:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Advanced Persistent Threats (APT) schnell entdecken Untrügliche Hinweise für einen APT-Angriff
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
APT-Hacker vermeiden überprüfbare Ereignisse, Fehlermeldungen oder Betriebsunterbrechungen und zielen auf Datendiebstahl bzw. Systemüberwachung über einen längeren Zeitraum ab. Danach verschwinden sie meist wieder unbemerkt. Kann man etwas erkennen, das still und unbemerkt bleiben soll?
APT-Hacker und -Malware sind verbreiteter und ausgefeilter denn je. Für einige professionelle Hacker, die entweder für einschlägige Branchen oder Nationalstaaten arbeiten, besteht ihre Hauptaufgabe darin, Zugriffe auf vertrauliche Informationen zu erhalten, destruktiven Code einzuschleusen oder versteckte Backdoor-Programme zu platzieren, um es ihnen zu ermöglichen, sich nach Belieben in das Zielnetzwerk oder den Zielcomputer einzuschleichen.
Die meisten APTs verwenden benutzerdefinierten Code für ihre Aktivitäten. Bevorzugen es aber, zumindest anfangs, bekannte Schwachstellen zu nutzen. Wenn ihre Aktivitäten bemerkt werden, ist es für das Opfer schwieriger zu erkennen, dass es sich um einen APT-Angriff und nicht um einen normalen, weniger seriösen Hacker oder ein Malware-Programm handelt. Da APT-Hacker andere Techniken als herkömmliche Hacker nutzen, hinterlassen sie auch andere Spuren. Entscheidend ist dabei: Jede dieser Spuren könnte Teil legitimer Aktionen innerhalb eines jeden Unternehmens sein, jeodch ihre unerwartete Art oder der Umfang der Aktivitäten können auf einen APT-Angriff hindeuten.
Backdoor-Trojaner
APT-Hacker installieren häufig Backdoor-Trojaner-Programme auf kompromittierten Computern. Auf diese Weise stellen sie sicher, dass sie immer wieder eindringen können, selbst wenn die erbeuteten Anmeldedaten geändert wurden und das Opfer einen Hinweis erhält. Ein weiteres Merkmal: Einmal entdeckt, verschwinden APT-Hacker nicht wie normale Angreifer. Warum sollten sie auch? Die Computer in Ihrer Umgebung gehören ihnen. Heutzutage sind Trojaner, die durch Social Engineering eingesetzt werden, eine häufige Möglichkeit, um angegriffen zu werden.
Anmeldungen spät nachts
APTs eskalieren schnell von der Kompromittierung eines einzelnen Computers zur Übernahme mehrerer Computer oder der gesamten Umgebung in nur wenigen Stunden. Dies geschieht, indem sie eine Authentifizierungsdatenbank auslesen, Anmeldedaten stehlen und sie wiederverwenden. Sie finden heraus, welche Benutzer-Konten erhöhte Privilegien und Berechtigungen haben, und gehen dann durch diese Konten, um Ressourcen innerhalb der Umgebung zu kompromittieren. Oft kommt es dann nachts zu einer großen Anzahl von Anmeldungen mit erhöhten Rechten, da die Angreifer am anderen Ende der Welt leben.
Ungeplante Informationsflüsse
Es ist insbesondere auf große, unerwartete Datenströme von internen Ausgangspunkten zu anderen internen Computern oder zu externen Computern zu achten. Das kann von Server zu Server, von Server zu Client oder von Netzwerk zu Netzwerk sein. Diese Datenströme können auch begrenzt, aber gezielt ablaufen, beispielsweise wenn jemand E-Mails aus dem Ausland abruft. Jeder E-Mail-Client sollte anzeigen, wo sich der letzte Benutzer zum Abrufen von E-Mails angemeldet hat und wo die letzte Nachricht abgerufen wurde.
Dies ist schwieriger geworden, da ein Großteil der heutigen Informationsflüsse durch VPNs geschützt wird, in der Regel einschließlich TLS über HTTP (HTTPS). Obwohl dies früher selten der Fall war, blockieren oder fangen viele Unternehmen jetzt den gesamten bisher undefinierten und nicht genehmigten HTTPS-Verkehr ab, indem sie einen Chokepoint für Sicherheitsinspektionsgeräte einsetzen.
Das Gerät „entpackt“ den HTTPS-Verkehr, indem es sein eigenes digitales TLS ersetzt, und agiert als Proxy, der sowohl für die Quelle als auch für das Ziel vorgibt, die andere Seite der Kommunikationstransaktion zu sein. Er entschlüsselt und prüft den Datenverkehr und verschlüsselt die Daten erneut, bevor er sie an die ursprünglichen Kommunikationsziele weiterleitet. Wer diese Vorkehrungen nicht trifft, wird das Leck in den exfiltrierten Daten übersehen. Um einen möglichen APT-Angriff zu erkennen, muss natürlich bekannt sein, wie die Datenströme aussehen, bevor die Umgebung kompromittiert wird.
Unvermutete Datenbündel
APT-Hacker bündeln oft die gestohlenen Daten an internen Sammelstellen, bevor sie sie nach außen transportieren. Daher gilt besondere Aufmerksamkeit für große Datenpakete (Gigabyte, nicht Megabyte), die an Orten auftauchen, an denen diese Daten normalerweise nicht sein dürften, insbesondere wenn sie in Archivformaten komprimiert sind, die das Unternehmen normalerweise nicht verwendet.
Gezielte Spear-Phishing-Kampagnen
Einer der besten Indikatoren sind gezielte Spear-Phishing-E-Mail-Kampagnen gegen die Mitarbeiter eines Unternehmens, bei denen Dokumentdateien (zum Beispiel Adobe Acrobat PDFs, MS-Office-Word, MS-Office-Excel-XLS oder MS-Office-PowerPoint PPTs) mit ausführbarem Code oder bösartigen URL-Links verwendet werden. Dies ist der ursprüngliche Auslöser für die große Mehrheit aller APT-Angriffe.
Das wichtigste Anzeichen ist, dass die Phish-E-Mail des Angreifers nicht an alle Mitarbeiter des Unternehmens gesendet wird, sondern an eine selektivere Zielgruppe von hochrangigen Personen (beispielsweise CEO, CFO, CISO oder Projektleiter) innerhalb des Unternehmens, wobei häufig Informationen verwendet werden, die nur von Eindringlingen in Erfahrung gebracht werden konnten, die bereits zuvor andere Teammitglieder kompromittiert hatten.
Die E-Mails mögen zwar gefälscht sein, aber sie enthalten Schlüsselwörter, die sich auf echte interne, derzeit laufende Projekte und Themen beziehen. Anstelle eines allgemeinen „Hallo, lesen Sie das!“-Phishing-Themas enthalten sie etwas, das beispielsweise für ein laufendes Projekt sehr relevant ist und von einem anderen Teammitglied des Projekts stammt.
(ID:48493920)
:quality(80)/p7i.vogel.de/wcms/2c/de/2cdef9c7a86c5b4b60afbfc392c66726/0105856060.jpeg "Bei der Steganografie wird meist nicht bemerkt, dass sich in Datenordnern noch weitere, verschlüsselte Informationen verbergen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/8b/d78ba399e70fa0fb998b0a66f20c50e1/0112790293.jpeg "Ein Watering-Hole-Angriff umfasst eine Kette von Ereignissen, um Zugriff auf das System eines Opfers zu erhalten. (Bild: giamplume - stock.adobe.com)")