Advanced Persistent Threats (APT) sind Angriffe, bei denen sich Hacker Zugang zu einem System oder Netzwerk verschaffen und sich dort unbemerkt über einen längeren Zeitraum aufhalten. Für Unternehmen ist dies besonders gefährlich, da Cyberkriminelle hierdurch ständigen Zugriff auf sensible Daten haben.
Aufgrund ihrer ausgeklügelten Ausweich- und Verschleierungstaktiken entgehen diese APT-Angriffe zudem der Entdeckung durch herkömmliche Sicherheitsmaßnahmen. Der folgende Beitrag beschreibt, wie Cyberkriminelle bei ihren Angriffen vorgehen, wie Unternehmen Warnzeichen für einen APT-Angriff erkennen können, sowie Best Practices, um das Risiko dieser Bedrohungen einzudämmen.
Wie Advanced Persistent Threats – APTs funktionieren
APTs richten in der Regel keinen Schaden in Unternehmensnetzwerken oder auf lokalen Rechnern an. Stattdessen ist ihr Ziel meist der Datendiebstahl. Dabei nutzen diese Bedrohungen eine Vielzahl von Techniken, um sich zunächst Zugang zu einem Netzwerk zu verschaffen. Angreifer können beispielweise online Malware verbreiten, Geräte direkt physisch mit Schadware infizieren oder Schwachstellen in Systemen ausnutzen, um Zugang zu geschützten Netzwerken zu erhalten.
Diese Angriffe unterscheiden sich von vielen herkömmlichen Bedrohungen, wie Virus- und Malware-Typen, die immer wieder das gleiche Verhalten zeigen und nur für Angriffe auf verschiedene Systeme oder Unternehmen umfunktioniert werden. APTs verfolgen keinen allgemeinen, breit angelegten Ansatz, sondern werden sorgfältig geplant und mit dem Ziel entwickelt, ein bestimmtes Unternehmen anzugreifen und die dortig bestehenden Sicherheitsmaßnahmen zu umgehen.
Hacker setzen oft auf Phishing
Oft nutzen Hacker vertrauenswürdige Verbindungen, um einen ersten Zugang zu erhalten. So können Angreifer Anmeldedaten von Mitarbeitern oder Geschäftspartnern missbrauchen, die sie beispielsweise durch Phishing-Attacken oder andere Methoden abgegriffen haben. Hierdurch bleiben sie lange genug unentdeckt, um die Systeme und Daten des Unternehmens auszukundschaften und einen strategischen Angriffsplan für den Datendiebstahl zu entwickeln.
Advanced Malware ist entscheidend für den Erfolg eines APT-Angriffs. Sobald das Netzwerk angegriffen wird, kann sich Advanced Malware vor bestimmten Erkennungssystemen verstecken, im Netzwerk von System zu System navigieren, Daten abgreifen und die Netzwerkaktivitäten überwachen. Die Fähigkeit der Kriminellen, eine Advanced Persistent Threat aus der Ferne zu steuern, ist ebenfalls entscheidend. Dies ermöglicht es Hackern, im gesamten Netzwerk des Unternehmens zu navigieren, um kritische Daten zu identifizieren, sich Zugang zu den gewünschten Informationen zu verschaffen und deren Exfiltrierung zu initiieren.
Warnzeichen für Advanced Persistent Threats
Advanced Persistent Threats sind von Natur aus schwer zu erkennen. Tatsächlich verlassen sich diese Art Angriffe auf ihre Fähigkeit, unentdeckt zu bleiben, um ihr Ziel zu erreichen. Es gibt jedoch einige wichtige Warnzeichen, die darauf hinweisen, dass ein Unternehmen möglicherweise von einem APT-Angriff betroffen ist:
- Eine Zunahme von Log-Ins außerhalb der Arbeitszeiten oder wenn bestimmte Mitarbeiter normalerweise nicht auf das Netzwerk zugreifen würden.
- Die Entdeckung weit verbreiteter Backdoor-Trojaner: Backdoor-Trojaner werden häufig von Hackern beim Versuch eines APT-Angriffs verwendet, um sicherzustellen, dass sie ihren Zugang zum Netzwerk behalten, selbst wenn ein Benutzer, dessen Anmeldedaten kompromittiert wurden, den Verstoß entdeckt und seine Anmeldedaten ändert.
- Große, ungewöhnliche Datenströme: Sicherheitsteams sollten auf große Datenströme von internen Ursprüngen zu internen oder externen Computern achten. Diese Ströme sollten sich von der typischen Basislinie des Unternehmens unterscheiden.
- Entdeckung ungewöhnlicher Datenbündel: Angreifer, die einen Advanced Persistent Threat-Angriff durchführen, bündeln oft Daten innerhalb des Netzwerks, bevor sie versuchen, die Daten hinauszuschleusen. Diese Datenbündel werden oft dort entdeckt, wo Daten im Unternehmen normalerweise nicht gespeichert werden, und sind manchmal in Archivformaten verpackt, die das Unternehmen normalerweise nicht verwenden würde.
- Erkennen von Pass-the-Hash-Angriffen: Angriffe, bei denen Passwort-Hashes aus Datenbanken oder dem Speicher gestohlen werden, um neue, authentifizierte Sitzungen zu erstellen, werden nicht immer bei APTs verwendet. Jedoch macht die Entdeckung dieser Angriffe im Netzwerk des Unternehmens in jedem Fall weitere Untersuchungen erforderlich.
Advanced Persistent Threats, die früher vor allem auf hochrangige Organisationen oder Unternehmen mit wertvollen Daten abzielten, sind heute immer häufiger auch bei kleineren Unternehmen zu finden. Da Angreifer immer raffiniertere Angriffsmethoden anwenden, müssen Unternehmen jeder Größe darauf achten, strenge Sicherheitsmaßnahmen zu implementieren, die in der Lage sind, diese Bedrohungen zu erkennen und darauf zu reagieren.
Best Practices gegen Advanced Persistent Threats
Tim Bandos, Chief Information Security Officer bei Digital Guardian
Die Ausweich- und Verschleierungstechniken von Advanced Malware machen viele herkömmliche Sicherheitslösungen bei der Erkennung oder Abwehr von APT-Angriffen unwirksam. Deshalb benötigen Sicherheitsteams Lösungen, die eine kontext- und verhaltensbasierte Erkennung einsetzen, um Malware auf der Grundlage ihrer Aktivitäten und nicht anhand von Signaturen zu identifizieren und zu stoppen. Um die Erkennung von APT-Angriffen zu verbessern, sollten Sicherheitsteams auf erhöhte Bedrohungsaktivitäten oder andere Anomalien in Systemen achten. Auf der Endpunktebene sollte auf Warnzeichen eines APT-Angriffs geachtet werden, wie zum Beispiel die Erkundung von Netzwerken, verdächtige Dateiübertragungen und die Kommunikation mit verdächtigen Command-and-Control-Servern.
Moderne Technologien zur Advanced Threat Detection bieten Sandboxing und Monitoring, um APT-Angriffe zu erkennen. Sandboxing ermöglicht es, die verdächtige Datei in einer isolierten Umgebung auszuführen und zu beobachten, bevor sie im Netzwerk zugelassen wird, und kann dadurch gegebenenfalls eine Bedrohung erkennen, bevor sie die Möglichkeit hat, Systeme zu infiltrieren und Schaden anzurichten.
Prävention und Schutzmaßnahmen gegen APTs
Advanced Malware-Prävention und -Schutzmaßnahmen sollten sich auf die Sicherung von Bedrohungsvektoren (sowohl Infiltrations- als auch Exfiltrationspunkte) konzentrieren, um das Potenzial für eine Infektion und den Diebstahl von Daten zu minimieren. Die Anwendung von Kontrollen an Vektoren wie E-Mail, Internetverbindungen, Dateiübertragungen und USB bietet Schutz vor Advanced Malware-Infektionen für Angriffe im Frühstadium sowie vor Datenexfiltration im Falle einer erfolgreichen Malware-Infektion, die versucht, die letzten Phasen ihres Angriffs durchzuführen. Als letzte Verteidigungslinie sollten alle sensiblen Datenbestände verschlüsselt und alle Schlüssel sicher aufbewahrt werden. So wird gewährleistet, dass der Schaden gering bleibt, selbst wenn das Netzwerk infiltriert wird und der Vorfall unentdeckt bleibt.
Da Social-Engineering-Angriffe enorm verbreitet sind, sollten Unternehmen ihre Mitarbeiter zudem umfassend und kontinuierlich schulen. Phishing-Angriffe sind eine beliebte Methode für APT-Angriffe. Daher ist es wichtig, dass die Mitarbeiter mit den Taktiken von Angreifern vertraut sind. Mit einem mehrschichtigen Ansatz aus verschiedenen Sicherheitstechnologien sowie geschulten Mitarbeitern kann die Verteidigung gegen APT-Angriffe deutlich gestärkt werden.
Mehr bei Digitalguardian.com
Über Digital Guardian Digital Guardian bietet kompromisslose Datensicherheit. Die aus der Cloud bereitgestellte Data Protection Platform wurde speziell entwickelt, um Datenverluste durch Insider-Bedrohungen und externe Angreifer auf den Betriebssystemen Windows, Mac und Linux zu verhindern. Die Digital Guardian Data Protection Platform kann für das gesamte Unternehmensnetzwerk, traditionelle Endpunkte und Cloud-Anwendungen eingesetzt werden. Seit mehr als 15 Jahren ermöglicht es Digital Guardian Unternehmen mit hohem Datenaufkommen, ihre wertvollsten Ressourcen SaaS- oder vollständig Managed-Service-basiert zu schützen. Dank der einzigartigen, richtlinienlosen Datentransparenz und flexiblen Kontrollen von Digital Guardian können Unternehmen ihre Daten schützen, ohne ihre Geschäftsabläufe zu verlangsamen.