Advanced Persistent Threats: hochentwickelte Bedrohungen

Beitrag teilen

Advanced Persistent Threats (APT) sind Angriffe, bei denen sich Hacker Zugang zu einem System oder Netzwerk verschaffen und sich dort unbemerkt über einen längeren Zeitraum aufhalten. Für Unternehmen ist dies besonders gefährlich, da Cyberkriminelle hierdurch ständigen Zugriff auf sensible Daten haben.

Aufgrund ihrer ausgeklügelten Ausweich- und Verschleierungstaktiken entgehen diese APT-Angriffe zudem der Entdeckung durch herkömmliche Sicherheitsmaßnahmen. Der folgende Beitrag beschreibt, wie Cyberkriminelle bei ihren Angriffen vorgehen, wie Unternehmen Warnzeichen für einen APT-Angriff erkennen können, sowie Best Practices, um das Risiko dieser Bedrohungen einzudämmen.

Anzeige

Wie Advanced Persistent Threats – APTs funktionieren

APTs richten in der Regel keinen Schaden in Unternehmensnetzwerken oder auf lokalen Rechnern an. Stattdessen ist ihr Ziel meist der Datendiebstahl. Dabei nutzen diese Bedrohungen eine Vielzahl von Techniken, um sich zunächst Zugang zu einem Netzwerk zu verschaffen. Angreifer können beispielweise online Malware verbreiten, Geräte direkt physisch mit Schadware infizieren oder Schwachstellen in Systemen ausnutzen, um Zugang zu geschützten Netzwerken zu erhalten.

Diese Angriffe unterscheiden sich von vielen herkömmlichen Bedrohungen, wie Virus- und Malware-Typen, die immer wieder das gleiche Verhalten zeigen und nur für Angriffe auf verschiedene Systeme oder Unternehmen umfunktioniert werden. APTs verfolgen keinen allgemeinen, breit angelegten Ansatz, sondern werden sorgfältig geplant und mit dem Ziel entwickelt, ein bestimmtes Unternehmen anzugreifen und die dortig bestehenden Sicherheitsmaßnahmen zu umgehen.

Hacker setzen oft auf Phishing

Oft nutzen Hacker vertrauenswürdige Verbindungen, um einen ersten Zugang zu erhalten. So können Angreifer Anmeldedaten von Mitarbeitern oder Geschäftspartnern missbrauchen, die sie beispielsweise durch Phishing-Attacken oder andere Methoden abgegriffen haben. Hierdurch bleiben sie lange genug unentdeckt, um die Systeme und Daten des Unternehmens auszukundschaften und einen strategischen Angriffsplan für den Datendiebstahl zu entwickeln.

Advanced Malware ist entscheidend für den Erfolg eines APT-Angriffs. Sobald das Netzwerk angegriffen wird, kann sich Advanced Malware vor bestimmten Erkennungssystemen verstecken, im Netzwerk von System zu System navigieren, Daten abgreifen und die Netzwerkaktivitäten überwachen. Die Fähigkeit der Kriminellen, eine Advanced Persistent Threat aus der Ferne zu steuern, ist ebenfalls entscheidend. Dies ermöglicht es Hackern, im gesamten Netzwerk des Unternehmens zu navigieren, um kritische Daten zu identifizieren, sich Zugang zu den gewünschten Informationen zu verschaffen und deren Exfiltrierung zu initiieren.

Warnzeichen für Advanced Persistent Threats

Advanced Persistent Threats sind von Natur aus schwer zu erkennen. Tatsächlich verlassen sich diese Art Angriffe auf ihre Fähigkeit, unentdeckt zu bleiben, um ihr Ziel zu erreichen. Es gibt jedoch einige wichtige Warnzeichen, die darauf hinweisen, dass ein Unternehmen möglicherweise von einem APT-Angriff betroffen ist:

  • Eine Zunahme von Log-Ins außerhalb der Arbeitszeiten oder wenn bestimmte Mitarbeiter normalerweise nicht auf das Netzwerk zugreifen würden.
  • Die Entdeckung weit verbreiteter Backdoor-Trojaner: Backdoor-Trojaner werden häufig von Hackern beim Versuch eines APT-Angriffs verwendet, um sicherzustellen, dass sie ihren Zugang zum Netzwerk behalten, selbst wenn ein Benutzer, dessen Anmeldedaten kompromittiert wurden, den Verstoß entdeckt und seine Anmeldedaten ändert.
  • Große, ungewöhnliche Datenströme: Sicherheitsteams sollten auf große Datenströme von internen Ursprüngen zu internen oder externen Computern achten. Diese Ströme sollten sich von der typischen Basislinie des Unternehmens unterscheiden.
  • Entdeckung ungewöhnlicher Datenbündel: Angreifer, die einen Advanced Persistent Threat-Angriff durchführen, bündeln oft Daten innerhalb des Netzwerks, bevor sie versuchen, die Daten hinauszuschleusen. Diese Datenbündel werden oft dort entdeckt, wo Daten im Unternehmen normalerweise nicht gespeichert werden, und sind manchmal in Archivformaten verpackt, die das Unternehmen normalerweise nicht verwenden würde.
  • Erkennen von Pass-the-Hash-Angriffen: Angriffe, bei denen Passwort-Hashes aus Datenbanken oder dem Speicher gestohlen werden, um neue, authentifizierte Sitzungen zu erstellen, werden nicht immer bei APTs verwendet. Jedoch macht die Entdeckung dieser Angriffe im Netzwerk des Unternehmens in jedem Fall weitere Untersuchungen erforderlich.

Advanced Persistent Threats, die früher vor allem auf hochrangige Organisationen oder Unternehmen mit wertvollen Daten abzielten, sind heute immer häufiger auch bei kleineren Unternehmen zu finden. Da Angreifer immer raffiniertere Angriffsmethoden anwenden, müssen Unternehmen jeder Größe darauf achten, strenge Sicherheitsmaßnahmen zu implementieren, die in der Lage sind, diese Bedrohungen zu erkennen und darauf zu reagieren.

Best Practices gegen Advanced Persistent Threats

Tim Bandos, Chief Information Security Officer bei Digital Guardian

Tim Bandos, Chief Information Security Officer bei Digital Guardian

Die Ausweich- und Verschleierungstechniken von Advanced Malware machen viele herkömmliche Sicherheitslösungen bei der Erkennung oder Abwehr von APT-Angriffen unwirksam. Deshalb benötigen Sicherheitsteams Lösungen, die eine kontext- und verhaltensbasierte Erkennung einsetzen, um Malware auf der Grundlage ihrer Aktivitäten und nicht anhand von Signaturen zu identifizieren und zu stoppen. Um die Erkennung von APT-Angriffen zu verbessern, sollten Sicherheitsteams auf erhöhte Bedrohungsaktivitäten oder andere Anomalien in Systemen achten. Auf der Endpunktebene sollte auf Warnzeichen eines APT-Angriffs geachtet werden, wie zum Beispiel die Erkundung von Netzwerken, verdächtige Dateiübertragungen und die Kommunikation mit verdächtigen Command-and-Control-Servern.

Moderne Technologien zur Advanced Threat Detection bieten Sandboxing und Monitoring, um APT-Angriffe zu erkennen. Sandboxing ermöglicht es, die verdächtige Datei in einer isolierten Umgebung auszuführen und zu beobachten, bevor sie im Netzwerk zugelassen wird, und kann dadurch gegebenenfalls eine Bedrohung erkennen, bevor sie die Möglichkeit hat, Systeme zu infiltrieren und Schaden anzurichten.

Prävention und Schutzmaßnahmen gegen APTs

Advanced Malware-Prävention und -Schutzmaßnahmen sollten sich auf die Sicherung von Bedrohungsvektoren (sowohl Infiltrations- als auch Exfiltrationspunkte) konzentrieren, um das Potenzial für eine Infektion und den Diebstahl von Daten zu minimieren. Die Anwendung von Kontrollen an Vektoren wie E-Mail, Internetverbindungen, Dateiübertragungen und USB bietet Schutz vor Advanced Malware-Infektionen für Angriffe im Frühstadium sowie vor Datenexfiltration im Falle einer erfolgreichen Malware-Infektion, die versucht, die letzten Phasen ihres Angriffs durchzuführen. Als letzte Verteidigungslinie sollten alle sensiblen Datenbestände verschlüsselt und alle Schlüssel sicher aufbewahrt werden. So wird gewährleistet, dass der Schaden gering bleibt, selbst wenn das Netzwerk infiltriert wird und der Vorfall unentdeckt bleibt.

Da Social-Engineering-Angriffe enorm verbreitet sind, sollten Unternehmen ihre Mitarbeiter zudem umfassend und kontinuierlich schulen. Phishing-Angriffe sind eine beliebte Methode für APT-Angriffe. Daher ist es wichtig, dass die Mitarbeiter mit den Taktiken von Angreifern vertraut sind. Mit einem mehrschichtigen Ansatz aus verschiedenen Sicherheitstechnologien sowie geschulten Mitarbeitern kann die Verteidigung gegen APT-Angriffe deutlich gestärkt werden.

Mehr bei Digitalguardian.com

 


Über Digital Guardian

Digital Guardian bietet kompromisslose Datensicherheit. Die aus der Cloud bereitgestellte Data Protection Platform wurde speziell entwickelt, um Datenverluste durch Insider-Bedrohungen und externe Angreifer auf den Betriebssystemen Windows, Mac und Linux zu verhindern. Die Digital Guardian Data Protection Platform kann für das gesamte Unternehmensnetzwerk, traditionelle Endpunkte und Cloud-Anwendungen eingesetzt werden. Seit mehr als 15 Jahren ermöglicht es Digital Guardian Unternehmen mit hohem Datenaufkommen, ihre wertvollsten Ressourcen SaaS- oder vollständig Managed-Service-basiert zu schützen. Dank der einzigartigen, richtlinienlosen Datentransparenz und flexiblen Kontrollen von Digital Guardian können Unternehmen ihre Daten schützen, ohne ihre Geschäftsabläufe zu verlangsamen.


 

Passende Artikel zum Thema

Angriffe auf die Lieferkette nehmen zu

Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu ➡ Weiterlesen

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

Studie: SOC-Teams haben wenig Zutrauen in ihre Sicherheitstools

Ein führender Anbieter von KI-gestützter erweiterter Erkennung und Reaktion (XDR), hat die Ergebnisse seines neuen Forschungsberichts "2024 State of Threat ➡ Weiterlesen