Zielgerichtete Angriffe

Was ist so „Advanced“ an APTs?

Seite: 3/3

Firmen zum Thema

Flexible Verteidigung

Sind die wertvollen Daten nicht durch eine starke Verschlüsselung geschützt, werden sie in kleinen Portionen an die Systeme der Online-Spione gesendet. Herkömmliche Verteidigungsmechanismen laufen ins Leere – denn das Ziel der Cyberspionage ist es ja, genau diese Standardmechanismen zu durchbrechen.

Deshalb erfordern gezielte Angriffe auch gezielte Verteidigungsmechanismen. Sicherheitsverantwortliche müssen diese Angriffe nicht nur erkennen und analysieren können, sondern auch in kürzester Zeit in der Lage sein, ihre Schutzmechanismen anzupassen.

Nur wenn das Verhalten und die Kommunikation der IT-Ressourcen in Echtzeit überwacht und analysiert werden, lassen sich der Abfluss wertvoller Daten verhindern und die Infektion durch einen gezielten Angriff identifizieren und bekämpfen. Dazu müssen die sicherheitsrelevanten Ereignisse nicht nur gesammelt und einzeln ausgewertet, sondern für die Analyse auch miteinander korreliert werden.

Das Wesen der gezielten Angriffe besteht unter anderem in ihrem komplexen, mehrstufigen Aufbau, so dass erst die Summe der Einzelereignisse Hinweise auf Gefahren gibt. Das heißt aber auch: Wir sprechen hier nicht nur von technischen Herausforderungen – oft fehlen die personellen Ressourcen, Angriffen nachzugehen und zu identifizieren.

... in vier Schritten

Wie also können sich Unternehmen gegen gezielte Angriffe wappnen? Im ersten Schritt geht es darum, das Netzwerk nach verdächtiger Netzwerkkommunikation, auffälligen Verhaltensmustern und nach Zero-Day-Malware – das heißt noch unbekanntem Schadcode – zu durchsuchen, die für herkömmliche Sicherheitslösungen unsichtbar sind. Auch müssen Angriffe erkannt und blockiert werden, die über die eingangs erwähnten E-Mails – ob privat oder geschäftlich –, über Social-Media-Anwendungen oder mobile Geräte erfolgen.

Wenn benutzerdefinierte „Sandkästen“ – sogenannte „Sandboxes“ - genutzt werden, lassen sich gleich mehrere Ziele gleichzeitig verfolgen: Zum einen wird die tatsächliche IT-Umgebung besser abgebildet und zum anderen wird die Bestimmung erleichtert, ob das Unternehmen kompromittiert wurde. Einbußen bei der Netzwerk-Performance muss man dabei nicht befürchten.

Auf das Aufspüren folgt die genaue Analyse. Die IT-Verantwortlichen können nun ein genaues Profil des Angriffs erstellen und dessen Risiken, Ursprung und Eigenschaften einschätzen. Sie erhalten auch direkt nutzbare Informationen, wie sie den Angriff eindämmen und beseitigen können.

Um ihre Schutzmechanismen sofort anpassen und gegen weitere Angriffe stärken zu können, müssen IT-Verantwortliche nun maßgeschneiderte Gegenmaßnahmen erstellen; hierzu zählen beispielsweise IP-Blacklists oder ein individueller Schutz vor Spear-Phishing-Angriffen. Dazu müssen benutzerdefinierte Sicherheits-Updates an die Lösungen am Gateway, den Endpunkten und Servern gesendet werden, idealerweise können Sicherheits-Updates auch an Sicherheitslösungen anderer Sicherheitsanbieter gesendet werden.

Im letzten Schritt geht es dann darum, die einzelnen Informationen in einer Gesamtübersicht zusammenzuführen. Die Unternehmensverantwortlichen erhalten dann gewissermaßen einen 360-Grad-Überblick und sehen, welche Informationen gezielt angegangen wurden und wie der Angriff ablief – und können dann die passende Antwort geben.

* Tobias Schubert ist Technical Consultant beim japanischen IT-Sicherheitsanbieter Trend Micro.

(ID:43436720)