Advanced Persistent Threats - Teil 1 Im Visier abgefeimter Angreifer

Autor / Redakteur: Susanne Franke / Dr. Andreas Bergler

Zielgerichtete Angriffe wie Advanced Persistent Threats (APT) sind eine Realität, der Anwender und Sicherheitsverantwortliche in Unternehmen ins Auge sehen müssen. Um eine wirksame Sicherheitsstrategie dagegen aufsetzen zu können, müssen die Verantwortlichen möglichst schnell umfassende und genaue Informationen zum Ablauf der Attacke erhalten. Teil 1 der APT-Serie behandelt grundlegende Maßnahmen.

Firma zum Thema

Über fortgeschrittene Angriffsmethoden beobachten Hacker oft monatelang unbemerkt den Datenverkehr im Unternehmensnetz.
Über fortgeschrittene Angriffsmethoden beobachten Hacker oft monatelang unbemerkt den Datenverkehr im Unternehmensnetz.
(Bild: © santiago silver - Fotolia)

Viele Unternehmen glauben, dass sie sich bereits im Visier von Angreifern befinden. Laut Ergebnissen einer Umfrage des Ponemon Institute sind 67 Prozent aller befragten Unternehmensvertreter der Ansicht, ihre aktuellen Sicherheitsmaßnahmen wären nicht ausreichend, um gezielte Angriffe zu stoppen.

Eines vorweg: Es gibt keinen hundertprozentigen Schutz gegen gezielte Angriffe, und Unternehmen müssen davon ausgehen, dass ein Angreifer es irgendwann ins Firmennetz schafft. Daraus sollten Organisationen die richtigen Schlüsse für eine Sicherheitsstrategie ziehen – ein neuer Denkansatz ist gefragt bei der Angriffserkennung beziehungsweise -bekämpfung.

Umfassende Informationen schnell zur Stelle

Das Ziel einer Verteidigungsstrategie muss zum einen eine möglichst frühe Erkennung eines gezielten Angriffs sein, denn dessen Identifizierung wird mit der Zeit schwieriger. Auch kann sich der Zeitfaktor fatal auf die Schadensbegrenzung auswirken, denn je später reagiert wird, desto wahrscheinlicher ist es, dass der Angreifer sein Ziel, das Abgreifen von Daten, zumindest zum Teil bereits erreicht hat.

Ausschlaggebende Faktoren für die Effektivität der Schutzlösungen ist demnach deren Fähigkeit, umfassende Bedrohungsinformationen zu sammeln, Malware und Schadcode in allen Phasen zu erkennen und die Zeitspanne bis zum Schutz möglichst kurz zu halten. Für die Entscheidung, wie einem erfolgten Angriff zu begegnen ist, müssen die IT-Experten des Unternehmens genau verstehen, wie die Attacke abgelaufen ist. Auch sind zusätzlich zu den lokalen weitere globale Informationsquellen zu ähnlichen Vorfällen und Schädlingen von Nutzen, um eine Abwehrstrategie schnell aufzusetzen.

Schwachstellen

Viele Angriffe, die Zero-Day-Exploits einsetzen, nutzen gleichzeitig auch bekannte Sicherheitslücken als Teil der Attacke. Deshalb gehört als wichtiger Bestandteil einer Schutzstrategie der effektive Umgang mit Schwachstellen dazu, sei es durch Vermeiden, Minimieren oder deren Abschirmen.

Doch das Schwachstellen-Management ist nicht wirksam gegen Zero-Day-Angriffe, auch wenn es kritische Systeme durch aktuelle Patches schützt. Gegen etwas, dass noch nicht allgemein bekannt ist, kann man sich mit traditionellen Verteidigungsmaßnahmen nicht schützen. Experten sind sich darin einig, dass sorgfältig aufgebaute erweiterte, mehrschichtige Sicherheitsmechanismen unumgänglich sind.

Basiselemente der Verteidigung erfahren Sie auf der nächsten Seite.

Verteidigung: die Basics

Eine Basisverteidigung gehört natürlich nach wie vor dazu. Standardtechnologien für die Perimeter- und Endpunktesicherheit sowie Firewalls, Intrusion Prevention Systeme (IPS) und Secure Web Gateways sind für die Abwehr der meisten Angriffe maßgeblich wichtig. Auch lassen sich damit einige Aspekte eines zielgerichteten Angriffs erkennen und abblocken. Doch Perimeterschutz allein reicht schon lange nicht mehr aus, denn die gezielten Angriffe sind bewusst so konzipiert, dass sie Standardverteidigungsmaßnahmen für den Perimeter und die Endpunkte umgehen können.

Eine solche Lösung sollte netzwerkbasiert sein und an allen vitalen Punkten im Unternehmen Informationen sammeln können, sowohl am Gateway als auch in sicherheitsrelevanten Bereichen wie Entwicklungsabteilung oder Produktion. Denn die Kommunikationskanäle der Angreifer gehen nicht nur über Web- (HTTP/HTTPS) und E-Mail-basierte Protokolle.

Es gibt auch Angriffe, die am Perimeter nicht zu erkennen sind und netzwerkinterne C&C-Server nutzen – oberstes Ziel der Angreifer ist es, weitestgehend unerkannt zu agieren und nicht aufzufallen. Deshalb involvieren diese Attacken auch andere Protokolle wie NTP (Network Time Protocol), SMB (Server Message Block oder auch LAN-Manager), Syslog oder sogar ICMP (Internet Control Message Protocol). Das bedeutet, dass eine Lösung eine breite Vielfalt an Protokollen und Prüfungsmechanismen unterstützen muss, um alle verdächtigen Kommunikationskanäle zu identifizieren.

Multiple Systeme

Gegen gezielte Angriffe lässt sich das Netzwerk eines Unternehmens mit nur einer einzigen Technologie kaum abschirmen. Doch gibt es Wege, mit Kombinationen der Sicherheitstechnik einen höheren Schutz zu erreichen.

So ist generell das Vorhandensein eines IPS-Systems wichtig, doch um die Datenflut, die diese Systeme erzeugen können, auf die Informationen zu reduzieren, die im gegebenen Fall wichtig sind, bedarf es weiterer Komponenten wie etwa der forensischen Analyse-Tools, die den Ablauf eines Angriffs darstellen können und dazu beitragen, eine entsprechende Reaktion durchzuführen.

Von zentraler Bedeutung sind zudem das Sandboxing und heuristisches Scanning. Für letzteres wird ein regelbasiertes System eingesetzt, das die potenziell bösartigen Dateien schnell identifiziert. Das Scanning agiert wie ein Filter, der bereits bekannte Schadsoftware erkennt, sodass nicht jede Datei in die Sandbox weitergeleitet werden muss. Die Effizienz des Systems hängt zu einem guten Teil davon ab, wie die Regeln definiert sind. Eine wichtige Rolle spielt hier auch eine gute Signaturendatenbank. Damit lassen sich Kosten reduzieren und die Systemkapazität erhöhen.

Sandboxing

Sandboxing bezeichnet eine isolierte Simulationsumgebung, in der verdächtige Dateien ausgeführt werden, um ihr Verhalten zu analysieren, Payloads zu erkennen und somit bis dahin unbekannte Schadsoftware zu identifizieren. Damit stellt diese Technik ein wichtiges Mittel für die Verteidigung gegen gezielte Angriffe dar. Sandboxen enthalten entweder ein Standard-Image, das beispielsweise alle Versionen eines Betriebssystems oder mögliche Browser enthält oder ein Image, das der spezifischen Umgebung eines Unternehmens so weit wie möglich entspricht. Die Sicherheitshersteller bieten inzwischen in der Regel eine dieser beiden Varianten an, manche auch cloud-basiert.

Worauf es bei der Schadenbegrenzung ankommt, lesen Sie auf der nächsten Seite.

Schnelles Erkennen

Die Cyberkriminellen haben allerdings schnell darauf reagiert und ihre Software mit der Fähigkeit ausgestattet, zu erkennen, ob sie sich in einer Sandbox befinden, und dann die Ausführung zu stoppen. Dazu gehört etwa die Funktion, einen Hypervisor als Zeichen dafür zu identifizieren, dass es sich bei der Ablaufumgebung um eine Sandbox handelt.

Wenn allerdings eine mutmaßliche Payload versucht, durch verdächtige Systemtests zu prüfen, ob sie auf einer virtualisierten Plattform läuft, so ist dies allein schon ein verdächtiges Merkmal. Auch die Entwicklung eines eigenen Hypervisors, der auf der reinen Hardware läuft, oder auch der Einsatz von Sandboxen, die die Produktivumgebung eines Anwenders wiedergeben, bieten eine gewisse Abhilfe.

Alle Erkenntnisse einer Sandboxing-Lösung sollten einem weltweiten intelligenten Bedrohungsnetzwerk des Sicherheitsanbieters verfügbar gemacht werden, um künftigen Angriffen vorbeugen zu können. Damit lässt sich beispielsweise eine Quelle polymorpher Attacken unschädlich machen, bei der Weiterentwicklungen bekannter Schadsoftware den Angriff ausführen.

Vernetzung

Schließlich ist es im Falle eines Angriffs von entscheidender Bedeutung, schnell feststellen zu können, welche Endpunkte vom Sicherheitsvorfall betroffen sind, um zum Teil oder auch vollständig automatisiert Gegenmaßnahmen treffen zu können, etwa durch Isolierung, Säubern, Blacklists oder andere Mittel.

Integration und der Informationsaustausch zwischen den einzelnen Sicherheitsmechanismen (Netzwerk, Endpunkt, Gateway) ist für die Effizienz des Schutzes gegen zielgerichtete Angriffe eine Schlüsselanforderung. Dabei geht es nicht nur um die eines einzigen Anbieters, sondern auch um Schnittstellen zu Lösungen wie etwa IPS/IDS-Produkten oder SIEM-Systemen (Security Information Event Management). Gerade ein SIEM kann durch die Zusammenführung und Analyse sehr vieler Log-Dateien wertvolle Informationen liefern – doch nur, wenn diese auch an die Schutzlösung zurückgehen können.

(ID:43011812)