Suchen

Wie die Cloud bei der Abwehr zielgerichteter Attacken hilft Mehrschichtiger Schutz vor Advanced Persistent Threats

Autor / Redakteur: Mathias Widler / Stephan Augsten

Zielgerichtete und hoch professionelle Attacken auf Unternehmen haben eine lange Vorlaufzeit und sind mit einem nicht unerheblichen Aufwand verbunden. Dementsprechend braucht es mehrschichtige Abwehr- und Schutzmechanismen gegen Advanced Persistent Threats. Eine Stütze für die Reaktion in Echtzeit ist die Cloud.

Firmen zum Thema

APT-Attacken zielen vornehmlich darauf ab, sensible Daten wie Konstruktionspläne zu entwenden.
APT-Attacken zielen vornehmlich darauf ab, sensible Daten wie Konstruktionspläne zu entwenden.
(Bild: Zscaler / Archiv)

Advanced Persistent Threats (APTs) sind eine Kombination aus verschiedenen Methoden, um den Angriff auf ein bestimmtes Ziel auszurichten. Diese reichen von verfügbaren Exploits über das Ausnutzen neuer Schwachstellen bis hin zu für genau diesen Einsatzzweck entwickelter Schadsoftware. Dabei weisen APT-Angriffe keine einheitlichen Muster auf, wie forensische Analysen belegen.

Organisierte Cyber-Kriminelle greifen in der Regel bei finanziell lohnenswerten Zielen auf APTs zurück. Nach dem ersten Eindringen in den Rechner eines Opfers oder einer abgegrenzten Gruppe wird der Zugriff auf die Unternehmensinfrastruktur ausgeweitet.

Es können Monate oder sogar Jahre vergehen, in denen einmal injizierter Schadcode im Verborgenen wirkt und sensible Informationen abzieht. Das können beispielsweise Quellcodes, Konstruktionspläne oder Kundendaten sein.

Diese komplexe Vorgehensweise grenzt APTs von der typischen Malware ab, die auf schnellen Erfolg abzielt. Es geht den Angreifern weniger um die Manipulation von Online-Banking oder um das Sammeln von Zugangsdaten zu Online-Shops. Es geht vor allem darum, gezielt jene Unternehmen auszuspähen, die aufgrund ihres technologischen Vorsprungs potenziell lukrativ sind.

Das Schema des Angriffs verläuft in mehreren Stufen: Zunächst einmal wählen die Angreifer das Zielsystem oder die Zielsysteme aus. Von dort aus unterwandern sie sukzessive die gesamte IT-Infrastruktur, um an vertrauliche Daten zu gelangen, die beispielsweise auf File-Servern oder in E-Mail-Archiven liegen.

Erkennen ist nicht gleich Abwehren

Will man APTs abwehren, erkennen und beseitigen, braucht man also zwingend ein Konzept, das in alle Stadien eines APT-Lebenszyklus eingreifen kann – nicht nur an ein oder zwei singulären Punkten. Zu den Mechanismen zählen das Blocken eines Spear-Phishing-Angriffs, das Identifizieren von Zero-Day-Attacken und das Erkennen verdächtigen Netzwerk- und Internet-Datenverkehrs.

Es geht also darum, die unterschiedlichen Elemente, aus denen ein APT-Angriff zusammengebaut sein kann, zunächst grundlegend zu verstehen, um ihn abwehren zu können. Dann kommen für jedes Stadium des Angriffs die Abwehrstrategien und technische Tools zum Einsatz, die am effektivsten wirken.

Wie läuft ein zielgerichteter Angriff ab?

In Phase eins wird das Opfer ausgespäht. Die Angreifer holen Erkundigungen ein, die einer Attacke zum Erfolg verhelfen können. Dazu ist das Wissen unerlässlich, wer welche strategischen Positionen im Unternehmen inne hat und wer auf die gewünschten Informationen zugreifen kann. Ganz bewusst verzichten Angreifer auf einen frontalen Angriff zugunsten des verschleiernden Umwegs.

Ist die Zielperson ausgemacht, wird in Phase zwei die Infektion des entsprechenden Systems gestartet. Dazu wird das potenzielle Opfer mit Malware in Kontakt gebracht: Social-Engineering-Methoden motivieren den Betroffenen beispielsweise, auf einen verseuchten Link oder eine infizierte Datei zu klicken. Bei einer erfolgreichen Infektion folgt nahtlos die dritte Phase, in der ein Hacker die Kontrolle über die Infrastruktur übernimmt.

Trojaner wie der altbekannte „Zeus“ oder „Poison Ivy“ beginnen mit dem Ausspähen innerhalb des Unternehmens. Dabei wandert die Malware nicht selten vom Client zum Server, um sich dort nach den gewünschten Informationen umzusehen. In der letzten Phase schließlich werden die Daten abgezogen.

Die eigentlich kritische Phase eines APT ist also die Erstinfektion eines Zielrechners. Um sich davor erfolgreich zu schützen, müssen verschiedene Tools und Techniken ineinandergreifen:

  • der Schutz vor Schwachstellen,
  • Virenschutz,
  • Black-Lists und Sicherheits-Feeds,
  • diese kombiniert mit dem bidirektionalen Scannen des Datenverkehrs in Echtzeit)
  • SSL-Scanning (da der Datenverkehr zunehmend verschlüsselt stattfindet)
  • Technologien zur Verhaltensanalyse
  • Big Data Analysis und Korrelation in Echtzeit

Die sogenannte Verhaltensanalyse sollte soweit wie möglich in Echtzeit ablaufen. Das Ganze hilft aber nur dann, wenn auch wirklich alle Mitarbeiter und Endgeräte in das Schutzkonzept einbezogen werden. Von der Schar der überwiegend oder teilweise mobil Tätigen geht ein großes Gefahrenpotenzial aus. Mobilgeräte fungieren nicht selten als willkommenes Einfallstor ins Netzwerk. Ist die Malware erst einmal eingeschleust bahnt sie sich zügig ihren Weg.

Die Zeit als kritischer Faktor

Je früher die Malware erkannt wird, desto mehr schränkt man die möglichen Auswirkungen eines Angriffs ein. Um solche Szenarien zu erkennen, muss eine Lösung den zwischen Menschen ausgetauschten Datenverkehr und Bot-Traffic unterscheiden. Dazu zählen anormale Traffic-Muster wie Anonymisierer, P2P-Traffic oder Datenströme, die verdächtige Länder oder Ziele ansteuern, sowie Botnets, die ihre Signale nach Hause schicken.

Handelt es sich tatsächlich um einen APT-Angriff, ist die oberste Priorität den Schaden zu begrenzen und zu verhindern, dass noch weitere Ressourcen angezapft werden. Der Schädling muss dazu so schnell wie möglich isoliert und beseitigt werden. Dabei helfen Reporting in Echtzeit und Online-Verhaltensanalysen.

Will man SIEM-Lösungen (Security Information and Event Management) einsetzen, funktioniert das nur dann, wenn man die Log-Daten über die verschiedenen, eingesetzten Lösungen hinweg korrelieren kann. Durch granulare User-Policies und Reports können so auch einzelne Anwender vom Netzwerk isoliert werden. Und nicht zuletzt sollte man natürlich den Zugriff auf vertrauliche Informationen blockieren, bis der Schädling definitiv beseitigt ist.

Eine verhältnismäßig junge Gefahr

Als APTs zum ersten Mal auftraten, brach so etwas wie eine Goldgräberstimmung in Sachen tauglicher Abwehrmechanismen aus. Etliche Strategien und Technologien überschwemmten den Markt. Existierende Sicherheitslösungen wurden aufgerüstet, Next Generation Firewalls, Intrusion Prevention und E-Mail-Sicherheitslösungen erweitert.

Die Anbieter traditioneller Virenschutz- und Malware-Endpoint-Security-Lösungen entwickelten wiederum eigenständige APT-Ansätze. Allerdings greifen viele Konzepte zu kurz, denn sie betrachten nicht den gesamten Lebenszyklus eines APT. Man brauchte einen grundlegend neuen Ansatz. Aktuell bietet der Markt in dieser verhältnismäßig jungen Sicherheitskategorie im Wesentlichen zwei verschiedene Lösungsansätze.

Schutz durch Hardware-Appliances

Einige Appliance-Lösungen haben sich zwar auf Advanced Persistent Threats spezialisiert, können die Angriffe aber lediglich erkennen und davor warnen, andere haben zusätzliche Mechanismen im Gepäck, um APTs zu blockieren und abzuwehren. Üblich ist es, die Appliances am Perimeter des Unternehmensnetzwerks einzusetzen, wo dann der Datenverkehr ins Netzwerk und aus dem Netzwerk heraus gescannt wird.

Appliances setzen dabei meistens auf irgendeine Art von Sandboxing sowie auf Techniken zur Verhaltensanalyse. Dazu kommen Cloud-basierte Updates um die Bibliotheken zu aktualisieren, Reputations-Indexe helfen, potenziell schädlichen Traffic zu klassifizieren. Das größte Problem der Appliance-basierten Lösungen bei den zur Verfügung stehenden Schutzmaßnahmen, weniger beim Erkennen der Gefahr.

In der Ära mobiler Geräte und Mitarbeiter und bei immer weniger VPNs, findet ein Großteil des Datenverkehrs außerhalb der Grenzen des Unternehmensnetzwerkes statt. Deswegen „sehen“ Appliance-basierte Lösungen zunehmend weniger des unternehmenseigenen Datenverkehrs. Appliances sind in der Regel nicht ganz billig.

Auch der vergleichsweise hohe Verwaltungsaufwand ist eine Hürde auch kleine Unternehmenseinheiten (und nicht nur die Zentrale und die großen Zweigstellen) in das Sicherheitskonzept miteinzubeziehen. Unglücklicherweise haben es APTs gerade auf die Ziele abgesehen, die außerhalb des Netzwerks liegen. Ein einziges ungeschütztes Gerät reicht, um einen Trojaner erfolgreich ins Ziel zu bringen und von dort den Angriff zu starten.

Eine weitere Achillesferse ist der SSL-Datenverkehr, der die Performanz einer Appliance durchaus in die Knie zwingen kann. Verschlüsselter Datenverkehr bedeutet in aller Regel, dass man in leistungsfähigere Boxen mit ausreichender Kapazität investieren muss. Und: die Hauptaufgabe einer Appliance besteht darin, vor Sicherheitsvorfällen zu warnen. Das Verwalten einer weiteren Sicherheits-Appliance am Perimeter oder Gateway ist meistens unbeliebt, denn das bedeutet wieder einen höheren Aufwand beim Administrieren.

Wie Cloud-basierte Lösungen helfen

Cloud-Ansätze sind eine Alternative zu den Appliance-basierten Lösungen. Einer der wesentlichen Vorteile liegt darin, dass sie den gesamten Datenverkehr überwachen, sei es nun innerhalb oder außerhalb der Unternehmensgrenzen – mobil arbeitende Mitarbeiter und deren Endgeräte eingeschlossen.

Eine Cloud-basierte Lösung kann demnach Analysedaten aus dem kompletten Netzwerk sammeln. Die daraus gewonnene, kumulierte Intelligenz lässt sich gezielt einsetzen, um APTs abzuwehren. Obwohl APTs kompliziert aufgebaut sind, bieten sie dennoch Ansatzpunkte, um sich vor ihnen zu schützen. Ideal ist ein mehrschichtiges Konzept, das diese Punkte berücksichtigt und das die mobile Arbeitsrealität miteinbezieht.

Bei einem solchen Ansatz ist es erfolgversprechend, klassische Erkennungsmethoden und neuere Ansätze zu verbinden. Sandboxing und Verhaltensanalyse sind adäquate Mittel, insbesondere wenn ein Scanning in Echtzeit und Big-Data-Analysen zusätzlich greifen. Beim Sandboxing werden verdächtige Dateien in einer virtuellen Umgebung ausgeführt und analysiert, bevor sie weitergeleitet werden.

Fällt beim Ausführen in der Sandbox auf, dass eine Datei ein schädliches Verhalten zeigt, wird sie blockiert. Allerdings sind manche der mit Schadcode behafteten Dateien schon in der Lage, eine Sandboxing-Situation zu erkennen. Reine Sandboxing-Verfahren sind auch dann unwirksam, wenn der Payload – der mit Schadcode behaftete Teil - erst später nachgeladen wird.

Da heute ein Großteil aller Attacken über das Internet gestartet wird, ist es unumgänglich, den Datenverkehr in Echtzeit zu analysieren. Eine Risikobewertung von Webseiten ist ein weiterer Baustein, da sich Webseiten dynamisch für jeden Anwender neu zusammensetzen. Eine reine Webseiten-Kategorisierung reicht also nicht aus. Um das Risiko tatsächlich einzugrenzen, sollten weitere Parameter bei der Bewertung hinzukommen, beispielsweise

  • der Hosting-Standort,
  • die Lebensdauer der Website sowie
  • Verlinkungen und andere Faktoren.

Darüber hinaus sollte jedes Byte des ein- und ausgehenden Datenstroms einer Webseite zusätzlich auf Schadcode hin durchleuchtet werden. Die bidirektionale Code-Analyse erlaubt es beispielsweise, Verschleierungsmethoden (Code Obfuscation) aufzuspüren.

Eine komplette Analyse des Webseiten-Inhalts gehört bei den klassischen Sicherheitsanbietern eher zu den Ausnahmen, da er sich negativ auf die Performance des Gesamtsystems auswirkt. Immer mehr Attacken laufen auch über ungepatchte oder veraltete Browser oder Browser-Plugins, auch hier gilt es die bekannten Attacken auf Java/Flash zu blocken und virtuell zu patchen.

Big Data Analysis

Wenn vielschichtige Untersuchungsmethoden wie Sandboxing, URL-Filter und Code-Analysen zusammenspielen, kostet das Zeit und Ressourcen. Um anormale Verhaltensmuster in Echtzeit aufzuspüren und zu analysieren, müssen umfangreiche Datenbestände miteinander korreliert werden, um dann gegebenenfalls die Reaktion auf Anwenderebene einzuleiten (z.B. das Blockieren einer Webseite).

Eine solche Analyse kann nicht über Endpoint-Security stattfinden, sondern über einen Cloud-basierten Service. Auch wenn Schutzmechanismen am Client als „Last-Defense“ noch ihre Berechtigung haben, sollte ein Schädling im Idealfall gar nicht erst im Unternehmensnetz landen – auch dann nicht, wenn sich die Mitarbeiter außerhalb des Perimeters bewegen.

Über den Autor

Mathias Widler ist als Regional Director DACH & Nordics bei Zscaler verantwortlich für die Geschäftsentwicklung in Zentraleuropa und Skandinavien. Er baut dazu auf seine Erfahrungswerte bei großen Security- und Networking-Firmen wie beispielsweise Kaspersky, A10 Networks, Cisco und Bluecoat.

(ID:42645237)