Defense in Depth

Abwehr von Advanced Persistent Threats

Seite: 2/2

Prävention ist gut, Erkennung ein Muss

Die geschilderten präventiven Mechanismen können die Widerstandsfähigkeit gegen Cyber-Bedrohungen deutlich erhöhen. Gänzlich verhindern lässt sich eine Attacke auf Grund der Vielzahl möglicher Angriffsvektoren aber nicht. Getreu dem Motto „Assume Compromise“ müssen deshalb große Konzerne aber auch Mittelständler davon ausgehen, dass ihr Netzwerk bereits kompromittiert wurde.

Entsprechende Angriffe gilt es so schnell wie möglich zu entdecken, um den finanziellen Schaden einzugrenzen. Diese Aufgabe erfüllen sogenannte APT-Scanner. Sie kombinieren Elemente der Malware-Suche mit der Auswertung von Logfiles und der Suche nach potenziellen Schwachstellen aus Vulnerability-Scans.

Das funktioniert folgendermaßen: Ein Webshell-Administratoren-Tool auf einem Server ist zwar per se nicht verdächtig. Ein fehlender Patch in einem System bedeutet auch noch nicht, dass die Schwachstelle ausgenutzt wurde. Aber eine Vielzahl erfolgloser Anmeldeversuche mitten in der Nacht in Kombination mit einer Webshell auf einem ungepachten System sind zusammen genommen sehr starke Indizien für einen gezielten Angriff.

Solche forensischen Korrelationen kann ein APT-Scanner leisten und auf diese Weise Indicators of Compromise (IoC) aufspüren, die auf eine APT-Attacke hinweisen. Im Rahmen einer „Deep Dive“-Analyse werden auch Spuren bereits gelöschter Hacking Tools entdeckt.

Ohne Prozesse und Menschen kein wirksamer Schutz

Das Defense-in-Depth Modell entstand im militärischen Umfeld und wird mittlerweile von der IT-Security adaptiert: Es werden mehrere Verteidigungslinien implementiert, die sich gegenseitig unterstützen. Fällt eine Verteidigungslinie, ist der Angreifer trotzdem noch nicht durchgebrochen und kann von anderen Linien noch erfolgreich aufgehalten werden.

Die beschriebenen Technologien sind Bestandteile eines solchen Defense-in-Depth-Ansatzes. Sie steigern die Sicherheit für Unternehmen aber nur dann, wenn Sie entsprechend konfiguriert und angewendet werden. Eine deaktivierte Alarmanlage bringt keinen Schutz. Ebenso wenig verhindern IT-Maßnahmen erfolgreiche Angriffe, wenn die Administratoren Standardpasswörter nicht ändern.

Dasselbe gilt, wenn beispielsweise Entwickler ihre Applikationen nicht ausreichend härten oder IT-Anwender unbekannte USB-Sticks an ihren PC stecken. Die Sensibilisierung aller Beteiligten zum Thema IT-Sicherheit ist ebenso wichtig wie regelmäßige Notfallübungen. Sonst ist der Schaden durch den Feuerwehreinsatz höher, als der Brand ihn hätte verursachen können.

Mit einer sinnvollen Kombination von präventiven und reaktiven Maßnahmen, ausgereiften und getesteten Prozessen und sensibilisierten Menschen können Unternehmen den wirtschaftlichen Schaden durch APT-Attacken begrenzen. Die Widerstandfähigkeit gegen professionelle Angreifer wächst und Angriffe werden früher erkannt; so ist eine effiziente Reaktion im Rahmen eines professionellen Incident Managements möglich.

* Frank von Stetten ist Vorstand von HvS-Consulting.

(ID:43236285)