Suchen

Wie die Cloud bei der Abwehr zielgerichteter Attacken hilft

Mehrschichtiger Schutz vor Advanced Persistent Threats

Seite: 2/4

Firmen zum Thema

Wie läuft ein zielgerichteter Angriff ab?

In Phase eins wird das Opfer ausgespäht. Die Angreifer holen Erkundigungen ein, die einer Attacke zum Erfolg verhelfen können. Dazu ist das Wissen unerlässlich, wer welche strategischen Positionen im Unternehmen inne hat und wer auf die gewünschten Informationen zugreifen kann. Ganz bewusst verzichten Angreifer auf einen frontalen Angriff zugunsten des verschleiernden Umwegs.

Ist die Zielperson ausgemacht, wird in Phase zwei die Infektion des entsprechenden Systems gestartet. Dazu wird das potenzielle Opfer mit Malware in Kontakt gebracht: Social-Engineering-Methoden motivieren den Betroffenen beispielsweise, auf einen verseuchten Link oder eine infizierte Datei zu klicken. Bei einer erfolgreichen Infektion folgt nahtlos die dritte Phase, in der ein Hacker die Kontrolle über die Infrastruktur übernimmt.

Trojaner wie der altbekannte „Zeus“ oder „Poison Ivy“ beginnen mit dem Ausspähen innerhalb des Unternehmens. Dabei wandert die Malware nicht selten vom Client zum Server, um sich dort nach den gewünschten Informationen umzusehen. In der letzten Phase schließlich werden die Daten abgezogen.

Die eigentlich kritische Phase eines APT ist also die Erstinfektion eines Zielrechners. Um sich davor erfolgreich zu schützen, müssen verschiedene Tools und Techniken ineinandergreifen:

  • der Schutz vor Schwachstellen,
  • Virenschutz,
  • Black-Lists und Sicherheits-Feeds,
  • diese kombiniert mit dem bidirektionalen Scannen des Datenverkehrs in Echtzeit)
  • SSL-Scanning (da der Datenverkehr zunehmend verschlüsselt stattfindet)
  • Technologien zur Verhaltensanalyse
  • Big Data Analysis und Korrelation in Echtzeit

Die sogenannte Verhaltensanalyse sollte soweit wie möglich in Echtzeit ablaufen. Das Ganze hilft aber nur dann, wenn auch wirklich alle Mitarbeiter und Endgeräte in das Schutzkonzept einbezogen werden. Von der Schar der überwiegend oder teilweise mobil Tätigen geht ein großes Gefahrenpotenzial aus. Mobilgeräte fungieren nicht selten als willkommenes Einfallstor ins Netzwerk. Ist die Malware erst einmal eingeschleust bahnt sie sich zügig ihren Weg.

Die Zeit als kritischer Faktor

Je früher die Malware erkannt wird, desto mehr schränkt man die möglichen Auswirkungen eines Angriffs ein. Um solche Szenarien zu erkennen, muss eine Lösung den zwischen Menschen ausgetauschten Datenverkehr und Bot-Traffic unterscheiden. Dazu zählen anormale Traffic-Muster wie Anonymisierer, P2P-Traffic oder Datenströme, die verdächtige Länder oder Ziele ansteuern, sowie Botnets, die ihre Signale nach Hause schicken.

Handelt es sich tatsächlich um einen APT-Angriff, ist die oberste Priorität den Schaden zu begrenzen und zu verhindern, dass noch weitere Ressourcen angezapft werden. Der Schädling muss dazu so schnell wie möglich isoliert und beseitigt werden. Dabei helfen Reporting in Echtzeit und Online-Verhaltensanalysen.

Will man SIEM-Lösungen (Security Information and Event Management) einsetzen, funktioniert das nur dann, wenn man die Log-Daten über die verschiedenen, eingesetzten Lösungen hinweg korrelieren kann. Durch granulare User-Policies und Reports können so auch einzelne Anwender vom Netzwerk isoliert werden. Und nicht zuletzt sollte man natürlich den Zugriff auf vertrauliche Informationen blockieren, bis der Schädling definitiv beseitigt ist.

(ID:42645237)