beebright - stock.adobe.com

Advanced Persistent Threats bedrohen Unternehmen zunehmend

Der erfolgreiche APT-Hack ist nur eine Frage der Zeit. Je komplexer und professioneller die Angriffe, umso besser muss die Defensive sein. Etwa beim Thema Threat Hunting.

Advanced Persistent Threats (APT) sind nach wie vor die gefährlichste Variante von Cyberbedrohungen, die den Sicherheitsteams landauf und landab den Schlaf rauben. Doch auch hier gibt es Qualitätsunterschiede.

Cozy Bear (APT 29) und Dynamite Panda (APT 18) spielen sicher in der ersten Liga, was nicht sonderlich überrascht. Denn sie gehen direkt von den Nationalstaaten Russland und China aus. Die dahinterstehenden Gruppen haben deswegen fast unbegrenzte Ressourcen. Das erschließt den Akteuren uneingeschränkten Zugang zu Fachwissen, Technologien, Geheimdienstinformationen und Geld. Das Ergebnis sind Angriffe, die weitaus raffinierter, schwerer zu entdecken und gefährlicher sind als rein wirtschaftlich motivierte Attacken.

Viele Verantwortliche gehen fälschlicherweise davon aus, dass sich solche fortschrittlichen Angriffe auf große Ziele, also Regierungen oder multinationale Unternehmen beschränken und die Urheber nur dort spionieren, geistiges Eigentum stehlen oder Infrastruktur zerstören wollen. Das ist leider falsch.

Fakt ist, dass heute jeder Betrieb Opfer von sehr fortschrittlichen komplexen Angriffen werden kann. Ein Grund dafür ist, dass auch kleinere Organisationen oft eine Art Brückenkopf für Bedrohungsakteure darstellen. Die nächste Stufe ist dann der Angriff auf größere Unternehmen oder Regierungsorganisationen, die durch verschiedene Abläufe verbunden sind, wie etwa durch eine Lieferkette. Zudem sind nicht nur groß aufgestellte Akteure wie Cozy Bear und Dynamite Panda sind in der Lage, sehr komplexe und fortschrittliche Angriffe durchzuführen.

Auch kleinere Gruppen nutzen fortschrittliche APTs

Ende 2016 und Anfang 2017 stellte die Gruppe Shadow Brokers Cyber-Tools ins Internet, die angeblich von der NSA gestohlen worden waren. Solche oder vergleichbare Tool-Dumps, sowohl im Clear als auch im Dark Web, haben Technologien, die zuvor nur von staatlich unterstützten Bedrohungsgruppen zur Verfügung standen, für weitaus weniger kompetente Angreifer mit nur schwachen eigenen Ressourcen zugänglich gemacht.

Darüber hinaus – und in vielerlei Hinsicht sogar noch besorgniserregender – gibt es immer mehr APT-as-a-Service-Beispiele. Sowohl Kaspersky Labs als auch Bitdefender haben Angriffe dokumentiert, bei denen offensichtlich hochkompetente APT-Söldner im Auftrag kleinere kommerzielle Organisationen im Blick hatten. Bei diesen Auftragsangriffen ging es offenbar rein um das Geld.

All dies bedeutet, dass aktuell sämtliche Unternehmen, egal ob groß oder klein, darauf vorbereitet sein müssen, sich gegen sehr ausgefeilte Angriffe zu verteidigen. Dabei können sie aber von den Erfahrungen der weltweit größten Organisationen lernen, die sich schon seit längerem gegen Advanced Persistant Threats verteidigen – unabhängig vom Reifegrad der jeweiligen Cybersicherheitsprogramme.

Schutz vor Advanced Persistant Threats

Die folgenden Grundsätze sollte dabei niemand außer Acht lassen, der sein Unternehmen oder seine Organisation gegen APTs schützen will:

Normalzustand Kompromittierung: Überspitzt gesagt: Es gibt nur zwei Arten von Organisationen: Solche, die gehackt wurden, und solche, die es nur noch nicht wissen. APTs haben Social Engineering zu einer wahren Kunstform gemacht, die früher oder später Erfolg haben werden. Hacker werden sich ihren Weg in jedes Netzwerk bahnen. Erst wer das akzeptiert hat, kann und wird aktiv nach den Angreifern im Netz suchen.

Proaktiv statt reaktiv: Wer akzeptiert, dass Kompromittierungen geschehen werden, ist sich bewusst, dass Abwehr-Tools nicht jeden Angriff verhindern können. Auf den Alarm zu warten ist überholt, und damit auch falsch. Die Abwehr muss früher aktiv werden. Proaktives Threat Hunting wird daher die entscheidende Komponente aller modernen Sicherheitsprogramme. Ein Threat-Hunting-Team sucht unter den Daten im Kontext von Abläufen, Anwendungen und Daten nach Bedrohungen, um versteckte Angriffe schnell aufzuspüren, die bereits im Hintergrund aktiv sind.

Schnelle Reaktion: In der Vergangenheit haben Sicherheitsteams stufenweise auf Ereignisse reagiert. Nach einem Alarm sammelten die Verantwortlichen weitere Informationen. Das zog oft den Einsatz weiterer Tools und Folgeuntersuchungen nach sich. Erst danach begann man endlich, die Gefahr einzudämmen und zu entfernen.

Ein solcher Ansatz ist zu langsam und gibt einem raffinierten Angreifer genügend Zeit, die Zielumgebung zu verstehen und seinerseits mit der aktiven Abwehr gegen die Unternehmensabwehr zu beginnen. Das erschwert die Lösung der Probleme erheblich. Effizient aufgestellte Sicherheitsteams wissen dagegen, welche Sofortmaßnahmen in bestimmten Situationen ergriffen werden müssen. Zudem validieren sie die Vorfälle und angemessene Reaktionen. Außerdem untersuchen sie, welche Bereiche von automatisierten Abwehrmaßnahmen profitieren.

Daniel Clayton, Bitdefender

„Tatsächlich scheint es so, als dass APT-Angriffe immer erfolgreicher würden. Sicherheitsteams können jedoch mit einem effektiven Sicherheitsprogramm dagegenhalten.“

Daniel Clayton, Bitdefender

Am Menschen führt kein Weg vorbei: Künstliche Intelligenz und die Algorithmen des maschinellen Lernens können dabei helfen, Angreifer zu erkennen. Doch solche Technologien allein, egal wie ausgeklügelt sie auch sein mögen, können niemals die Intuition eines hochqualifizierten, motivierten Teams aus menschlichen Experten ersetzen.

Ohne gut geschulte und erfahrene Sicherheitsanalysten, die mit den APT-Akteuren auf Augenhöhe sind, verlieren interne Sicherheitsteams häufiger, als dass sie gewinnen. Ein effektives Sicherheitsprogramm benötigt deshalb ein Bündel mit fortschrittlichen Technologien und Experten, die diese für sich nutzen. Da die Gegenseite global agiert, muss das Abwehrzentrum rund um die Uhr und keinesfalls nur zu lokalen Bürozeiten besetzt sein.

Neuaufstellung für die Defensive

Tatsächlich scheint es so, als ob APT-Angriffe immer erfolgreicher würden. Sicherheitsteams können jedoch mit einem effektiven Sicherheitsprogramm dagegenhalten. Das beginnt bei der Erkenntnis, dass es keine hundertprozentige Sicherheit gibt, Hacker sich bereits im Netzwerk befinden oder bald dort ankommen werden.

Diese Erkenntnis ebnet den Weg zu einer schnellen effektiven Abwehr, für die der Faktor Mensch nach wie vor unverzichtbar ist. Darüber hinaus brauchen Unternehmen einen präventiv festgelegten Maßnahmenkatalog zur Abwehr. Die darin definierten Abläufe verbessern Cyberabwehrprogramme jeder Reifestufe in den verschiedenen Organisationen bei ihrer Hauptaufgabe: Den Schutz gegen immer komplexere Angriffe.

Über den Autor:
Daniel Clayton ist Vice President of Global Services and Support bei Bitdefender. Zu seinen Aufgaben gehört die Verwaltung aller Aspekte der Sicherheitsumgebungen von Kunden vom Security Operation Center des Unternehmens aus. Clayton verfügt über mehr als 30 Jahre Erfahrung im technischen Betrieb und hat Sicherheitsteams für die National Security Agency und den britischen Geheimdienst geleitet.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management