:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wie die Cloud bei der Abwehr zielgerichteter Attacken hilft Mehrschichtiger Schutz vor Advanced Persistent Threats
Zielgerichtete und hoch professionelle Attacken auf Unternehmen haben eine lange Vorlaufzeit und sind mit einem nicht unerheblichen Aufwand verbunden. Dementsprechend braucht es mehrschichtige Abwehr- und Schutzmechanismen gegen Advanced Persistent Threats. Eine Stütze für die Reaktion in Echtzeit ist die Cloud.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Advanced Persistent Threats (APTs) sind eine Kombination aus verschiedenen Methoden, um den Angriff auf ein bestimmtes Ziel auszurichten. Diese reichen von verfügbaren Exploits über das Ausnutzen neuer Schwachstellen bis hin zu für genau diesen Einsatzzweck entwickelter Schadsoftware. Dabei weisen APT-Angriffe keine einheitlichen Muster auf, wie forensische Analysen belegen.
Organisierte Cyber-Kriminelle greifen in der Regel bei finanziell lohnenswerten Zielen auf APTs zurück. Nach dem ersten Eindringen in den Rechner eines Opfers oder einer abgegrenzten Gruppe wird der Zugriff auf die Unternehmensinfrastruktur ausgeweitet.
Es können Monate oder sogar Jahre vergehen, in denen einmal injizierter Schadcode im Verborgenen wirkt und sensible Informationen abzieht. Das können beispielsweise Quellcodes, Konstruktionspläne oder Kundendaten sein.
Diese komplexe Vorgehensweise grenzt APTs von der typischen Malware ab, die auf schnellen Erfolg abzielt. Es geht den Angreifern weniger um die Manipulation von Online-Banking oder um das Sammeln von Zugangsdaten zu Online-Shops. Es geht vor allem darum, gezielt jene Unternehmen auszuspähen, die aufgrund ihres technologischen Vorsprungs potenziell lukrativ sind.
Das Schema des Angriffs verläuft in mehreren Stufen: Zunächst einmal wählen die Angreifer das Zielsystem oder die Zielsysteme aus. Von dort aus unterwandern sie sukzessive die gesamte IT-Infrastruktur, um an vertrauliche Daten zu gelangen, die beispielsweise auf File-Servern oder in E-Mail-Archiven liegen.
Erkennen ist nicht gleich Abwehren
Will man APTs abwehren, erkennen und beseitigen, braucht man also zwingend ein Konzept, das in alle Stadien eines APT-Lebenszyklus eingreifen kann – nicht nur an ein oder zwei singulären Punkten. Zu den Mechanismen zählen das Blocken eines Spear-Phishing-Angriffs, das Identifizieren von Zero-Day-Attacken und das Erkennen verdächtigen Netzwerk- und Internet-Datenverkehrs.
Es geht also darum, die unterschiedlichen Elemente, aus denen ein APT-Angriff zusammengebaut sein kann, zunächst grundlegend zu verstehen, um ihn abwehren zu können. Dann kommen für jedes Stadium des Angriffs die Abwehrstrategien und technische Tools zum Einsatz, die am effektivsten wirken.
Wie läuft ein zielgerichteter Angriff ab?
In Phase eins wird das Opfer ausgespäht. Die Angreifer holen Erkundigungen ein, die einer Attacke zum Erfolg verhelfen können. Dazu ist das Wissen unerlässlich, wer welche strategischen Positionen im Unternehmen inne hat und wer auf die gewünschten Informationen zugreifen kann. Ganz bewusst verzichten Angreifer auf einen frontalen Angriff zugunsten des verschleiernden Umwegs.
Ist die Zielperson ausgemacht, wird in Phase zwei die Infektion des entsprechenden Systems gestartet. Dazu wird das potenzielle Opfer mit Malware in Kontakt gebracht: Social-Engineering-Methoden motivieren den Betroffenen beispielsweise, auf einen verseuchten Link oder eine infizierte Datei zu klicken. Bei einer erfolgreichen Infektion folgt nahtlos die dritte Phase, in der ein Hacker die Kontrolle über die Infrastruktur übernimmt.
Trojaner wie der altbekannte „Zeus“ oder „Poison Ivy“ beginnen mit dem Ausspähen innerhalb des Unternehmens. Dabei wandert die Malware nicht selten vom Client zum Server, um sich dort nach den gewünschten Informationen umzusehen. In der letzten Phase schließlich werden die Daten abgezogen.
Die eigentlich kritische Phase eines APT ist also die Erstinfektion eines Zielrechners. Um sich davor erfolgreich zu schützen, müssen verschiedene Tools und Techniken ineinandergreifen:
- der Schutz vor Schwachstellen,
- Virenschutz,
- Black-Lists und Sicherheits-Feeds,
- diese kombiniert mit dem bidirektionalen Scannen des Datenverkehrs in Echtzeit)
- SSL-Scanning (da der Datenverkehr zunehmend verschlüsselt stattfindet)
- Technologien zur Verhaltensanalyse
- Big Data Analysis und Korrelation in Echtzeit
Die sogenannte Verhaltensanalyse sollte soweit wie möglich in Echtzeit ablaufen. Das Ganze hilft aber nur dann, wenn auch wirklich alle Mitarbeiter und Endgeräte in das Schutzkonzept einbezogen werden. Von der Schar der überwiegend oder teilweise mobil Tätigen geht ein großes Gefahrenpotenzial aus. Mobilgeräte fungieren nicht selten als willkommenes Einfallstor ins Netzwerk. Ist die Malware erst einmal eingeschleust bahnt sie sich zügig ihren Weg.
Die Zeit als kritischer Faktor
Je früher die Malware erkannt wird, desto mehr schränkt man die möglichen Auswirkungen eines Angriffs ein. Um solche Szenarien zu erkennen, muss eine Lösung den zwischen Menschen ausgetauschten Datenverkehr und Bot-Traffic unterscheiden. Dazu zählen anormale Traffic-Muster wie Anonymisierer, P2P-Traffic oder Datenströme, die verdächtige Länder oder Ziele ansteuern, sowie Botnets, die ihre Signale nach Hause schicken.
Handelt es sich tatsächlich um einen APT-Angriff, ist die oberste Priorität den Schaden zu begrenzen und zu verhindern, dass noch weitere Ressourcen angezapft werden. Der Schädling muss dazu so schnell wie möglich isoliert und beseitigt werden. Dabei helfen Reporting in Echtzeit und Online-Verhaltensanalysen.
Will man SIEM-Lösungen (Security Information and Event Management) einsetzen, funktioniert das nur dann, wenn man die Log-Daten über die verschiedenen, eingesetzten Lösungen hinweg korrelieren kann. Durch granulare User-Policies und Reports können so auch einzelne Anwender vom Netzwerk isoliert werden. Und nicht zuletzt sollte man natürlich den Zugriff auf vertrauliche Informationen blockieren, bis der Schädling definitiv beseitigt ist.
Eine verhältnismäßig junge Gefahr
Als APTs zum ersten Mal auftraten, brach so etwas wie eine Goldgräberstimmung in Sachen tauglicher Abwehrmechanismen aus. Etliche Strategien und Technologien überschwemmten den Markt. Existierende Sicherheitslösungen wurden aufgerüstet, Next Generation Firewalls, Intrusion Prevention und E-Mail-Sicherheitslösungen erweitert.
Die Anbieter traditioneller Virenschutz- und Malware-Endpoint-Security-Lösungen entwickelten wiederum eigenständige APT-Ansätze. Allerdings greifen viele Konzepte zu kurz, denn sie betrachten nicht den gesamten Lebenszyklus eines APT. Man brauchte einen grundlegend neuen Ansatz. Aktuell bietet der Markt in dieser verhältnismäßig jungen Sicherheitskategorie im Wesentlichen zwei verschiedene Lösungsansätze.
Schutz durch Hardware-Appliances
Einige Appliance-Lösungen haben sich zwar auf Advanced Persistent Threats spezialisiert, können die Angriffe aber lediglich erkennen und davor warnen, andere haben zusätzliche Mechanismen im Gepäck, um APTs zu blockieren und abzuwehren. Üblich ist es, die Appliances am Perimeter des Unternehmensnetzwerks einzusetzen, wo dann der Datenverkehr ins Netzwerk und aus dem Netzwerk heraus gescannt wird.
Appliances setzen dabei meistens auf irgendeine Art von Sandboxing sowie auf Techniken zur Verhaltensanalyse. Dazu kommen Cloud-basierte Updates um die Bibliotheken zu aktualisieren, Reputations-Indexe helfen, potenziell schädlichen Traffic zu klassifizieren. Das größte Problem der Appliance-basierten Lösungen bei den zur Verfügung stehenden Schutzmaßnahmen, weniger beim Erkennen der Gefahr.
In der Ära mobiler Geräte und Mitarbeiter und bei immer weniger VPNs, findet ein Großteil des Datenverkehrs außerhalb der Grenzen des Unternehmensnetzwerkes statt. Deswegen „sehen“ Appliance-basierte Lösungen zunehmend weniger des unternehmenseigenen Datenverkehrs. Appliances sind in der Regel nicht ganz billig.
Auch der vergleichsweise hohe Verwaltungsaufwand ist eine Hürde auch kleine Unternehmenseinheiten (und nicht nur die Zentrale und die großen Zweigstellen) in das Sicherheitskonzept miteinzubeziehen. Unglücklicherweise haben es APTs gerade auf die Ziele abgesehen, die außerhalb des Netzwerks liegen. Ein einziges ungeschütztes Gerät reicht, um einen Trojaner erfolgreich ins Ziel zu bringen und von dort den Angriff zu starten.
Eine weitere Achillesferse ist der SSL-Datenverkehr, der die Performanz einer Appliance durchaus in die Knie zwingen kann. Verschlüsselter Datenverkehr bedeutet in aller Regel, dass man in leistungsfähigere Boxen mit ausreichender Kapazität investieren muss. Und: die Hauptaufgabe einer Appliance besteht darin, vor Sicherheitsvorfällen zu warnen. Das Verwalten einer weiteren Sicherheits-Appliance am Perimeter oder Gateway ist meistens unbeliebt, denn das bedeutet wieder einen höheren Aufwand beim Administrieren.
Wie Cloud-basierte Lösungen helfen
Cloud-Ansätze sind eine Alternative zu den Appliance-basierten Lösungen. Einer der wesentlichen Vorteile liegt darin, dass sie den gesamten Datenverkehr überwachen, sei es nun innerhalb oder außerhalb der Unternehmensgrenzen – mobil arbeitende Mitarbeiter und deren Endgeräte eingeschlossen.
Eine Cloud-basierte Lösung kann demnach Analysedaten aus dem kompletten Netzwerk sammeln. Die daraus gewonnene, kumulierte Intelligenz lässt sich gezielt einsetzen, um APTs abzuwehren. Obwohl APTs kompliziert aufgebaut sind, bieten sie dennoch Ansatzpunkte, um sich vor ihnen zu schützen. Ideal ist ein mehrschichtiges Konzept, das diese Punkte berücksichtigt und das die mobile Arbeitsrealität miteinbezieht.
Bei einem solchen Ansatz ist es erfolgversprechend, klassische Erkennungsmethoden und neuere Ansätze zu verbinden. Sandboxing und Verhaltensanalyse sind adäquate Mittel, insbesondere wenn ein Scanning in Echtzeit und Big-Data-Analysen zusätzlich greifen. Beim Sandboxing werden verdächtige Dateien in einer virtuellen Umgebung ausgeführt und analysiert, bevor sie weitergeleitet werden.
Fällt beim Ausführen in der Sandbox auf, dass eine Datei ein schädliches Verhalten zeigt, wird sie blockiert. Allerdings sind manche der mit Schadcode behafteten Dateien schon in der Lage, eine Sandboxing-Situation zu erkennen. Reine Sandboxing-Verfahren sind auch dann unwirksam, wenn der Payload – der mit Schadcode behaftete Teil - erst später nachgeladen wird.
Da heute ein Großteil aller Attacken über das Internet gestartet wird, ist es unumgänglich, den Datenverkehr in Echtzeit zu analysieren. Eine Risikobewertung von Webseiten ist ein weiterer Baustein, da sich Webseiten dynamisch für jeden Anwender neu zusammensetzen. Eine reine Webseiten-Kategorisierung reicht also nicht aus. Um das Risiko tatsächlich einzugrenzen, sollten weitere Parameter bei der Bewertung hinzukommen, beispielsweise
- der Hosting-Standort,
- die Lebensdauer der Website sowie
- Verlinkungen und andere Faktoren.
Darüber hinaus sollte jedes Byte des ein- und ausgehenden Datenstroms einer Webseite zusätzlich auf Schadcode hin durchleuchtet werden. Die bidirektionale Code-Analyse erlaubt es beispielsweise, Verschleierungsmethoden (Code Obfuscation) aufzuspüren.
Eine komplette Analyse des Webseiten-Inhalts gehört bei den klassischen Sicherheitsanbietern eher zu den Ausnahmen, da er sich negativ auf die Performance des Gesamtsystems auswirkt. Immer mehr Attacken laufen auch über ungepatchte oder veraltete Browser oder Browser-Plugins, auch hier gilt es die bekannten Attacken auf Java/Flash zu blocken und virtuell zu patchen.
Big Data Analysis
Wenn vielschichtige Untersuchungsmethoden wie Sandboxing, URL-Filter und Code-Analysen zusammenspielen, kostet das Zeit und Ressourcen. Um anormale Verhaltensmuster in Echtzeit aufzuspüren und zu analysieren, müssen umfangreiche Datenbestände miteinander korreliert werden, um dann gegebenenfalls die Reaktion auf Anwenderebene einzuleiten (z.B. das Blockieren einer Webseite).
Eine solche Analyse kann nicht über Endpoint-Security stattfinden, sondern über einen Cloud-basierten Service. Auch wenn Schutzmechanismen am Client als „Last-Defense“ noch ihre Berechtigung haben, sollte ein Schädling im Idealfall gar nicht erst im Unternehmensnetz landen – auch dann nicht, wenn sich die Mitarbeiter außerhalb des Perimeters bewegen.
Über den Autor
Mathias Widler ist als Regional Director DACH & Nordics bei Zscaler verantwortlich für die Geschäftsentwicklung in Zentraleuropa und Skandinavien. Er baut dazu auf seine Erfahrungswerte bei großen Security- und Networking-Firmen wie beispielsweise Kaspersky, A10 Networks, Cisco und Bluecoat.
(ID:42645237)
:quality(80)/images.vogel.de/vogelonline/bdb/1941600/1941634/original.jpg "AET (Advanced Evasion Techniques) sind zielgerichtete und stark getarnte Angriffe auf IT-Systeme. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1939300/1939352/original.jpg "Lösungen zur Network Detection & Response (NDR) helfen bei der frühzeitigen Gefahrenerkennung im Unternehmensnetzwerk. (ZinetroN - stock.adobe.com)")