Log4j
Vectra AI über Log4j: Prävention und Patches sind nicht ausreichend
Wer sich auf Prävention verlässt, der ist verlassen
„Die Unvorhersehbarkeit und Durchschlagskraft von Sicherheitslücken wie Log4j ist ein weiterer drastischer Beleg, dass Prävention und Patches nicht ausreichen. Security-Teams benötigen Detection and Response – also die Möglichkeit zur automatisierten Erkennung von Angriffen und die Fähigkeiten zur schnellen Reaktion“, erklärt Andreas Riepen, Head of Central & Eastern Europe (CEE) beim IT-Sicherheitsanbieter Vectra AI .
Es ist unmöglich, alles mit Dringlichkeit zu patchen
Die Angriffsfläche ist sehr groß. Das betroffene Modul von Log4j wird von einer Vielzahl von Software und Produkten verwendet. Es ist schon schwierig, herauszufinden, wo es verwendet wird! Ganz zu schweigen von dem Versuch, es zu patchen. Außerdem sind Unternehmen von den Herstellern abhängig, die ihnen Patches für ihre Produkte zur Verfügung stellen. Bei einigen werden sie sehr lange warten müssen und wahrscheinlich nie 100 Prozent erreichen.
EDR (Endpoint Detection & Response) kann weder den ersten Exploit stoppen, noch kann es eine vollständige Abdeckung bieten
Alle EDR-Anbieter sprechen davon, nach dem Download oder dem Verhalten nach der Ausnutzung zu suchen. Außerdem betrifft dies eine Vielzahl von Tools und Produkten, auf denen kein EDR installiert werden kann – Router, Switches, Sicherheitsprodukte, Linux-Server etc.
SIEM ist nicht geeignet, um danach zu suchen
Es ist nicht garantiert, dass jede Anwendung die Felder protokolliert, in denen der Exploit-String zu sehen ist. Außerdem gelangen nicht alle Protokolle von jeder Anwendung in das SIEM. Man kann nicht suchen, was man nicht sehen kann.
Schnelle Entwicklung
Der Angriff entwickelt sich schnell weiter. Angreifer werden dies auf vielerlei Weise nutzen. Es gibt bereits Versuche der Verschleierung, die an grundlegenden Signaturen vorbeigehen, um nach dem Exploit-String zu suchen.
Riepen rät Unternehmen daher: „Gehen Sie davon aus, dass Systeme kompromittiert sind, und seien Sie darauf vorbereitet, den Angriff in Echtzeit zu erkennen und darauf zu reagieren. Schließen Sie die EDR-Lücke und überwachen Sie zuverlässig jede Verbindung vom Netzwerk zur Cloud. Recall- und Stream-Daten können dabei helfen, jeden Versuch, dies auszunutzen, schnell zu erkennen. Moderne KI-Modelle für Cybersicherheit sind so konzipiert, dass sie die Methoden erkennen, die Angreifer nach einer Kompromittierung anwenden würden. Darüber hinaus kann ein KI-basierter Überwachungsansatz die Bedrohung durch die Ausnutzung dieser Schwachstelle am schnellsten erkennen und entschärfen. Aus den oben genannten Gründen ist dies weder mit Prävention noch mit Patching zu leisten. Für Unternehmen, die sich absichern und das Risiko mindern wollen, ist eine automatisierte und kontinuierliche Überwachung des Datenflusses die beste Investition, die sie tätigen können.“