Defense in Depth

Abwehr von Advanced Persistent Threats

| Autor / Redakteur: Frank von Stetten / Stephan Augsten

Prävention ist gut, Erkennung ein Muss

Die geschilderten präventiven Mechanismen können die Widerstandsfähigkeit gegen Cyber-Bedrohungen deutlich erhöhen. Gänzlich verhindern lässt sich eine Attacke auf Grund der Vielzahl möglicher Angriffsvektoren aber nicht. Getreu dem Motto „Assume Compromise“ müssen deshalb große Konzerne aber auch Mittelständler davon ausgehen, dass ihr Netzwerk bereits kompromittiert wurde.

Entsprechende Angriffe gilt es so schnell wie möglich zu entdecken, um den finanziellen Schaden einzugrenzen. Diese Aufgabe erfüllen sogenannte APT-Scanner. Sie kombinieren Elemente der Malware-Suche mit der Auswertung von Logfiles und der Suche nach potenziellen Schwachstellen aus Vulnerability-Scans.

Das funktioniert folgendermaßen: Ein Webshell-Administratoren-Tool auf einem Server ist zwar per se nicht verdächtig. Ein fehlender Patch in einem System bedeutet auch noch nicht, dass die Schwachstelle ausgenutzt wurde. Aber eine Vielzahl erfolgloser Anmeldeversuche mitten in der Nacht in Kombination mit einer Webshell auf einem ungepachten System sind zusammen genommen sehr starke Indizien für einen gezielten Angriff.

Solche forensischen Korrelationen kann ein APT-Scanner leisten und auf diese Weise Indicators of Compromise (IoC) aufspüren, die auf eine APT-Attacke hinweisen. Im Rahmen einer „Deep Dive“-Analyse werden auch Spuren bereits gelöschter Hacking Tools entdeckt.

Ohne Prozesse und Menschen kein wirksamer Schutz

Das Defense-in-Depth Modell entstand im militärischen Umfeld und wird mittlerweile von der IT-Security adaptiert: Es werden mehrere Verteidigungslinien implementiert, die sich gegenseitig unterstützen. Fällt eine Verteidigungslinie, ist der Angreifer trotzdem noch nicht durchgebrochen und kann von anderen Linien noch erfolgreich aufgehalten werden.

Die beschriebenen Technologien sind Bestandteile eines solchen Defense-in-Depth-Ansatzes. Sie steigern die Sicherheit für Unternehmen aber nur dann, wenn Sie entsprechend konfiguriert und angewendet werden. Eine deaktivierte Alarmanlage bringt keinen Schutz. Ebenso wenig verhindern IT-Maßnahmen erfolgreiche Angriffe, wenn die Administratoren Standardpasswörter nicht ändern.

Dasselbe gilt, wenn beispielsweise Entwickler ihre Applikationen nicht ausreichend härten oder IT-Anwender unbekannte USB-Sticks an ihren PC stecken. Die Sensibilisierung aller Beteiligten zum Thema IT-Sicherheit ist ebenso wichtig wie regelmäßige Notfallübungen. Sonst ist der Schaden durch den Feuerwehreinsatz höher, als der Brand ihn hätte verursachen können.

Mit einer sinnvollen Kombination von präventiven und reaktiven Maßnahmen, ausgereiften und getesteten Prozessen und sensibilisierten Menschen können Unternehmen den wirtschaftlichen Schaden durch APT-Attacken begrenzen. Die Widerstandfähigkeit gegen professionelle Angreifer wächst und Angriffe werden früher erkannt; so ist eine effiziente Reaktion im Rahmen eines professionellen Incident Managements möglich.

* Frank von Stetten ist Vorstand von HvS-Consulting.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43236285 / Netzwerk-Security-Devices)