KI und Automatisierung entlasten die Security-Analysten.

Ransomware-Angriffe verursachen hohe Kosten und bremsen die Wettbewerbsfähigkeit von Unternehmen, die man eigentlich durch die Einführung neuer digitaler Technologien vorantreiben will. Die Aktivitäten haben sich letztes Jahr rasant weiterentwickelt. Erpresser führen zunehmend ausgeklügelte und hartnäckige Angriffe durch, um den finanziellen Gewinn aus dem Eindringen ins Netzwerk, einem Hack oder einer Sicherheitsverletzung zu erhöhen. Ein beliebtes Ziel: Industrieunternehmen.

Es ist wichtig zu wissen, dass Ransomware-Angriffe in mehreren Phasen erfolgen, die weit über die erste Kompromittierung hinausgehen. Dazu gehören Persistenz, Privilegienerweiterung, interne Aufklärung und Auskundschaftung, Seitwärtsbewegung, Zugriff auf Zugangsdaten, Command and Control (C2), Umgehung der Verteidigung, Exfiltration etc. Herkömmliche präventive Tools bieten nur eine begrenzte Sicherheitsabdeckung während des Erstzugriffs oder der Exfiltrationsphase eines Angriffs. Der Betrieb und die Wartung dieser Tools erfordert einen kontinuierlichen manuellen Aufwand. Sie sorgen nur für begrenzte Sichtbarkeit und verlassen sich auf eine vordefinierte Liste vertrauenswürdiger Dienste, Benutzer und Anwendungen, ohne kontinuierlich zu überprüfen, ob sich diese vertrauenswürdigen Dienste normal verhalten. Agentenbasierte Tools können zudem Geschäftsunterbrechungen verursachen, was ihre Effizienz weiter einschränkt.

Unternehmen müssen sich heute mit der Komplexität der digitalen Angriffsfläche ebenso auseinandersetzen wie mit der Raffinesse der Ransomware-Betreiber, den Grenzen herkömmlicher Sicherheitswerkzeuge und dem chronischen Mangel an Security-Experten. Der Weg der Erkenntnis führt dabei in Richtung einer neuen Generation von KI-gestützten (künstliche Intelligenz), hochleistungsfähigen Sicherheitslösungen, die sich auf das Aufspüren von Bedrohungen im Netzwerk und die Reaktion darauf konzentrieren: Eine NDR-Plattform (Network Detection and Response) sammelt und speichert die richtigen Metadaten und reichert sie mit den per KI abgeleiteten Sicherheitserkenntnissen an.

Eine NDR-Lösung überwacht den gesamten Netzwerkverkehr kontinuierlich, um den Sicherheitsverantwortlichen vollständige Sichtbarkeit zu bieten. Diese erhalten einen umfassenden Einblick in die Unternehmensumgebung, die sich heute von On-Premises zur Cloud erstrecken kann, von der Hybrid- zur Multi-Cloud, vom Büro vor Ort bis zum Remote-Arbeitsplatz. Die Nutzung von IaaS (Infrastructure as a Service) und SaaS (Software as a Service) decken solche Lösungen ebenso ab wie IoT- und OT-Umgebungen. Verhaltensanalysen, maschinelles Lernen und künstliche Intelligenz kommen dabei zum Einsatz, um Bedrohungen und anomales Verhalten zu erkennen und darauf mittels bordeigener Funktionen oder durch die Integration mit anderen Security-Tools zu reagieren.

Mit einer modernen NDR-Plattform lässt sich unter anderem Ransomware zuverlässig erkennen und stoppen, bevor sie Dateien verschlüsseln und Daten exfiltrieren kann: Eine NDR-Plattform macht automatisch gefährdete Konten und Hosts im Unternehmensnetzwerk und in der Cloud ausfindig. Sie verfolgt das Verhalten der Angreifer, einschließlich der C2-Kommunikation über HTTPS-Tunnel, LDAP- (Lightweight Directory Access Protocol) und RPC-Aufrufe (Remote Procedure Call), um das Netzwerk abzubilden. Ebenso macht diese Technik die Erkundung privilegierter Konten sichtbar – ein beliebtes Mittel auf Angreiferseite, um sich dem Ziel zu nähern. Dies versetzt Sicherheitsteams in die Lage, anspruchsvolle Ransomware-Angriffe zuverlässig zu erkennen und zu stoppen.

Leistungsstarke NDR-Lösungen nutzen fortschrittliche Tools für maschinelles Lernen (ML) und KI. Ziel ist es, die Taktiken, Techniken und Verfahren von Angreifern zu modellieren, wie sie im Mitre Att&ck Framework abgebildet sind, um Angreiferverhalten mit hoher Präzision zu erkennen. Der NDR-Ansatz ermöglicht es, sicherheitsrelevanten Kontext zu erkennen, präzise Daten aus verdächtigen Vorgängen zu extrahieren und Ereignisse über Zeit, Benutzer und Anwendungen hinweg zu korrelieren. All dies trägt dazu bei, den Zeit- und Arbeitsaufwand für die Untersuchung von Sicherheitsvorfällen gegenüber manuellen oder wenig automatisierten Prozessen deutlich zu senken.

Die NDR-Plattform leitet zudem die Sicherheitserkennungen und Bedrohungskorrelationen an SIEM-Lösungen (Security-Information- und Event-Management) weiter, um umfassende Sicherheitsbewertungen zu ermöglichen. NDR-Lösungen gehen über die bloße Erkennung von Bedrohungen hinaus und reagieren in Echtzeit auf Bedrohungen durch native Kon­trollen oder durch die Unterstützung einer breiten Palette von Integrationen mit Lösungen wie SOAR (Security Orchestra-

tion, Automation, and Response).

