Du bist hier: / / / Wolkenbrüche eindämmen – Abwehr von DDoS-Angriffen aus der eigenen Clo...

Wolkenbrüche eindämmen – Abwehr von DDoS-Angriffen aus der eigenen Cloud

01.05.20 / Simon Oberem und Benjamin Wagner

aus dem Netzwerk Insider Mai 2020

In der heutigen Zeit sind IT-Abteilungen immer häufiger in der Bedrängnis, ihre Leistungen mit denen von großen Cloud-Providern messen zu müssen. Jedweder Dienst muss von überall erreichbar sein, schnell skalieren sowie kosteneffizient und automatisiert bereitgestellt werden können. Dieser Trend ist auch unabhängig von den aktuellen Krisenzeiten um Covid-19 zu sehen, in denen IT-Abteilungen verstärkt Lösungen für verteiltes Arbeiten schnellstmöglich bereitstellen müssen. An dieser Stelle wollen wir nicht auf die Vor- und Nachteile von Cloud-Computing eingehen. Allerdings stellen wir fest, dass in immer mehr Projekten herkömmliche IT-Lösungen durch deren Cloud-Pendant abgelöst werden.

Das nun aber durch die Verlagerung von Workloads in das Internet, bzw. in die Cloud, deren Absicherung nicht gerade leichter geworden ist, wird bei der Lösungsfindung leider häufig nachrangig betrachtet. Seit Jahrzehnten ist vielen die Absicherung gegenüber dem Internet ein stetes Anliegen. Hier lauern ganz spezifische Gefahren, die sich im Laufe der Zeit extrem gewandelt haben. Angreifer nutzen natürlich auch Techniken, wie wir sie von den typischen Cloud-Schlagwörtern kennen: Flexibilität, Skalierbarkeit, Automatisierung.

Am konkreten Beispiel einer Angriffsart, den DDoS-Attacken (DDoS – Distributed Denial of Service), wollen wir nun im Folgenden den Aspekt des Monitorings bzw. Security Monitorings beleuchten.

DDoS-Attacken und -Schutz aus der Cloud

Distributed-Denial-of-Service-(DDoS-)Attacken sind eine besonders bekannte Variante der Angriffsvektoren im Internet. Diese Art von Angriffen hat das Ziel, einfach die Verfügbarkeit der Systeme, Dienste oder Prozesse durch die Herbeiführung einer Überlast zu beeinträchtigen. Dies geschieht durch verteilte Systeme (meist ein Botnet), die gemeinsam einen bestimmten Dienst zu überlasten versuchen. Der schematische Aufbau eines DDoS-Angriffs ist in Abbildung 1 dargestellt.

Abbildung 1: Aufbau eines DDoS-Angriffs

Wenn ein System „nicht mehr erreichbar ist, Netzwerkdienste ausfallen oder kritische Geschäftsprozesse wegen Überlastung blockiert werden“ ist der Grund häufig ein DDoS-Angriff. „Ziele von DDoS-Angriffen sind in der Regel aus dem Internet erreichbare Dienste“ [BSI-Lagebericht2019], hält auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem letzten Lagebericht zur IT-Sicherheit fest.

Dort und an anderer Stelle lässt sich viel über Beispiele von DDoS-Attacken und deren Auswirkungen lesen, die wir nicht alle wiederholen wollen. Tatsachen sind aber: DDoS-Attacken sind täglich präsent im Internet, es entstehen Milliardenschäden, die Gegenmaßnahmen an einem einzelnen Standort sind oftmals wirkungslos und DDoS-Angriffe und Cloud-Infrastrukturen sind ein untrennbares Paar.

Denn kritische Dienste, die in einer Cloud realisiert werden, können natürlich genauso durch DDoS-Angriffe in Mitleidenschaft gezogen werden. Ein Beispiel hierzu ist der Angriff auf den DNS-Dienst „Route 53“ von Amazon Web Services (AWS) im letzten Oktober, der für ca. 8h erheblich gestört war. Der Ausfall des Dienstes hatte zur Folge, dass Namen im AWS-DNS zeitweise nicht aufgelöst werden konnten und so die dahinterliegenden Dienste oftmals nicht erreicht wurden.

Als externe Schutzmaßnahmen gegen DDoS-Attacken werden sogenannte Scrubbing-Center oder DDoS-Mitigation-Dienste eingesetzt. Die hier angewandte Strategie ist die Umkehr der Angriffsmethode: die Lastverteilung von Schutzmaßnahmen. Wo bei DDoS-Angriffen viele Systeme es auf ein Ziel absehen, verteilen die DDoS-Mitigation-Dienste die Last auf viele Systeme und wenden dann dort verteilt lokale Schutzmaßnahmen an. Das bedeutet, der Schutz für Angriffe aus der Cloud (synonym für verteilte Systeme) sind Schutzmaßnahmen in der Cloud. Und das Letztere wird auch von allen großen Cloud-Providern als integrierter Dienst angeboten. Denn was läge näher, als verteilte Cloud-Rechenzentren und Zugangspunkte zu Cloud-Ressourcen nicht direkt mit Schutzmaßnahmen wie einer Anomalie-Erkennung auszustatten?

Weiterhin machen aber auch die einfache Nutzung und die schnelle Skalierbarkeit von Cloud-Services die Cloud als Angriffswerkzeug sehr attraktiv. Man findet natürlich überall fehlkonfigurierte Systeme oder solche mit Schwachstellen. Mit der Verlagerung von Systemen in die Cloud verschwinden nicht die entsprechenden Schwachstellen, die ausgenutzt werden können, um anschließend das System in ein DDoS-Angreifer-Botnet zu integrieren.

Ein Beispiel hierfür waren Schwachstellen in Elasticsearch-Datenbanken, die genutzt wurden, um mit den gekaperten Systemen Krypto-Mining und DDoS-Attacken zu betreiben [TrendMicro_DDoS]. In diesem Fall traf häufig eine Schwachstelle in der Software auf die fehlerhafte Konfiguration, sodass die Übernahme der Systeme möglich war. Insbesondere der letzte Aspekt – die Schwachstelle Mensch – verschwindet genauso wenig mit der Verlagerung von Diensten in die Cloud.

Ein weiterer Aspekt zu der These, dass Clouds und DDoS-Angriffe zusammengehören ist der, dass immer häufiger Cloud-Infrastrukturen wie die von Alibaba, Amazon, Google und Microsoft genutzt werden, um Quelle des Stör-Traffics zu sein. Hier können beispielsweise Cloud-Accounts gehackt werden, um mit dynamisch wachsender Anzahl von Servern Last zu verursachen und über verfügbare Regionen auf ein bestimmtes Ziel zu leiten. Auch ist es möglich, relevante Sicherheitseinstellungen bewusst umzukonfigurieren und so ein Kapern von außen zu ermöglichen. Die Übernahme eines Cloud-Accounts ist darüber hinaus auch nicht zwangsläufig notwendig. Über eigene Accounts der Angreifer lassen sich (automatisiert) Server hochfahren, die nur als Verstärker eines Angriffs dienen (sogenannte Amplification Attacks). Hier wird beispielsweise bei DNS der Umstand genutzt, dass das Volumen der Antwortpakete um ein Vielfaches höher ist als das Volumen der Anfrage.

Monitoring als Notwendigkeit

All diese Umstände verlangen nun, dass dem Schutz gegen DDoS eine konsequente Überwachung der eigenen (Cloud-)Infrastruktur zugrunde liegen muss. Denn:

Man braucht das Wissen, ob die Cloud-Provider ihre Dienste erbringen, um ggf. auf Alternativen umschwenken zu können. Im zuvor genannten Beispiel hätte der Schwenk zu einem alternativen DNS-Provider die Nicht-Verfügbarkeit der eigenen Dienste schnell beheben können. Vertraut man den Informationen der Cloud-Provider selbst, kann es manches Mal zu spät sein, da diese zwar ein originäres Interesse an bestmöglicher Verfügbarkeit haben (der eigene Ruf), aber ebenso eine Motivation, Vorfälle möglichst klein zu reden (Strafzahlungen wegen Bruch der vereinbarten Service Level Agreements – SLAs). Auch das Wissen darum, dass ein DDoS-Mitigation-Dienst erfolgreich den Verkehr umleitet und die Nutzung der dem Internet bereitgestellten Dienste nicht behindert, ist u.a. aus dem Blickwinkel der Leistungserbringung von Dienstleistern relevant.

Man braucht das Wissen, ob die selbst betriebenen Dienste funktionieren und erreichbar sind. Nur auf diese Weise kann man nachvollziehen, wo ggf. ein Fehler in der Leistungserbringung herrscht und ein DDoS-Angriff auf dem Weg zum Dienst die Nutzung unterbindet. Bei dieser Art von Überwachung, dem Application Monitoring, kann man wieder auf die Services der Cloud-Provider zurückgreifen. Diese ermöglichen es, zu jedem Zeitpunkt zu wissen, welche Prozesse eines Systems gerade mit welcher Auslastung laufen, von welchem Dienst diese ausgelöst wurden, wo im Workflow einer Applikation welche Systeme zum Einsatz kommen, ob ein Webserver auf http-Requests antwortet oder der Dummy-User sich erfolgreich anmelden kann. All das ist sehr hilfreich, um herausfinden zu können, ob die eigenen Systeme Teil eines DDoS-Botnets sind oder nicht. Allerdings liefert ein in die Cloud integriertes Application Monitoring keinen Einblick, inwiefern die Nutzung durch einen DDoS-Angriff überhaupt beeinträchtigt ist. Ein DDoS-Angriff, beispielsweise auf ein Unternehmen in den USA, könnte den Zugriff aus den USA auf Systeme in europäischen Cloud-Infrastrukturen erheblich beeinflussen, und aus Europa würde man keine Beeinträchtigung feststellen können. Das wird aber in dem Moment relevant, wenn wichtige Kunden des Dienstes in den USA sitzen.

Weiterhin braucht man zu jeder Zeit das Wissen, ob die Konfiguration der eigenen Systeme den (Sicherheits-)Vorgaben entsprechen. Zur Überwachung dessen gibt es reichlich Lösungen am Markt, die entweder regelmäßig Systeme auf ihre Konfiguration scannen oder sich beispielsweise über die APIs der Cloud-Provider benachrichtigen lassen, wenn ein bestimmtes System seine Konfiguration ändert. Wenn man nun aber den Angaben von Microsoft und Co. nicht genügend Vertrauen entgegenbringt und selbst mit externen Lösungen die Systeme scannen will, muss man die Verteiltheit von Cloud-Infrastrukturen mitbedenken. Hierzu später mehr.

Ein letzter Aspekt, den wir anreißen wollen, ist die Überwachung der Cloud-Nutzung. Klare Empfehlung zum Beispiel in den Bausteinen Cloud-Nutzung und Webanwendungen aus dem BSI-IT-Grundschutz-Kompendium ist es, dass Zugriffe immer authentisiert sein sollen. Wenn dies so umgesetzt wird, kann ein Monitoring dort ansetzen und feststellen, welcher Nutzer sich wann (erfolgreich oder auch nicht) an welchem Dienst angemeldet hat. So kann beispielsweise auch die missbräuchliche Nutzung des Cloud-Accounts auffallen oder die Aktionen des angemeldeten Nutzers auf Rechtmäßigkeit und „normales Verhalten“ analysiert werden.

Spätestens ab dem letzten Punkt sind wir nun in dem Bereich, wo wir das klassische Monitoring verlassen und den Boden der dauerhaften Anomalie-Erkennung zum Schutz gegen zielgerichtete Angriffe betreten – der Welt der SIEM-Systeme.

Einsatz eines Security Information and Event Management (SIEM)

In den vergangenen Jahren haben sich SIEM-Lösungen zunehmend als mächtige und hilfreiche Mittel zur automatisierten Erkennung von Angriffen etabliert. Im Laufe der Zeit haben sie sich kontinuierlich weiterentwickelt und sowohl ihre Analysetechniken als auch ihre Einsatzgebiete erweitert. Die Möglichkeiten eines SIEM gehen dabei weit über die eines gewöhnlichen Monitorings hinaus.

SIEM-Lösungen suchen nach Hinweisen auf Sicherheitsvorfälle (IoCs, Indicators of Compromise) und beziehen dazu Daten von verschiedenen, sicherheitsrelevanten Quellen innerhalb einer IT-Infrastruktur. Diese Daten werden gesammelt, normalisiert und mit einer Reihe von Methoden analysiert. Zudem können sie gespeichert und langfristig archiviert werden. Das SIEM bildet somit auch eine umfassende Quelle für digitale Beweismittel, die man im Rahmen forensischer Analysen sicherstellen kann [Insider-Artikel_ SecOps].

Eine große Stärke von SIEM-Lösungen bildet die Korrelation. Sie ermöglicht es, Zusammenhänge zwischen einzelnen Ereignissen herzustellen und Informationsverbünde ganzheitlich zu überwachen. Werden gesammelte Daten längerfristig gespeichert, kann die Korrelation auch auf zeitlicher Ebene ausgeweitet werden.

Im Zuge paralleler Entwicklungen im Cloud-Umfeld sind SIEM und Cloud auf verschiedene Weise miteinander verschmolzen. SIEM und Datenquellen werden nicht unbedingt am selben Ort betrieben, sondern können in unterschiedlichen Konstellationen in der Cloud oder On-Premises verteilt sein. Einige Cloud-Anbieter haben ihr Portfolio bereits um native SIEM-Cloud-Lösungen erweitert. Zu nennen sind hier unter anderem Azure Sentinel und Amazon GuardDuty.

Neben betrieblichen Aspekten haben sich auch die Anwendungsfälle von SIEM um das Cloud-Umfeld erweitert. In diesem Sinne kann ein Anwendungsfall für ein SIEM durchaus bedeuten, Daten aus der Cloud auf Sicherheitsvorfälle zu untersuchen.

Schwachstellenmanagement

Ein Beispiel für einen solchen Sicherheitsvorfall ist, wie wir ausgeführt haben, ein DDoS-Angriff. Ein SIEM kann eine Schlüsselposition beim Umgang mit einem solchen Sicherheitsvorfall einnehmen. Es bietet dabei sowohl Unterstützung bei der Erkennung des Angriffs als auch bei der Einleitung von Defensivmaßnahmen. Trotz seiner zentralen Rolle ist es jedoch nicht der einzige Faktor bei der Behandlung des Vorfalls. Maßgeblich für den Erfolg ist dabei auch die Zusammenarbeit mit der übrigen Sicherheitsinfrastruktur.

Am Anfang einer effektiven Abwehrstrategie steht allerdings ein funktionierendes Schwachstellenmanagement. Dessen Basis bildet das Wissen über vorhandene Assets in der eigenen Cloud. Hierdurch wird festgelegt, welche Ressourcen es überhaupt zu überwachen und zu schützen gilt.

Davon ausgehend muss betrachtet werden, welche Schwachstellen diese Assets aufweisen. Diese Betrachtung sollte sowohl solche in der Software als auch in der Konfiguration abdecken und zudem keine einmalige Untersuchung sein, sondern ein kontinuierlicher Prozess. Zu diesem Zweck kann ein Schwachstellenscanner eingesetzt werden, der die Assets in regelmäßigen Abständen und mit angemessener Scan-Tiefe auf aktuelle Sicherheitslücken untersucht.

Als grundlegendes Element der Abwehrstrategie ist bereits das Schwachstellenmanagement in die Analysen des SIEM einzubinden, welches so die gewonnenen Erkenntnisse zu den Schwachstellen der Infrastruktur erhält, sie protokollieren und in seine Korrelation einbeziehen kann.

Das SIEM muss hierzu Kenntnisse über die Systeme bekommen. Wichtige Aspekte sind z.B. Art und Version des Betriebssystems und der installierten Anwendungen. Durch die fortlaufende Einbeziehung von Sicherheitsintelligenzen (sicherheitsrelevante Informationen von entsprechenden Dienstleistern) in die Überwachung kann das SIEM prüfen, ob Assets von aktuellen Sicherheitslücken betroffen sind. Ist dies der Fall, fließen diese Informationen in die Risikobewertung und Korrelation des SIEM mit ein.

Werden bereits im Rahmen des Schwachstellenmanagements konkrete Gefährdungen entdeckt, sollten zeitnah Präventivmaßnahmen umgesetzt werden, um Sicherheitsvorfällen vorbeugen zu können. An erster Stelle steht hier das effektive, jedoch oftmals vernachlässigte Patchen von Software.

Symptomatik eines Angriffs

Das Schwachstellenmanagement bietet die Grundlage für Risikoanalysen und präventive Sicherheitsmaßnahmen. Eine effektive Gefahrenabwehr geht jedoch darüber hinaus und muss in der Lage sein, Angriffe frühzeitig zu erkennen. Dazu muss betrachtet werden, welche Symptome bei einem Angriff auftreten. Auf dieser Basis wird entschieden, welche Parameter für die Überwachung von Bedeutung sind.
Einerseits sind hier handfeste IoCs zu nennen, die eine hohe Aussagekraft besitzen und auf einen konkreten Vorfall hindeuten. Die Feststellung solcher Symptome muss sofort zu einem Alarm seitens des SIEM führen und mit einem hohen Gewicht in die Risikoanalyse einfließen. Andererseits können auch unspezifische Symptome auftreten, aus denen zwar kein konkreter Vorfall, aber zumindest eine Anomalie erkennbar ist. Je nach Ausprägung sollte das SIEM hierbei eine Warnung ausgeben und die gesammelten Informationen im Rahmen der Risikoanalyse weiter berücksichtigen. Im Folgenden sind einige Beispiele für Symptome aufgelistet, die darauf hindeuten können, dass ein Server in der Cloud das Ziel eines Angriffs ist.

Anmeldeversuche

Fehlgeschlagene Anmeldeversuche können Hinweise darauf sein, dass ein unautorisierter Benutzer versucht, sich Zugang zu einem System zu verschaffen. Treten sie gehäuft und in kurzen zeitlichen Abständen auf (bspw. mehrmals pro Sekunde), sind sie ein sicheres Zeichen für einen Angriff. Anmeldevorgänge können ebenfalls in Zusammenhang mit Ort und Zeit gebracht werden. Finden sie von Quell-IP-Adressen aus anderen Ländern oder außerhalb der üblichen Geschäftszeiten statt, ist dies zumindest verdächtig.

Versuch einer SQL-Injection

Wird die Kommunikation einer Server-Anwendung von einer Web Application Firewall (WAF) überwacht, kann diese zur Erkennung von Versuchen einer SQL-Injection konfiguriert werden. Wenn z.B. in einem Anmeldeformular Zeichen eingegeben werden, die nicht als Teil eines Nutzernamens erlaubt sind (etwa Hochkommata, Gleichheitszeichen oder Klammern), kann dies von der Applikation gemeldet und von der WAF im Rahmen von Virtual Patching blockiert werden.

Anormales Nutzerverhalten

Proxys wie Secure Web Gateways (SWG) und WAFs analysieren Anwenderverhalten und sind in der Lage, anormales Nutzerverhalten zu erkennen. Kommuniziert ein Benutzer auf nicht vorgesehene Art mit einer Anwendung, kann dies auf missbräuchliche Verwendung hindeuten.

Rule Matches bei Firewalls

Verbindungen, die gegen das Regelwerk einer Firewall verstoßen, werden von dieser blockiert. Bei Mikrosegmentierung des Netzwerks und Einsatz von Detailregeln kann so die Kommunikation innerhalb der Netzwerk-Infrastruktur feingranular kontrolliert werden. Blockierte Verbindungen können Hinweise auf Sicherheitsvorfälle liefern.

Hinweise auf Malware-Infektion

Die Infektion eines Systems mit Malware kann sich in unterschiedlichen Symptomen äußern. Diese betreffen einerseits die Kommunikation des Systems. Zur Analyse kann ein IDS (Intrusion Detection System) eingesetzt werden, welches z.B. feststellen kann, dass ein System mit einem Command-and-Control-(C2-)Server kommuniziert. Andererseits treten auch Symptome im Zusammenhang mit dem Arbeitsspeicher und Dateisystem auf. Diese können von einem Virenscanner überwacht werden, der auf Basis von Signaturen und Verhaltensanalyse nach Malware sucht.

Änderung der Konfiguration

Bestimmte Änderungen an der Konfiguration von Servern können Hinweise auf Eindringlinge oder Malware geben. Diese Hinweise werden lokal, bspw. im Windows Event Log, protokolliert. Verdächtige Konfigurationsänderungen umfassen z.B. das Löschen von Regeln der Host-basierten Firewall oder die Deaktivierung des lokalen Virenscanners.

Auffällige Daten aus Systemmetrik

Ungewöhnliche Leistungsdaten eines Servers können ein Hinweis auf die Präsenz eines Angreifers sein. Auffällig sind vor allem eine hohe Prozessor- und Speicherauslastung, die nicht anhand gewöhnlicher Vorgänge plausibilisiert werden können.

Alle beschriebenen Symptome werden üblicherweise in Log-Dateien protokolliert. Beispielsweise sind Firewalls in der Lage, blockierte Verbindungen zu protokollieren. All diese Log-Dateien können dem SIEM zur Verfügung gestellt werden, welches dadurch einen umfassenden Blick über sicherheitsrelevante Ereignisse innerhalb der gesamten Infrastruktur erhält. Durch diese zentrale Position bei der Überwachung kann das SIEM eine Korrelation zwischen einzelnen Ereignissen herstellen. Somit können Angriffsmuster erkannt werden, indem Symptome an verschiedenen Stellen des Netzwerks miteinander korreliert werden.

Abwehrmaßnahmen bei Vorfällen und Anomalien

Das SIEM nimmt nicht nur eine zentrale Position bei der Erkennung von Angriffen ein, sondern auch bei der Umsetzung von Abwehrmaßnahmen. Dabei kann es auf unterschiedliche Weise zur Gefahrenabwehr beitragen.

In jedem Fall nimmt das SIEM eine passive Rolle ein. Hierbei steht die Alarmierung im Fall eines Incident im Vordergrund. Die Nutzer des SIEM, typischerweise die Security Analysts eines Security Operation Centers (SOC), bearbeiten die Meldungen des SIEM. Dabei wird zunächst geprüft, ob es sich um einen False Positive handelt. Ist dies nicht der Fall, beginnen die zuständigen Security Analysts mit der Verteidigung der Assets oder leiten diese Aufgabe an ein Incident Response Team weiter.

Zusätzlich zur Alarmierung können sich einige SIEM-Lösungen auch aktiv an den Abwehrmaßnahmen beteiligen, indem sie sie automatisch veranlassen und koordinieren. Dazu kommunizieren sie über dedizierte APIs (Application Programming Interfaces) mit angeschlossenen Sicherheitslösungen. Rule Matches und Alarme des SIEM können so an Befehle gekoppelt werden, die über diese Schnittstellen automatisch auf den Sicherheitssystemen abgesetzt werden.

Das automatische Einleiten von Sicherheitsmaßnahmen verkürzt die Reaktionszeit bei Incidents und wirkt sich damit positiv auf die Schadensbegrenzung aus. Allerdings sind solche Prozesse auch mit Risiken verbunden. So können auch dann Aktionen ausgelöst werden, wenn es sich bei einem Alarm um einen False Positive handelt. Die resultierenden Defensivmaßnahmen können den Betrieb innerhalb der Cloud massiv stören und die Verfügbarkeit der Systeme stark einschränken. Es sollte daher für jeden Einzelfall abgewogen werden, wie hoch das Risiko von unnötigen Betriebsstörungen ist und ob es durch die effektivere Schadensbegrenzung gerechtfertigt wird. Ein Mittelweg kann bei dieser Abwägung auch die Kopplung von aktiven Abwehrmaßnahmen des SIEM an eine manuelle Freigabe sein. Das Absetzen von Befehlen muss dabei durch einen autorisierten Benutzer bestätigt werden.

Ein klassisches Beispiel für aktive Maßnahmen eines SIEM ist z.B. die Änderung der Konfiguration einer Firewall. Wird ein Sicherheitsvorfall oder eine Anomalie beobachtet, ist das SIEM in der Lage, die Aktivierung von Regeln zu veranlassen, durch die das betreffende System von anderen Teilen des Netzwerks isoliert wird.

Im Falle einer DDoS-Attacke kann das SIEM als aktive Maßnahme die Umleitung des Verkehrs zu einem Scrubbing-Center einleiten. Ist es die eigene Cloud-Infrastruktur, die Teil des Angriffs ist, so ist es möglichdirekt vor kompromittierten Systemen eine Firewall-Regel zu erstellen, die das Verschicken von Traffic zum Angriffsziel unterbindet. Abbildung 2 skizziert die verschiedenen Phasen vom Beginn einer DDoS-Attacke bis zum Ergreifen von Gegenmaßnahmen durch das SIEM.

Vernetzung von SIEM und Cloud

Damit das SIEM Cloud-Komponenten überwachen kann, müssen entsprechende Kommunikationswege geschaffen werden. Hierbei gibt es verschiedene Möglichkeiten, Informationen aus der Cloud an das SIEM zu leiten.

Eine dieser Möglichkeiten besteht darin, SIEM-eigene Kollektoren in der Cloud zu betreiben. Diese sammeln Informationen von Cloud-Komponenten und leiten sie an das SIEM weiter. Ob ein einzelner oder mehrere Kollektoren eingesetzt werden, hängt dabei von der Architektur des SIEM und der Beschaffenheit der Cloud-Umgebung ab. Dies betrifft ebenso den Umfang eventueller Vorverarbeitung der Daten, etwa in Form von Filterung, Normalisierung und Kompression. In jedem Fall müssen die Daten jedoch gebündelt und verschlüsselt werden, bevor sie an das SIEM geschickt werden. Die Untersuchung der Daten auf IoCs findet bei dieser Möglichkeit erst bei Auswertung der Daten durch das SIEM statt.

Bei der zweiten Möglichkeit wird innerhalb der Cloud eine eigene Sicherheitsinfrastruktur betrieben. Das bedeutet, dass man die bekannten und bewährten Mittel der Sicherheitskomponenten (Firewalls, Proxies, …) in der Cloud-Infrastruktur aufbaut. Die Erkenntnisse dieser Sicherheitskomponenten werden anschließend dem SIEM gemeldet. Diese Methode bietet den Vorteil, dass dem SIEM Sensoren zur Verfügung gestellt werden können, deren Fähigkeiten die Analysemethoden des SIEM deutlich verfeinern können. Beispielsweise kann innerhalb der Cloud ein IDS (Intrusion Detection System) bzw. NIDS (Network Intrusion Detection System) betrieben werden, für das dann ein maßgeschneidertes Regelwerk entwickelt werden kann, mit dem Daten zielgerichteter nach Treffern durchsucht werden, als es mit dem SIEM-Regelwerk alleine möglich wäre.

Denkbar ist auch eine Mischung dieser beiden Möglichkeiten. Dabei werden sicherheitsrelevante Daten sowohl durch die Sicherheitsinfrastruktur in der Cloud als auch durch das SIEM selbst geprüft. Dieses korreliert dann seine eigenen Erkenntnisse mit den Auswertungen der angeschlossenen Sicherheitslösungen. Den vielfältigen Analysemöglichkeiten stehen hier jedoch ein größerer Konfigurationsaufwand und höhere Datenmengen gegenüber, die einen Anstieg der Lizenzkosten für das SIEM mit sich bringen können.

Konfiguration des SIEM

Wie effektiv ein SIEM im Zusammenspiel mit anderen Sicherheitslösungen die Server in einer Cloud schützen kann, hängt vor allem von der Konfiguration ab. Die hohe Kunst ist es, dabei die individuellen Anforderungen und Eigenarten aller Systeme so genau wie möglich mit der Konfiguration abzudecken. Gleichzeitig müssen jedoch auch möglichst viele Eventualitäten mit generischer Logik abgebildet werden. Hierbei kommt es vor allem auf ein adäquates Regelwerk, passende Schwellwerte bzw. deren automatische Justierung, ausgereifte Modelle für Maschinelles Lernen und verlässliche Threat Intelligence an.

Im Folgenden werden einige Aspekte zur Konfiguration des SIEM für das behandelte Angriffsszenario beschrieben:

Analyse von Log-Daten

Das klassische Einsatzgebiet eines SIEM ist die Auswertung von Log-Daten. Einschlägige Daten-Quellen sind dabei vor allem die Log-Daten von Sicherheitselementen wie Firewalls, exponierte Server und Server mit hohem Schutzbedarf sowie Gateways und Server für administrative Zugänge. Bei einem Angriff können mit hoher Wahrscheinlichkeit an all diesen Systemen Symptome beobachtet werden. Für das Regelwerk des SIEM sollten Alarme für folgende Ereignisse konfiguriert werden:

  • Hohe Anzahl fehlgeschlagener Anmeldeversuche
  • Verwendung von nicht erlaubten Ports und Protokollen, z.B. Port 23 / Telnet
  • Treffer für Signaturen bei Host-basierten Virenscannern
  • Veraltete Softwareversionen
  • Befunde von Schwachstellenscannern

Analyse von Paketen

Die Kontrolle von Paketströmen ist im Allgemeinen eine sinnvolle Ergänzung zur Auswertung von Log-Daten. Einige SIEM-Lösungen bieten hierzu eigene, dedizierte Komponenten an. Alternativ oder zusätzlich können externe IDS-Lösungen angebunden werden. Alarme sollten für folgende Fälle konfiguriert werden:

  • Hohe Netzlast
  • Treffer für Signaturen bei IDS-Regelwerken
  • Kommunikation mit nicht erlaubten IP-Adressen

Bestimmte Regeln des SIEM- bzw. IDS-Regelwerks sind an die Messung bestimmter Werte gekoppelt. Damit entschieden werden kann, wann die Anzahl fehlgeschlagener Anmeldeversuche bzw. der Datendurchsatz zu hoch sind, müssen geeignete Schwellwerte festgelegt werden. Ein Überschreiten des jeweiligen Schwellwerts führt dann zu einem Alarm. Während bei Anmeldeversuchen allgemeine Annahmen getroffen werden können (z.B. sind mehrere Versuche pro Sekunde stets ein bedenkliches Ereignis), ist dies im Fall der Netzlast schwieriger. Hierbei kommt es darauf an, auf Basis individueller Gegebenheiten sinnvolle Schwellwerte zu definieren und im Verlauf anzupassen. Dies kann durch kontinuierliche Reviews oder auch automatisch durch das SIEM geschehen.

Ein hilfreiches Mittel zur Bestimmung des individuellen Normalzustands ist Maschinelles Lernen (ML). Durch den Einsatz von ML erlernt das SIEM selbständig, welche Parameter-Konstellationen im Normalbetrieb gegeben sind, indem es über mehrere Iterationen ein Modell aufbaut. Mit jeder weiteren Iteration wird dieses Modell genauer und ermöglicht verlässlichere Aussagen bei der automatischen Erkennung von Anomalien. Im Fall der Netzlast könnten Berechnungen mit dem Modell Auskunft darüber geben, ob in bestimmten Bereichen des Netzwerks ungewöhnlich viele Daten übertragen werden oder anderweitig verdächtige Kommunikation stattfindet.

Teil der SIEM-Konfiguration ist ebenfalls die Auswertung von Threat Intelligence. Allgemein ist es empfehlenswert, stets mehrere Quellen zu abonnieren und Meldungen zu deduplizieren. Es existieren auch Feeds, die selbst bereits ein Destillat anderer Feeds sind. Interessant ist vor allem Threat Intelligence, die solide IoCs zu DDoS-Attacken und Malware-Infektionen liefert. Im Verlauf sollte individuell betrachtet werden, welche Threat Intelligence Feeds wichtige Informationen geliefert haben. Feeds, die sich längerfristig als eher uninteressant erwiesen haben, sollten eventuell wieder abbestellt werden.

Aufarbeitung von Sicherheitsvorfällen

Nicht immer können Angriffe auf die eigene Infrastruktur erkannt, geschweige denn verhindert werden. Angriffe bleiben besonders dann unerkannt, wenn für neuartige Angriffsmuster noch keine aussagekräftige IoCs bekannt sind. Im Zuge der Verbesserung der eigenen Verteidigung gilt es auch, aus Fehlern möglichst viel zu lernen.

Es lohnt sich daher, einschlägige Log-Daten längerfristig zu archivieren. Dies ist nicht nur für forensische Untersuchungen interessant, sondern auch für erneute Analysen im Rahmen von historischer Korrelation. Dabei werden neue Erkenntnisse genutzt, um zu ermitteln, ob man in der Vergangenheit Opfer eines Angriffs gewesen ist, der seinerzeit nicht bemerkt wurde.

Wird bspw. bekannt, dass eine Institution das Ziel eines DDoS-Angriffs gewesen ist, sollte kontrolliert werden, ob zum Zeitpunkt dieses Angriffs von den eigenen Systemen viele Daten an die IP-Adressen dieser Institution übertragen worden sind. Im besten Fall kann im Nachgang ermittelt werden, wie man den Vorfall hätte erkennen und verhindern können. Auf Basis dieser Erkenntnisse ist es dann möglich, die aktuelle Verteidigung zu verbessern.

Fazit

DDoS-Attacken können jeden treffen. Damit man selbst nicht Opfer einer solchen Attacke wird, gilt es, eine effektive Verteidigung aufzubauen. Dabei sollte man ebenfalls Szenarien abdecken, in denen die Server in der eigenen Cloud von Angreifern verwendet werden, um das eigentliche Ziel zu attackieren.

Im Zusammenspiel mit anderen Sicherheitslösungen kann ein SIEM eine zentrale Rolle bei der Verteidigung einnehmen. Dabei hilft es, Sicherheitsvorfälle zu erkennen und Abwehrmaßnahmen zu koordinieren. Darüber hinaus kann das SIEM zur Archivierung von einschlägigen Log-Daten genutzt werden und Unterstützung bei der Aufarbeitung vergangener Vorfälle leisten.

Abwehrmaßnahmen sind jedoch nur dann wirkungsvoll, wenn alle Sicherheitskomponenten im Verbund arbeiten. Die Konfiguration des SIEM und die Anpassung auf die individuellen Gegebenheiten der eigenen Infrastruktur sind dabei von entscheidender Bedeutung.

Quellen

[TrendMicro_DDoS] – https://blog.trendmicro.com/trendlabs-security-intelligence/multistage-attack-delivers-billgates-setag-backdoor-can-turn-elasticsearch-databases-into-ddos-botnet-zombies/

[BSI_Lagebericht2019] – https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2019.pdf

[Insider-Artikel_ SecOps] – „SecOps: Operative Informationssicherheit“ in Der Netzwerk Insider vom Juni 2019

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.

Jetzt registrieren
© Copyright - ComConsult