Advanced Persistent Threats: hochentwickelte Bedrohungen

6. Dezember 2021
| Keine Kommentare

Beitrag teilen

Advanced Persistent Threats (APT) sind Angriffe, bei denen sich Hacker Zugang zu einem System oder Netzwerk verschaffen und sich dort unbemerkt über einen längeren Zeitraum aufhalten. Für Unternehmen ist dies besonders gefährlich, da Cyberkriminelle hierdurch ständigen Zugriff auf sensible Daten haben.

Aufgrund ihrer ausgeklügelten Ausweich- und Verschleierungstaktiken entgehen diese APT-Angriffe zudem der Entdeckung durch herkömmliche Sicherheitsmaßnahmen. Der folgende Beitrag beschreibt, wie Cyberkriminelle bei ihren Angriffen vorgehen, wie Unternehmen Warnzeichen für einen APT-Angriff erkennen können, sowie Best Practices, um das Risiko dieser Bedrohungen einzudämmen.

Wie Advanced Persistent Threats – APTs funktionieren

APTs richten in der Regel keinen Schaden in Unternehmensnetzwerken oder auf lokalen Rechnern an. Stattdessen ist ihr Ziel meist der Datendiebstahl. Dabei nutzen diese Bedrohungen eine Vielzahl von Techniken, um sich zunächst Zugang zu einem Netzwerk zu verschaffen. Angreifer können beispielweise online Malware verbreiten, Geräte direkt physisch mit Schadware infizieren oder Schwachstellen in Systemen ausnutzen, um Zugang zu geschützten Netzwerken zu erhalten.

Diese Angriffe unterscheiden sich von vielen herkömmlichen Bedrohungen, wie Virus- und Malware-Typen, die immer wieder das gleiche Verhalten zeigen und nur für Angriffe auf verschiedene Systeme oder Unternehmen umfunktioniert werden. APTs verfolgen keinen allgemeinen, breit angelegten Ansatz, sondern werden sorgfältig geplant und mit dem Ziel entwickelt, ein bestimmtes Unternehmen anzugreifen und die dortig bestehenden Sicherheitsmaßnahmen zu umgehen.

Hacker setzen oft auf Phishing

Oft nutzen Hacker vertrauenswürdige Verbindungen, um einen ersten Zugang zu erhalten. So können Angreifer Anmeldedaten von Mitarbeitern oder Geschäftspartnern missbrauchen, die sie beispielsweise durch Phishing-Attacken oder andere Methoden abgegriffen haben. Hierdurch bleiben sie lange genug unentdeckt, um die Systeme und Daten des Unternehmens auszukundschaften und einen strategischen Angriffsplan für den Datendiebstahl zu entwickeln.

Advanced Malware ist entscheidend für den Erfolg eines APT-Angriffs. Sobald das Netzwerk angegriffen wird, kann sich Advanced Malware vor bestimmten Erkennungssystemen verstecken, im Netzwerk von System zu System navigieren, Daten abgreifen und die Netzwerkaktivitäten überwachen. Die Fähigkeit der Kriminellen, eine Advanced Persistent Threat aus der Ferne zu steuern, ist ebenfalls entscheidend. Dies ermöglicht es Hackern, im gesamten Netzwerk des Unternehmens zu navigieren, um kritische Daten zu identifizieren, sich Zugang zu den gewünschten Informationen zu verschaffen und deren Exfiltrierung zu initiieren.

Warnzeichen für Advanced Persistent Threats

Advanced Persistent Threats sind von Natur aus schwer zu erkennen. Tatsächlich verlassen sich diese Art Angriffe auf ihre Fähigkeit, unentdeckt zu bleiben, um ihr Ziel zu erreichen. Es gibt jedoch einige wichtige Warnzeichen, die darauf hinweisen, dass ein Unternehmen möglicherweise von einem APT-Angriff betroffen ist:

  • Eine Zunahme von Log-Ins außerhalb der Arbeitszeiten oder wenn bestimmte Mitarbeiter normalerweise nicht auf das Netzwerk zugreifen würden.
  • Die Entdeckung weit verbreiteter Backdoor-Trojaner: Backdoor-Trojaner werden häufig von Hackern beim Versuch eines APT-Angriffs verwendet, um sicherzustellen, dass sie ihren Zugang zum Netzwerk behalten, selbst wenn ein Benutzer, dessen Anmeldedaten kompromittiert wurden, den Verstoß entdeckt und seine Anmeldedaten ändert.
  • Große, ungewöhnliche Datenströme: Sicherheitsteams sollten auf große Datenströme von internen Ursprüngen zu internen oder externen Computern achten. Diese Ströme sollten sich von der typischen Basislinie des Unternehmens unterscheiden.
  • Entdeckung ungewöhnlicher Datenbündel: Angreifer, die einen Advanced Persistent Threat-Angriff durchführen, bündeln oft Daten innerhalb des Netzwerks, bevor sie versuchen, die Daten hinauszuschleusen. Diese Datenbündel werden oft dort entdeckt, wo Daten im Unternehmen normalerweise nicht gespeichert werden, und sind manchmal in Archivformaten verpackt, die das Unternehmen normalerweise nicht verwenden würde.
  • Erkennen von Pass-the-Hash-Angriffen: Angriffe, bei denen Passwort-Hashes aus Datenbanken oder dem Speicher gestohlen werden, um neue, authentifizierte Sitzungen zu erstellen, werden nicht immer bei APTs verwendet. Jedoch macht die Entdeckung dieser Angriffe im Netzwerk des Unternehmens in jedem Fall weitere Untersuchungen erforderlich.

Advanced Persistent Threats, die früher vor allem auf hochrangige Organisationen oder Unternehmen mit wertvollen Daten abzielten, sind heute immer häufiger auch bei kleineren Unternehmen zu finden. Da Angreifer immer raffiniertere Angriffsmethoden anwenden, müssen Unternehmen jeder Größe darauf achten, strenge Sicherheitsmaßnahmen zu implementieren, die in der Lage sind, diese Bedrohungen zu erkennen und darauf zu reagieren.

Best Practices gegen Advanced Persistent Threats

Tim Bandos, Chief Information Security Officer bei Digital Guardian

Tim Bandos, Chief Information Security Officer bei Digital Guardian

Die Ausweich- und Verschleierungstechniken von Advanced Malware machen viele herkömmliche Sicherheitslösungen bei der Erkennung oder Abwehr von APT-Angriffen unwirksam. Deshalb benötigen Sicherheitsteams Lösungen, die eine kontext- und verhaltensbasierte Erkennung einsetzen, um Malware auf der Grundlage ihrer Aktivitäten und nicht anhand von Signaturen zu identifizieren und zu stoppen. Um die Erkennung von APT-Angriffen zu verbessern, sollten Sicherheitsteams auf erhöhte Bedrohungsaktivitäten oder andere Anomalien in Systemen achten. Auf der Endpunktebene sollte auf Warnzeichen eines APT-Angriffs geachtet werden, wie zum Beispiel die Erkundung von Netzwerken, verdächtige Dateiübertragungen und die Kommunikation mit verdächtigen Command-and-Control-Servern.

Moderne Technologien zur Advanced Threat Detection bieten Sandboxing und Monitoring, um APT-Angriffe zu erkennen. Sandboxing ermöglicht es, die verdächtige Datei in einer isolierten Umgebung auszuführen und zu beobachten, bevor sie im Netzwerk zugelassen wird, und kann dadurch gegebenenfalls eine Bedrohung erkennen, bevor sie die Möglichkeit hat, Systeme zu infiltrieren und Schaden anzurichten.

Prävention und Schutzmaßnahmen gegen APTs

Advanced Malware-Prävention und -Schutzmaßnahmen sollten sich auf die Sicherung von Bedrohungsvektoren (sowohl Infiltrations- als auch Exfiltrationspunkte) konzentrieren, um das Potenzial für eine Infektion und den Diebstahl von Daten zu minimieren. Die Anwendung von Kontrollen an Vektoren wie E-Mail, Internetverbindungen, Dateiübertragungen und USB bietet Schutz vor Advanced Malware-Infektionen für Angriffe im Frühstadium sowie vor Datenexfiltration im Falle einer erfolgreichen Malware-Infektion, die versucht, die letzten Phasen ihres Angriffs durchzuführen. Als letzte Verteidigungslinie sollten alle sensiblen Datenbestände verschlüsselt und alle Schlüssel sicher aufbewahrt werden. So wird gewährleistet, dass der Schaden gering bleibt, selbst wenn das Netzwerk infiltriert wird und der Vorfall unentdeckt bleibt.

Da Social-Engineering-Angriffe enorm verbreitet sind, sollten Unternehmen ihre Mitarbeiter zudem umfassend und kontinuierlich schulen. Phishing-Angriffe sind eine beliebte Methode für APT-Angriffe. Daher ist es wichtig, dass die Mitarbeiter mit den Taktiken von Angreifern vertraut sind. Mit einem mehrschichtigen Ansatz aus verschiedenen Sicherheitstechnologien sowie geschulten Mitarbeitern kann die Verteidigung gegen APT-Angriffe deutlich gestärkt werden.

Mehr bei Digitalguardian.com

 

Über Digital Guardian

Digital Guardian bietet kompromisslose Datensicherheit. Die aus der Cloud bereitgestellte Data Protection Platform wurde speziell entwickelt, um Datenverluste durch Insider-Bedrohungen und externe Angreifer auf den Betriebssystemen Windows, Mac und Linux zu verhindern. Die Digital Guardian Data Protection Platform kann für das gesamte Unternehmensnetzwerk, traditionelle Endpunkte und Cloud-Anwendungen eingesetzt werden. Seit mehr als 15 Jahren ermöglicht es Digital Guardian Unternehmen mit hohem Datenaufkommen, ihre wertvollsten Ressourcen SaaS- oder vollständig Managed-Service-basiert zu schützen. Dank der einzigartigen, richtlinienlosen Datentransparenz und flexiblen Kontrollen von Digital Guardian können Unternehmen ihre Daten schützen, ohne ihre Geschäftsabläufe zu verlangsamen.

 

Passende Artikel zum Thema

IT-Sicherheit: NIS-2 macht sie zur Chefsache

Nur bei einem Viertel der deutschen Unternehmen übernimmt die Geschäftsführung die Verantwortung für die IT-Sicherheit. Vor allem in kleineren Unternehmen ➡ Weiterlesen

Anstieg der Cyberangriffe um 104 Prozent in 2023

Ein Unternehmen für Cybersicherheit hat die Bedrohungslandschaft des letzten Jahres unter die Lupe genommen. Die Ergebnisse bieten entscheidende Einblicke in ➡ Weiterlesen

MDR und XDR via Google Workspace

Ob im Cafe, Flughafen-Terminal oder im Homeoffice – Mitarbeitende arbeiten an vielen Orten. Diese Entwicklung bringt aber auch Herausforderungen mit ➡ Weiterlesen

Mobile Spyware ist eine Gefahr für Unternehmen

Sowohl im Alltag als auch in Unternehmen nutzen immer mehr Menschen mobile Geräte. Dadurch nimmt auch die Gefahr von "Mobil ➡ Weiterlesen

Crowdsourced Security lokalisiert viele Schwachstellen

Crowdsourced Security hat im letzten Jahr stark zugenommen. Im öffentlichen Bereich wurden 151 Prozent mehr Schwachstellen gemeldet als im Vorjahr. ➡ Weiterlesen

KI auf Enterprise Storage bekämpft Ransomware in Echtzeit

Als einer der ersten Anbieter integriert NetApp künstliche Intelligenz (KI) und maschinelles Lernen (ML) direkt in den Primärspeicher, um Ransomware ➡ Weiterlesen

Digitale Sicherheit: Verbraucher vertrauen Banken am meisten

Eine Umfrage zum digitalen Vertrauen zeigte, dass Banken, das Gesundheitswesen und Behörden das meiste Vertrauen der Verbraucher genießen. Die Medien- ➡ Weiterlesen

Stellenbörse Darknet: Hacker suchen abtrünnige Insider

Das Darknet ist nicht nur eine Umschlagbörse für illegale Waren, sondern auch ein Ort, an dem Hacker neue Komplizen suchen ➡ Weiterlesen

Storys
, , , , ,