauer ist die Zeit, die zwischen dem Eindringen eines Angreifers in ein Netzwerk und seiner Blockierung vergeht. Das Verkürzen der Verweildauer ist wichtig, denn je länger ein Bedrohungsakteur unentdeckt im Netzwerk agieren kann, desto mehr Zeit hat er, einen Weg zu den wertvollsten Assets zu finden, Möglichkeiten zum Unterlaufen der Schutzmaßnahmen zu ermitteln, Backdoors zu installieren und Daten zu exfiltrieren. Diese hochentwickelten hartnäckigen Bedrohungen (Advanced Persistent Threats, APTs) sind schädlich und mit hohen Kosten verbunden, können aber mit einer Kompromittierungsbewertung aufgedeckt werden.

Mithilfe einer umfassenden und detaillierten Kompromittierungsbewertung kann ein Unternehmen feststellen, ob Bedrohungsakteure präsent sind bzw. ob es zu einer Kompromittierung gekommen ist. Dazu werden umfangreiche Analysen durchgeführt, die das Sicherheitsrisiko minimieren können, da sich so verhindern lässt, dass Angreifer Vermögenswerte, Kundendaten oder geistiges Eigentum stehlen.

Unzureichende Sicherheitsverfahren können zu Konfigurationsfehlern und Richtlinienkonflikten führen, die Angreifern Einfallstore öffnen und Unternehmen gefährden. Daher müssen diese proaktiv identifiziert werden, um die Sicherheitslage zu verbessern. Mit einer Kompromittierungsbewertung werden diese Schwachstellen aufgedeckt und ein Weg zu deren Beseitigung aufgezeigt. Unternehmen können damit die Frage beantworten, ob sie kompromittiert wurden. Außerdem erhalten sie Empfehlungen für künftige Verbesserungen, die als Grundlage für Entscheidungen über künftige Budgets und Ressourcen verwendet werden können. Kompromittierungsbewertungen werden durch einige Bestimmungen vorgeschrieben. Doch selbst wenn ein Unternehmen nicht unter eine dieser Regelungen fällt, können Nachweise für eine Kompromittierungsbewertung bei Prüfern Eindruck machen.

Schritte einer Kompromittierungsbewertung

Schritt 1: Bewerten

Eine Kompromittierungsbewertung beginnt mit der Erfassung forensischer Daten, um nach Anzeichen für eine potenzielle Kompromittierung auf Endgeräten, im Netzwerkverkehr und in Protokollen zu suchen.

Schritt 2: Analysieren

Die mit der Kompromittierungsbewertung betrauten Teams können anhand der erfassten Daten ermitteln, ob es einen Angriff gegeben hat. In einem solchen Falle werden die vermuteten Kompromittierungen bestätigt und das Team kann eine Analyse durchführen, um folgende Fragen zu beantworten: Wer steckt hinter dem Angriff? Warum wurde das Unternehmen ins Visier genommen? Welche Ziele hat der Angreifer? Wie geht der Angreifer vor? Dieses Wissen kann dann eingesetzt werden, um den nächsten Schritten des Angreifers vorzugreifen und sie zu vereiteln.

Schritt 3: Unterstützen

Analysten können die Ergebnisse ihrer Kompromittierungsbewertung auch verwenden, um auf erkannte Bedrohungen zu reagieren und sie auszuräumen.

Schritt 4: Beraten

Die Kompromittierungsbewertung ist abgeschlossen, wenn das Unternehmen weiß, wie es seine interne Reaktionsfähigkeit und seine allgemeine Sicherheitsaufstellung verbessern kann, um künftige Zwischenfälle zu vermeiden oder beheben.

Kompromittierungsbewertung und Bedrohungssuche im Vergleich

Die Bedrohungssuche ist eine proaktive Suche nach Cyberbedrohungen, die bereits in die Infrastruktur eingedrungen sind. Threat Hunter entwickeln Hypothesen basierend auf Informationen, die zu neuen Bedrohungen gesammelt wurden, und kombinieren diese mit Wissen zu den Praktiken von Bedrohungsakteuren. Sie verwenden Bedrohungsanalysen, um potenzielle und laufende Angriffsaktivitäten aufzudecken, und ermitteln mit erweiterten Analysen verdächtiges Verhalten in den enormen Datenmengen, die von Sicherheitssystemen erfasst wurden. Die Bedrohungssuche ist ein fortlaufender Prozess.

Eine Kompromittierungsbewertung hingegen wird in der Regel mit gewissen Zeitabständen durchgeführt (oft einmal im Quartal oder einmal im Monat), um eine punktuelle Analyse vorzunehmen und manchmal auch Vorschriften zu erfüllen. Der Umfang einer Kompromittierungsbewertung ist zudem viel größer als der einer Bedrohungssuche. Bei einer Kompromittierungsbewertung werden nicht nur die Kompromittierungs- und Angriffsindikatoren betrachtet, sondern auch die möglichen Gründe für den Angriff, die anstehenden nächsten Schritte sowie die Maßnahmen, die zum Verbessern der allgemeinen Sicherheitsaufstellung des Unternehmens ergriffen werden können.

Regelmäßige Kompromittierungsbewertungen mit CrowdStrike Falcon Forensics

CrowdStrike Falcon Forensics automatisiert die Erfassung punktueller und historischer Daten aus forensischen Untersuchungen, sodass die Teams effektive und effiziente regelmäßige Kompromittierungsbewertungen vornehmen können. Die Lösung Falcon Forensics kann sowohl große historische als auch Echtzeit-Datenmengen analysieren und macht separate Tools oder Datenerfassungsmethoden überflüssig, was die Workflows von Analysten vereinfacht. Anpassbare vordefinierte Dashboards wie das Quick Wins-Dashboard wurden zusammen mit dem CrowdStrike-Services-Team entwickelt, um relevante und nützliche Daten bestmöglich zu präsentieren.

Falcon Forensics ermöglicht Teams die schnelle Bereitstellung im großen Maßstab, um die Erfassung von Daten auf zehntausenden bis hunderttausenden Endgeräten zu unterstützten. Die selbstlöschende ausführbare Datei führt die Erfassung durch, bevor sie sich eigenständig von den Systemen entfernt. Für Analysten entfällt also die Wartung und Verwaltung eines weiteren Agenten auf Systemen, was die Komplexität weiter reduziert.

Für Unternehmen, die eine der branchenweit umfassendsten Bewertungen durchführen lassen möchten, wird das CrowdStrike® Services Compromise Assessment angeboten. Dabei profitieren sie von der jahrelangen Erfahrung des Services-Teams bei der Reaktion auf Angriffe durch die raffiniertesten Akteure. In Kombination mit der leistungsstarken CrowdStrike Falcon®-Plattform, branchenführenden Cyberbedrohungsanalysen und der Bedrohungssuche rund um die Uhr sind Unternehmen in der Lage, die folgende kritische Frage zu beantworten: „Wurde mein Unternehmen kompromittiert?“