Defense in Depth Abwehr von Advanced Persistent Threats

Autor / Redakteur: Frank von Stetten / Stephan Augsten

Bei Advanced Persistent Threats, kurz APTs, greifen professionell organisierte Cyber-Kriminelle zielgerichtet Netzwerke an. Für eine effektive Abwehr von APTs ist der richtige Mix aus präventiven und reaktiven Tools entscheidend. Einige davon werden hier beschrieben.

Zielgerichtete Angriffe treffen oftmals ins Schwarze, weil traditionelle Sicherheitsmechanismen nicht mehr ausreichen.
Zielgerichtete Angriffe treffen oftmals ins Schwarze, weil traditionelle Sicherheitsmechanismen nicht mehr ausreichen.
(Bild: Archiv)

Professionelle Hacker-Gruppen, hinter denen häufig sogar Staaten stehen, bewegen sich geschickt unter dem Radar, wenn sie Netze infiltrieren. Und das oft über Monate hinweg. Unternehmen müssen heute davon ausgehen, dass die Angreifer erfolgreich einen Weg ins Unternehmensnetz finden. Präventive Technologien wie alleine reichen deshalb nicht mehr aus.

Der Klassiker: Antivirus-Systeme

Antiviren-Lösungen gibt es bereits seit Ende der 1980er Jahre. Zu den wichtigsten Erkennungsverfahren zählt die Signatur-basierte Analyse. Dabei erstellt der Virenscanner beispielsweise auf Basis von Hashwerten einer Malware-Datei eine Signatur. Gescannte Dateien werden mit dieser Signatur verglichen.

Diese traditionellen Virenscanner wurden nach und nach um zusätzliche Funktionen ergänzt. Heuristische Analysen beispielsweise identifizieren Malware auf Grund ihrer Funktionen – wenn sie zum Beispiel Code entpacken oder sich per E-Mail versenden können. Mittels Sandboxing wiederum lässt sich das tatsächliche Verhalten analysieren.

Antivirus-Systeme sind nach wie vor ein essenzieller Bestandteil der präventiven Security-Strategie. Bei vielen APT-Angriffstools schlagen sie jedoch nicht Alarm, weil diese Tools auch von Administratoren genutzt werden. Dazu zählen unter anderem potenziell unerwünschte Anwendungen (Potentially Unwanted Applications, PUA).

Runderneuert: die Firewall

Klassische Firewalls erlauben auf Basis von Regelwerken den Netzwerkverkehr von innen nach außen und filtern Anfragen von außen. Mit dieser rudimentären Basisfunktionalität kann heute kein ausreichender Schutz gewährleistet werden. Deshalb integrieren moderne Next Generation Firewalls (NGFs) zahlreiche zusätzliche Techniken.

Zur NGW gehören zum Beispiel alarmauslösende Intrusion-Detection-Systeme (IDS) für die Netzwerk-Traffic-Analyse. Mithilfe von Intrusion-Prevention-Funktionen wird außerdem Netzwerkverkehr mit abweichenden Verhaltensmustern blockiert.

Zu den Features der Next Generation Firewalls zählen zudem Proxy-Funktionalitäten, die festlegen, welcher Benutzer mit welchem Gerät von welchem Ort auf welche Anwendung zugreifen darf. Außerdem bieten sie meist auch Anti-Virus-Funktionen und berücksichtigen Quality-of-Service bezüglich der Prioritäten bei der Daten-Verarbeitung.

Firewalls sind also weiterhin ein elementarer Perimeter-Schutz für die APT-Abwehr und -Prävention. Unternehmen sollten jedoch dringend „Next Generation“-Modelle einsetzen und deren Funktionen auch sauber konfigurieren.

Prävention ist gut, Erkennung ein Muss

Die geschilderten präventiven Mechanismen können die Widerstandsfähigkeit gegen Cyber-Bedrohungen deutlich erhöhen. Gänzlich verhindern lässt sich eine Attacke auf Grund der Vielzahl möglicher Angriffsvektoren aber nicht. Getreu dem Motto „Assume Compromise“ müssen deshalb große Konzerne aber auch Mittelständler davon ausgehen, dass ihr Netzwerk bereits kompromittiert wurde.

Entsprechende Angriffe gilt es so schnell wie möglich zu entdecken, um den finanziellen Schaden einzugrenzen. Diese Aufgabe erfüllen sogenannte APT-Scanner. Sie kombinieren Elemente der Malware-Suche mit der Auswertung von Logfiles und der Suche nach potenziellen Schwachstellen aus Vulnerability-Scans.

Das funktioniert folgendermaßen: Ein Webshell-Administratoren-Tool auf einem Server ist zwar per se nicht verdächtig. Ein fehlender Patch in einem System bedeutet auch noch nicht, dass die Schwachstelle ausgenutzt wurde. Aber eine Vielzahl erfolgloser Anmeldeversuche mitten in der Nacht in Kombination mit einer Webshell auf einem ungepachten System sind zusammen genommen sehr starke Indizien für einen gezielten Angriff.

Solche forensischen Korrelationen kann ein APT-Scanner leisten und auf diese Weise Indicators of Compromise (IoC) aufspüren, die auf eine APT-Attacke hinweisen. Im Rahmen einer „Deep Dive“-Analyse werden auch Spuren bereits gelöschter Hacking Tools entdeckt.

Ohne Prozesse und Menschen kein wirksamer Schutz

Das Defense-in-Depth Modell entstand im militärischen Umfeld und wird mittlerweile von der IT-Security adaptiert: Es werden mehrere Verteidigungslinien implementiert, die sich gegenseitig unterstützen. Fällt eine Verteidigungslinie, ist der Angreifer trotzdem noch nicht durchgebrochen und kann von anderen Linien noch erfolgreich aufgehalten werden.

Die beschriebenen Technologien sind Bestandteile eines solchen Defense-in-Depth-Ansatzes. Sie steigern die Sicherheit für Unternehmen aber nur dann, wenn Sie entsprechend konfiguriert und angewendet werden. Eine deaktivierte Alarmanlage bringt keinen Schutz. Ebenso wenig verhindern IT-Maßnahmen erfolgreiche Angriffe, wenn die Administratoren Standardpasswörter nicht ändern.

Dasselbe gilt, wenn beispielsweise Entwickler ihre Applikationen nicht ausreichend härten oder IT-Anwender unbekannte USB-Sticks an ihren PC stecken. Die Sensibilisierung aller Beteiligten zum Thema IT-Sicherheit ist ebenso wichtig wie regelmäßige Notfallübungen. Sonst ist der Schaden durch den Feuerwehreinsatz höher, als der Brand ihn hätte verursachen können.

Mit einer sinnvollen Kombination von präventiven und reaktiven Maßnahmen, ausgereiften und getesteten Prozessen und sensibilisierten Menschen können Unternehmen den wirtschaftlichen Schaden durch APT-Attacken begrenzen. Die Widerstandfähigkeit gegen professionelle Angreifer wächst und Angriffe werden früher erkannt; so ist eine effiziente Reaktion im Rahmen eines professionellen Incident Managements möglich.

* Frank von Stetten ist Vorstand von HvS-Consulting.

(ID:43236285)