Datenabfluss verhindern APT-Abwehr kontra klassische Sicherheitslösungen

Autor / Redakteur: Andreas Wagner* / Stephan Augsten

Angriffsszenarien ändern sich. Niemand würde heute noch mit gusseisernen Kanonen einem Gegner mit modernen Waffen entgegentreten. Abwehrmethoden wie Firewalls, IDS-/IPS-Systeme waren dafür geschaffen, an den Perimetern ihre Pflicht zu tun. Doch Attacken wie Advanced Persistent Threats, kurz APTs, zwingen zum Umdenken.

Firma zum Thema

Im Grundrauschen des Netzwerk-Verkehrs kann es schwierig werden, die Ausbreitung von APTs zu entdecken.
Im Grundrauschen des Netzwerk-Verkehrs kann es schwierig werden, die Ausbreitung von APTs zu entdecken.
(Bild: fotogestoeber - Fotolia.com)

Ein Täter oder eine Tätergruppe, die zum Zweck von Industriespionage, Cyberterror etc. einen APT vorbereitet, schickt nicht einfach mal ein bisschen Malware ins Unternehmen. Vielmehr wird die Attacke generalstabsmäßig und zielgerichtet angelegt.

Daher spricht man bei APT auch von einem Projekt des Angreifers, das viel Zeit und hohe Kosten (Entwicklungsarbeit, Personal) verursacht. Der Angegriffene muss davon ausgehen, dass er es mit Profis zu tun hat, die alles daran setzen, nicht entdeckt zu werden, und langsame sowie leise Angriffe mit noch unbekannten Methoden starten.

Bestandteile eines APT-Projekts

Ein APT-Projekt, das hier am Beispiel von Industriespionage beschrieben wird, umfasst 6 Phasen:

Phase 1 dient dem Auskundschaften des Ziels und wenigen Zielpersonen (z.B. in Business Netzwerken, Unternehmenswebseiten).

In Phase 2 erfolgt die Infiltration. Schadsoftware wird durch Spearphishing oder Hinlocken auf eine Website punktgenau auf einem Endgerät positioniert. Beide Lockvögel wurden speziell dafür entwickelt.

Phase 3 ist die Kontrolle über das Endgerät. Das Endgerät wird per Schadsoftware vom Server des Angreifers kontrolliert, dem sogenannten Command-and-Control- oder C&C-Server. So wird eventuell auch weitere Software auf das Endgerät geladen.

In Phase 4 findet die laterale Ausbreitung des Angriffs statt bzw. der Zugriff auf weitere Systeme.

Phase 5 bedeutet Daten-Exfiltration, d.h., der Angreifer zapft die Informationen ab, wofür der Raubzug initiiert wurde (Patente, Konstruktionszeichnungen, Kreditkartendaten usw.).

In Phase 6 versucht der Angreifer, möglichst lange unbemerkt im Netzwerk zu bleiben, um ein Höchstmaß an Daten stehlen zu können.

Anders bei Cyberterrorismus. Hier wird versucht, mit der in Phase 2 platzierten Software die Infrastruktur des Zieles zu stören oder zu zerstören. Der Angriff pausiert nach Phase 4, um auf Befehl des C&C-Servers zu x-beliebiger Zeit zuzuschlagen.

Das Dilemma mit der Perimeter-Sicherheit

Wie aber können Angreifer die Perimeter-Sicherheit durchbrechen und zur Daten-Exfiltration umgehen? Ganz einfach: Sie nutzen die Komplexität unserer IT-Security-Infrastruktur, bei der die einzelnen Funktionsgruppen (Firewalls, IDS/IPS, AV-Systeme, Proxies usw.) jeweils nur einen Teil der Sicherheit abdecken.

Diese Produkte tauschen nicht genügend Informationen aus, sie korrelieren nicht und sind nicht imstande, Ereignisse in ihrer Gesamtheit zu bewerten. Genau diese Funktionalität ist aber notwendig, um eine gezielte Attacke aufzudecken. Security-Information- und -Event-Management-Systeme (SIEMs) müssen teilweise mehrere hundert Millionen Events filtern, korrelieren und Alarme absetzen.

In diesem Rauschen, oft durch Fehlalarme (false positives) verstärkt, bleiben ausgefeilte Angriffsmethoden und Zero Day-Techniken unbemerkt. Würde man die Perimeter-Security mit der Einzäunung eines Hauses vergleichen, dann müsste man jede Person, die vor dem Eingangstor vorbeigeht oder -fährt, identifizieren und ihre Merkmale speichern. Das kostet Zeit und Geld, bereitet Mühe und während man beschäftigt ist, klettert jemand an anderer Stelle über den Zaun.

Perimeter-Sicherheit ist notwendig, doch es genügt nicht mehr, sich allein darauf zu verlassen. Um heutigen Attacken zu begegnen, ist es notwendig, die Sicht- und Vorgehensweise zu ändern. Anders ausgedrückt: Wir müssen uns auf denjenigen konzentrieren, der den Zaun überwindet, und auf das, was der am Zauntor durchgewinkte Paketdienst hereinträgt - und wieder mitnimmt.

Schutzmechanismen mit Schwachstellen

Mittlerweile schreibt sich fast jeder Hersteller „APT-Protection“ auf die Fahne. Kann denn ein APT-Abwehrsystem eine ausgefeilte Angriffstechnik oder ZeroDay-Schadsoftware immer zuverlässig erkennen? Klare Antwort: Nein.

APTs müssen erst wie ein Puzzle zusammengesetzt werden, um preiszugeben, dass es sich um eine Offensive handelt. Ohne Korrelation funktioniert das nicht. Auch Sandboxing ist wenig zielführend, denn die Angreifer kennen die Technik, so dass die Schadsoftware darin entweder gar nicht startet oder erst nach vielen Tagen aktiv wird.

Doch diese Zeit fehlt angesichts der heutigen Datenmengen. Eine weitere Schwachstelle vieler APT-Systeme ist, dass sie nur bestimmte Datenströme untersuchen (Protokolle und Port-Kombinationen mit relativ geringer Tiefe). Der Profi-Angreifer weiß solche Protokolle und Ports gut zu umgehen.

APT-Schutz durch Datenabflussverhinderung

Was also tun? Ganz einfach. Zuerst sind die Kronjuwelen (Daten) zu schützen, denn auf die hat es der Angreifer abgesehen. Dafür ist DLP (Data Leakage Prevention) die Lösung. Bei DLP erfolgt eine Inspektion aller Protokolle, Filetypen und Inhalte. Gleichzeitig werden entsprechende Metadaten generiert und gesichert. Alle Daten zu speichern, würde jedes System sprengen.

In den meisten Fällen wird schon bei der Inspektion Datenabfluss erkannt und verhindert. Das DLP-System bedient sich ausserdem der Sandboxing-Technologie. Allerdings kommt dieser ein geringerer Stellenwert zu, da die vorgenannte Untersuchung aller Daten mit Speicherung der Metadaten eine wesentlich höhere Treffgenauigkeit bietet. Darüber hinaus können die Metadaten mit IoC-Feeds (IoC Indicators of Compromise) abgeglichen werden, um so Hinweise auf APT-Aktivität zu erhalten.

Anhand der gespeicherten historischen Metadaten lässt sich sogar nachweisen, wenn ein Angriff in der Vergangenheit erfolgreich war. Waren zum Zeitpunkt X unbekannte ZeroDay-Malware oder andere damals nicht bekannte Instrumente und/oder Tools erfolgreich, so stehen dafür heute vielleicht Mechanismen zur Identifizierung bereit. So kann man sogar die Vergangenheit nach Daten-Exfiltration durchsuchen.

* Andreas Wagner ist IT-Security-Berater sowie Experte im Security Operations Center (SOC) und Computer Security Incident Response Team (CSIRt) bei der DATAKOM Gesellschaft für Datenkommunikation mbH.

(ID:43436951)