Defense in Depth

Abwehr von Advanced Persistent Threats

| Autor / Redakteur: Frank von Stetten / Stephan Augsten

Zielgerichtete Angriffe treffen oftmals ins Schwarze, weil traditionelle Sicherheitsmechanismen nicht mehr ausreichen.
Zielgerichtete Angriffe treffen oftmals ins Schwarze, weil traditionelle Sicherheitsmechanismen nicht mehr ausreichen. (Bild: Archiv)

Bei Advanced Persistent Threats, kurz APTs, greifen professionell organisierte Cyber-Kriminelle zielgerichtet Netzwerke an. Für eine effektive Abwehr von APTs ist der richtige Mix aus präventiven und reaktiven Tools entscheidend. Einige davon werden hier beschrieben.

Professionelle Hacker-Gruppen, hinter denen häufig sogar Staaten stehen, bewegen sich geschickt unter dem Radar, wenn sie Netze infiltrieren. Und das oft über Monate hinweg. Unternehmen müssen heute davon ausgehen, dass die Angreifer erfolgreich einen Weg ins Unternehmensnetz finden. Präventive Technologien wie alleine reichen deshalb nicht mehr aus.

Der Klassiker: Antivirus-Systeme

Antiviren-Lösungen gibt es bereits seit Ende der 1980er Jahre. Zu den wichtigsten Erkennungsverfahren zählt die Signatur-basierte Analyse. Dabei erstellt der Virenscanner beispielsweise auf Basis von Hashwerten einer Malware-Datei eine Signatur. Gescannte Dateien werden mit dieser Signatur verglichen.

Diese traditionellen Virenscanner wurden nach und nach um zusätzliche Funktionen ergänzt. Heuristische Analysen beispielsweise identifizieren Malware auf Grund ihrer Funktionen – wenn sie zum Beispiel Code entpacken oder sich per E-Mail versenden können. Mittels Sandboxing wiederum lässt sich das tatsächliche Verhalten analysieren.

Antivirus-Systeme sind nach wie vor ein essenzieller Bestandteil der präventiven Security-Strategie. Bei vielen APT-Angriffstools schlagen sie jedoch nicht Alarm, weil diese Tools auch von Administratoren genutzt werden. Dazu zählen unter anderem potenziell unerwünschte Anwendungen (Potentially Unwanted Applications, PUA).

Runderneuert: die Firewall

Klassische Firewalls erlauben auf Basis von Regelwerken den Netzwerkverkehr von innen nach außen und filtern Anfragen von außen. Mit dieser rudimentären Basisfunktionalität kann heute kein ausreichender Schutz gewährleistet werden. Deshalb integrieren moderne Next Generation Firewalls (NGFs) zahlreiche zusätzliche Techniken.

Zur NGW gehören zum Beispiel alarmauslösende Intrusion-Detection-Systeme (IDS) für die Netzwerk-Traffic-Analyse. Mithilfe von Intrusion-Prevention-Funktionen wird außerdem Netzwerkverkehr mit abweichenden Verhaltensmustern blockiert.

Zu den Features der Next Generation Firewalls zählen zudem Proxy-Funktionalitäten, die festlegen, welcher Benutzer mit welchem Gerät von welchem Ort auf welche Anwendung zugreifen darf. Außerdem bieten sie meist auch Anti-Virus-Funktionen und berücksichtigen Quality-of-Service bezüglich der Prioritäten bei der Daten-Verarbeitung.

Firewalls sind also weiterhin ein elementarer Perimeter-Schutz für die APT-Abwehr und -Prävention. Unternehmen sollten jedoch dringend „Next Generation“-Modelle einsetzen und deren Funktionen auch sauber konfigurieren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43236285 / Netzwerk-Security-Devices)