Advanced Persistent Threats: hochentwickelte Bedrohungen

Anzeige

Beitrag teilen

Advanced Persistent Threats (APT) sind Angriffe, bei denen sich Hacker Zugang zu einem System oder Netzwerk verschaffen und sich dort unbemerkt über einen längeren Zeitraum aufhalten. Für Unternehmen ist dies besonders gefährlich, da Cyberkriminelle hierdurch ständigen Zugriff auf sensible Daten haben.

Aufgrund ihrer ausgeklügelten Ausweich- und Verschleierungstaktiken entgehen diese APT-Angriffe zudem der Entdeckung durch herkömmliche Sicherheitsmaßnahmen. Der folgende Beitrag beschreibt, wie Cyberkriminelle bei ihren Angriffen vorgehen, wie Unternehmen Warnzeichen für einen APT-Angriff erkennen können, sowie Best Practices, um das Risiko dieser Bedrohungen einzudämmen.

Anzeige

Wie Advanced Persistent Threats – APTs funktionieren

APTs richten in der Regel keinen Schaden in Unternehmensnetzwerken oder auf lokalen Rechnern an. Stattdessen ist ihr Ziel meist der Datendiebstahl. Dabei nutzen diese Bedrohungen eine Vielzahl von Techniken, um sich zunächst Zugang zu einem Netzwerk zu verschaffen. Angreifer können beispielweise online Malware verbreiten, Geräte direkt physisch mit Schadware infizieren oder Schwachstellen in Systemen ausnutzen, um Zugang zu geschützten Netzwerken zu erhalten.

Diese Angriffe unterscheiden sich von vielen herkömmlichen Bedrohungen, wie Virus- und Malware-Typen, die immer wieder das gleiche Verhalten zeigen und nur für Angriffe auf verschiedene Systeme oder Unternehmen umfunktioniert werden. APTs verfolgen keinen allgemeinen, breit angelegten Ansatz, sondern werden sorgfältig geplant und mit dem Ziel entwickelt, ein bestimmtes Unternehmen anzugreifen und die dortig bestehenden Sicherheitsmaßnahmen zu umgehen.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Hacker setzen oft auf Phishing

Oft nutzen Hacker vertrauenswürdige Verbindungen, um einen ersten Zugang zu erhalten. So können Angreifer Anmeldedaten von Mitarbeitern oder Geschäftspartnern missbrauchen, die sie beispielsweise durch Phishing-Attacken oder andere Methoden abgegriffen haben. Hierdurch bleiben sie lange genug unentdeckt, um die Systeme und Daten des Unternehmens auszukundschaften und einen strategischen Angriffsplan für den Datendiebstahl zu entwickeln.

Advanced Malware ist entscheidend für den Erfolg eines APT-Angriffs. Sobald das Netzwerk angegriffen wird, kann sich Advanced Malware vor bestimmten Erkennungssystemen verstecken, im Netzwerk von System zu System navigieren, Daten abgreifen und die Netzwerkaktivitäten überwachen. Die Fähigkeit der Kriminellen, eine Advanced Persistent Threat aus der Ferne zu steuern, ist ebenfalls entscheidend. Dies ermöglicht es Hackern, im gesamten Netzwerk des Unternehmens zu navigieren, um kritische Daten zu identifizieren, sich Zugang zu den gewünschten Informationen zu verschaffen und deren Exfiltrierung zu initiieren.

Warnzeichen für Advanced Persistent Threats

Advanced Persistent Threats sind von Natur aus schwer zu erkennen. Tatsächlich verlassen sich diese Art Angriffe auf ihre Fähigkeit, unentdeckt zu bleiben, um ihr Ziel zu erreichen. Es gibt jedoch einige wichtige Warnzeichen, die darauf hinweisen, dass ein Unternehmen möglicherweise von einem APT-Angriff betroffen ist:

  • Eine Zunahme von Log-Ins außerhalb der Arbeitszeiten oder wenn bestimmte Mitarbeiter normalerweise nicht auf das Netzwerk zugreifen würden.
  • Die Entdeckung weit verbreiteter Backdoor-Trojaner: Backdoor-Trojaner werden häufig von Hackern beim Versuch eines APT-Angriffs verwendet, um sicherzustellen, dass sie ihren Zugang zum Netzwerk behalten, selbst wenn ein Benutzer, dessen Anmeldedaten kompromittiert wurden, den Verstoß entdeckt und seine Anmeldedaten ändert.
  • Große, ungewöhnliche Datenströme: Sicherheitsteams sollten auf große Datenströme von internen Ursprüngen zu internen oder externen Computern achten. Diese Ströme sollten sich von der typischen Basislinie des Unternehmens unterscheiden.
  • Entdeckung ungewöhnlicher Datenbündel: Angreifer, die einen Advanced Persistent Threat-Angriff durchführen, bündeln oft Daten innerhalb des Netzwerks, bevor sie versuchen, die Daten hinauszuschleusen. Diese Datenbündel werden oft dort entdeckt, wo Daten im Unternehmen normalerweise nicht gespeichert werden, und sind manchmal in Archivformaten verpackt, die das Unternehmen normalerweise nicht verwenden würde.
  • Erkennen von Pass-the-Hash-Angriffen: Angriffe, bei denen Passwort-Hashes aus Datenbanken oder dem Speicher gestohlen werden, um neue, authentifizierte Sitzungen zu erstellen, werden nicht immer bei APTs verwendet. Jedoch macht die Entdeckung dieser Angriffe im Netzwerk des Unternehmens in jedem Fall weitere Untersuchungen erforderlich.

Advanced Persistent Threats, die früher vor allem auf hochrangige Organisationen oder Unternehmen mit wertvollen Daten abzielten, sind heute immer häufiger auch bei kleineren Unternehmen zu finden. Da Angreifer immer raffiniertere Angriffsmethoden anwenden, müssen Unternehmen jeder Größe darauf achten, strenge Sicherheitsmaßnahmen zu implementieren, die in der Lage sind, diese Bedrohungen zu erkennen und darauf zu reagieren.

Best Practices gegen Advanced Persistent Threats

Tim Bandos, Chief Information Security Officer bei Digital Guardian

Tim Bandos, Chief Information Security Officer bei Digital Guardian

Die Ausweich- und Verschleierungstechniken von Advanced Malware machen viele herkömmliche Sicherheitslösungen bei der Erkennung oder Abwehr von APT-Angriffen unwirksam. Deshalb benötigen Sicherheitsteams Lösungen, die eine kontext- und verhaltensbasierte Erkennung einsetzen, um Malware auf der Grundlage ihrer Aktivitäten und nicht anhand von Signaturen zu identifizieren und zu stoppen. Um die Erkennung von APT-Angriffen zu verbessern, sollten Sicherheitsteams auf erhöhte Bedrohungsaktivitäten oder andere Anomalien in Systemen achten. Auf der Endpunktebene sollte auf Warnzeichen eines APT-Angriffs geachtet werden, wie zum Beispiel die Erkundung von Netzwerken, verdächtige Dateiübertragungen und die Kommunikation mit verdächtigen Command-and-Control-Servern.

Moderne Technologien zur Advanced Threat Detection bieten Sandboxing und Monitoring, um APT-Angriffe zu erkennen. Sandboxing ermöglicht es, die verdächtige Datei in einer isolierten Umgebung auszuführen und zu beobachten, bevor sie im Netzwerk zugelassen wird, und kann dadurch gegebenenfalls eine Bedrohung erkennen, bevor sie die Möglichkeit hat, Systeme zu infiltrieren und Schaden anzurichten.

Prävention und Schutzmaßnahmen gegen APTs

Advanced Malware-Prävention und -Schutzmaßnahmen sollten sich auf die Sicherung von Bedrohungsvektoren (sowohl Infiltrations- als auch Exfiltrationspunkte) konzentrieren, um das Potenzial für eine Infektion und den Diebstahl von Daten zu minimieren. Die Anwendung von Kontrollen an Vektoren wie E-Mail, Internetverbindungen, Dateiübertragungen und USB bietet Schutz vor Advanced Malware-Infektionen für Angriffe im Frühstadium sowie vor Datenexfiltration im Falle einer erfolgreichen Malware-Infektion, die versucht, die letzten Phasen ihres Angriffs durchzuführen. Als letzte Verteidigungslinie sollten alle sensiblen Datenbestände verschlüsselt und alle Schlüssel sicher aufbewahrt werden. So wird gewährleistet, dass der Schaden gering bleibt, selbst wenn das Netzwerk infiltriert wird und der Vorfall unentdeckt bleibt.

Da Social-Engineering-Angriffe enorm verbreitet sind, sollten Unternehmen ihre Mitarbeiter zudem umfassend und kontinuierlich schulen. Phishing-Angriffe sind eine beliebte Methode für APT-Angriffe. Daher ist es wichtig, dass die Mitarbeiter mit den Taktiken von Angreifern vertraut sind. Mit einem mehrschichtigen Ansatz aus verschiedenen Sicherheitstechnologien sowie geschulten Mitarbeitern kann die Verteidigung gegen APT-Angriffe deutlich gestärkt werden.

Mehr bei Digitalguardian.com

 


Über Digital Guardian

Digital Guardian bietet kompromisslose Datensicherheit. Die aus der Cloud bereitgestellte Data Protection Platform wurde speziell entwickelt, um Datenverluste durch Insider-Bedrohungen und externe Angreifer auf den Betriebssystemen Windows, Mac und Linux zu verhindern. Die Digital Guardian Data Protection Platform kann für das gesamte Unternehmensnetzwerk, traditionelle Endpunkte und Cloud-Anwendungen eingesetzt werden. Seit mehr als 15 Jahren ermöglicht es Digital Guardian Unternehmen mit hohem Datenaufkommen, ihre wertvollsten Ressourcen SaaS- oder vollständig Managed-Service-basiert zu schützen. Dank der einzigartigen, richtlinienlosen Datentransparenz und flexiblen Kontrollen von Digital Guardian können Unternehmen ihre Daten schützen, ohne ihre Geschäftsabläufe zu verlangsamen.


 

Passende Artikel zum Thema

Studie: Firmendaten im Darknet – 60 Prozent betroffen

Wie eine aktuelle Studie von 26.000 Unternehmen und 80 Branchen zeigt, stehen im Darknet durch Datenlecks viele deutsche Firmendaten zum ➡ Weiterlesen

Angriffe auf die Lieferkette

Schon immer suchten Angreifer das schwächste Glied in der Kette, um eine Abwehr zu durchbrechen. Das hat sich auch in ➡ Weiterlesen

Entwicklung 2022: Cyberkriminalität, Kriege, Ransomware

In seinem Bericht "2023 State of Malware" stellt Security-Experte Malwarebytes die Entwicklungen des Jahres 2022 zusammen: Geopolitische Cyberkriminalität, Ransomware und ➡ Weiterlesen

Kommt eine neue Ransomware-Ära?

Neueste Forschungsergebnisse zeigen, wie sich die Geschäftsmodelle der Cyberkriminellen verändern können. Trend Micro veröffentlicht eine neue Studie, die sich mit ➡ Weiterlesen

Top Malware im Q1-2023: Qbot, Formbook, Emotet

Der Global Threat Index für das Frühjahr 2023 von Check Point zeigt, dass die Malwares Qbot, Formbook und Emotet am ➡ Weiterlesen

Plus 8 Prozent: Mehr Geld für IT-Sicherheit in Unternehmen

Kleine und mittelständische sowie Großunternehmen in Deutschland haben beschlossen, in den kommenden drei Jahren einen größeren Teil ihres IT-Budgets in ➡ Weiterlesen

70 Prozent der XIoT-Schwachstellen kritisch oder hoch

Der neue State of XIoT Security Report: 2H 2022 zeigt, dass 71 Prozent der Schwachstellen mit dem CVSS v3-Score „kritisch“ (9,0-10) ➡ Weiterlesen

Security Report 2023: Mehr Stör- und Zerstörungs-Malware

Wie der Security Report 2023 von Chech Point zeigt, gibt es eine Zunahme von Cyberangriffen um 38 Prozent und über ➡ Weiterlesen