Suchen

Datenabfluss verhindern APT-Abwehr kontra klassische Sicherheitslösungen

| Autor / Redakteur: Andreas Wagner* / Stephan Augsten

Angriffsszenarien ändern sich. Niemand würde heute noch mit gusseisernen Kanonen einem Gegner mit modernen Waffen entgegentreten. Abwehrmethoden wie Firewalls, IDS-/IPS-Systeme waren dafür geschaffen, an den Perimetern ihre Pflicht zu tun. Doch Attacken wie Advanced Persistent Threats, kurz APTs, zwingen zum Umdenken.

Firma zum Thema

Im Grundrauschen des Netzwerk-Verkehrs kann es schwierig werden, die Ausbreitung von APTs zu entdecken.
Im Grundrauschen des Netzwerk-Verkehrs kann es schwierig werden, die Ausbreitung von APTs zu entdecken.
(Bild: fotogestoeber - Fotolia.com)

Ein Täter oder eine Tätergruppe, die zum Zweck von Industriespionage, Cyberterror etc. einen APT vorbereitet, schickt nicht einfach mal ein bisschen Malware ins Unternehmen. Vielmehr wird die Attacke generalstabsmäßig und zielgerichtet angelegt.

Daher spricht man bei APT auch von einem Projekt des Angreifers, das viel Zeit und hohe Kosten (Entwicklungsarbeit, Personal) verursacht. Der Angegriffene muss davon ausgehen, dass er es mit Profis zu tun hat, die alles daran setzen, nicht entdeckt zu werden, und langsame sowie leise Angriffe mit noch unbekannten Methoden starten.

Bestandteile eines APT-Projekts

Ein APT-Projekt, das hier am Beispiel von Industriespionage beschrieben wird, umfasst 6 Phasen:

Phase 1 dient dem Auskundschaften des Ziels und wenigen Zielpersonen (z.B. in Business Netzwerken, Unternehmenswebseiten).

In Phase 2 erfolgt die Infiltration. Schadsoftware wird durch Spearphishing oder Hinlocken auf eine Website punktgenau auf einem Endgerät positioniert. Beide Lockvögel wurden speziell dafür entwickelt.

Phase 3 ist die Kontrolle über das Endgerät. Das Endgerät wird per Schadsoftware vom Server des Angreifers kontrolliert, dem sogenannten Command-and-Control- oder C&C-Server. So wird eventuell auch weitere Software auf das Endgerät geladen.

In Phase 4 findet die laterale Ausbreitung des Angriffs statt bzw. der Zugriff auf weitere Systeme.

Phase 5 bedeutet Daten-Exfiltration, d.h., der Angreifer zapft die Informationen ab, wofür der Raubzug initiiert wurde (Patente, Konstruktionszeichnungen, Kreditkartendaten usw.).

In Phase 6 versucht der Angreifer, möglichst lange unbemerkt im Netzwerk zu bleiben, um ein Höchstmaß an Daten stehlen zu können.

Anders bei Cyberterrorismus. Hier wird versucht, mit der in Phase 2 platzierten Software die Infrastruktur des Zieles zu stören oder zu zerstören. Der Angriff pausiert nach Phase 4, um auf Befehl des C&C-Servers zu x-beliebiger Zeit zuzuschlagen.

(ID:43436951)