Datenabfluss verhindern

APT-Abwehr kontra klassische Sicherheitslösungen

| Autor / Redakteur: Andreas Wagner* / Stephan Augsten

Im Grundrauschen des Netzwerk-Verkehrs kann es schwierig werden, die Ausbreitung von APTs zu entdecken.
Im Grundrauschen des Netzwerk-Verkehrs kann es schwierig werden, die Ausbreitung von APTs zu entdecken. (Bild: fotogestoeber - Fotolia.com)

Angriffsszenarien ändern sich. Niemand würde heute noch mit gusseisernen Kanonen einem Gegner mit modernen Waffen entgegentreten. Abwehrmethoden wie Firewalls, IDS-/IPS-Systeme waren dafür geschaffen, an den Perimetern ihre Pflicht zu tun. Doch Attacken wie Advanced Persistent Threats, kurz APTs, zwingen zum Umdenken.

Ein Täter oder eine Tätergruppe, die zum Zweck von Industriespionage, Cyberterror etc. einen APT vorbereitet, schickt nicht einfach mal ein bisschen Malware ins Unternehmen. Vielmehr wird die Attacke generalstabsmäßig und zielgerichtet angelegt.

Daher spricht man bei APT auch von einem Projekt des Angreifers, das viel Zeit und hohe Kosten (Entwicklungsarbeit, Personal) verursacht. Der Angegriffene muss davon ausgehen, dass er es mit Profis zu tun hat, die alles daran setzen, nicht entdeckt zu werden, und langsame sowie leise Angriffe mit noch unbekannten Methoden starten.

Bestandteile eines APT-Projekts

Ein APT-Projekt, das hier am Beispiel von Industriespionage beschrieben wird, umfasst 6 Phasen:

Phase 1 dient dem Auskundschaften des Ziels und wenigen Zielpersonen (z.B. in Business Netzwerken, Unternehmenswebseiten).

In Phase 2 erfolgt die Infiltration. Schadsoftware wird durch Spearphishing oder Hinlocken auf eine Website punktgenau auf einem Endgerät positioniert. Beide Lockvögel wurden speziell dafür entwickelt.

Ergänzendes zum Thema
 
Über die IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2015

Phase 3 ist die Kontrolle über das Endgerät. Das Endgerät wird per Schadsoftware vom Server des Angreifers kontrolliert, dem sogenannten Command-and-Control- oder C&C-Server. So wird eventuell auch weitere Software auf das Endgerät geladen.

In Phase 4 findet die laterale Ausbreitung des Angriffs statt bzw. der Zugriff auf weitere Systeme.

Phase 5 bedeutet Daten-Exfiltration, d.h., der Angreifer zapft die Informationen ab, wofür der Raubzug initiiert wurde (Patente, Konstruktionszeichnungen, Kreditkartendaten usw.).

In Phase 6 versucht der Angreifer, möglichst lange unbemerkt im Netzwerk zu bleiben, um ein Höchstmaß an Daten stehlen zu können.

Anders bei Cyberterrorismus. Hier wird versucht, mit der in Phase 2 platzierten Software die Infrastruktur des Zieles zu stören oder zu zerstören. Der Angriff pausiert nach Phase 4, um auf Befehl des C&C-Servers zu x-beliebiger Zeit zuzuschlagen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43436951 / Netzwerk-Security-Devices)