Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Email Security

    Alles über fortgeschrittene anhaltende Bedrohungen und Schutz

    Fortgeschrittene anhaltende Bedrohungen (Advanced Persistent Threats, APTs) sind kostspielige und aufsehenerregende Angriffe, aber ein erhöhtes Bewusstsein und mehrere Sicherheitsebenen können helfen, ihre Auswirkungen zu verhindern oder zu begrenzen.

    by Stephanie Overby
    1210303038.jpg

    Wichtige Punkte

    • Die jüngsten Mega-Einbrüche haben das Ausmaß und die Auswirkungen von immer raffinierteren fortschrittlichen Bedrohungen (Advanced Persistent Threats, APTs) deutlich gemacht.
    • APTs - bei denen sich Angreifer Zugang zu einem Netzwerk verschaffen und dort über einen längeren Zeitraum unentdeckt bleiben - stellen ein potenziell verheerendes Risiko für die finanziellen Vermögenswerte, das geistige Eigentum und vertrauliche Informationen von Unternehmen dar.
    • Während diese APT-Malware-Angriffe kostspielig sein können, können sie mit einem vielschichtigen und kooperativen Ansatz zur Cybersicherheit und Erkennung minimiert oder vereitelt werden.

    Es werden immer mehr Details über den Mega-Angriff bekannt, der erstmals im Dezember 2020 publik wurde. Den Angreifern gelang es, in die Systeme von mehr als 100 Privatunternehmen und fast einem Dutzend US-Regierungsbehörden (darunter das Außen-, Energie- und Heimatschutzministerium) einzudringen. Dazu nutzten sie eine Reihe von Software- und Cloud-Hosting-Diensten sowie APT-Malware-Techniken.

    Führungskräfte aus der Computerindustrie haben vor einem Ausschuss des US-Senats ausgesagt, dass wahrscheinlich mindestens 1.000 qualifizierte Ingenieure am Werk waren. Am ernüchterndsten ist vielleicht die Erkenntnis, dass der Angriff nicht nur noch schlimmer hätte ausfallen können, sondern dass er sehr wohl noch mehr Schaden anrichten könnte, da die APT-Malware in einigen Netzwerken unentdeckt bleiben könnte.

    Anfang Januar bestätigte die Cybersecurity & Infrastructure Security Agency, dass der weit verbreitete Angriff das Werk eines APT-Akteurs war, wahrscheinlich eines Nationalstaates, der Informationen sammeln wollte.[1] Seitdem ist der massive und ausgeklügelte Angriff zu einem Aushängeschild für APT-Malware geworden.

    Um dieser modernsten aller Cyberbedrohungen vorzubeugen oder sie zu neutralisieren, sollten sich Unternehmen eine Scheibe von den APT-Teams abschneiden und ihr eigenes Netzwerk und dessen Schwachstellen von allen Seiten betrachten. Durch ein besseres Verständnis und die Behebung von Schwachstellen in der Infrastruktur, einen besseren Schutz vor ungewöhnlichen Zugriffen und Aktivitäten sowie die Schulung der Mitarbeiter können Unternehmen diesen APTs direkt entgegentreten.

    Fortgeschrittene persistente Bedrohungen 101

    Wie der Name schon sagt, sind APTs hoch entwickelt und unerbittlich. Was der Name jedoch nicht verrät, ist ihr verdeckter Charakter. Bei einem APT-Angriff nutzen Einzelpersonen oder Organisationen eine Schwachstelle aus, um sich Zugang zu einem Netzwerk zu verschaffen und dort über einen längeren Zeitraum unentdeckt zu bleiben.

    APTs setzen Unternehmen erheblichen potenziellen Verlusten von Finanzdaten, geistigem Eigentum und anderen vertraulichen Informationen aus, da APT-Teams in Datenbanken eindringen, Aktivitäten überwachen oder Pläne zur Sabotage der Infrastruktur starten. Frost & Sullivan wies kürzlich darauf hin, dass APTs zu einem Anstieg der Nachfrage nach Cybersicherheitsdienstleistungen in Nord- und Südamerika beitragen, und zwar von 12 Milliarden US-Dollar im Jahr 2020 auf fast 19 Milliarden US-Dollar im Jahr 2024. [2]

    APT-Angreifer haben es in der Regel auf Unternehmen mit hochwertigen Informationen abgesehen - beispielsweise in der Fertigung, der nationalen Verteidigung oder bei Finanzdienstleistungen. Das liegt zum Teil am Aufwand und an den Ressourcen, die damit verbunden sind, da APT-Angriffe oft Vollzeitteams erfordern, um ihren Netzwerkzugang aufrechtzuerhalten und auszunutzen.

    APT-Angriffe können jedoch zunächst ein kleineres Unternehmen in der digitalen Lieferkette ihrer Zielorganisationen infiltrieren - beispielsweise ein Softwareunternehmen, das den Angreifern, sobald ihr Produkt kompromittiert ist, Zugang zu Tausenden von Kunden des Unternehmens verschafft.

    APT-Malware und die Cyber-Kill-Chain

    Anders als Cyber-Kriminelle, die einen schnellen und gezielten Angriff durchführen, benötigt ein APT-Team eine Reihe von Schritten, um sich in ein Netzwerk einzuschleichen und dort zu bleiben. Das Verständnis dieser Cyber-Kill-Chain - wie diese Bedrohungen vorgehen - ist der Schlüssel zu ihrer Neutralisierung. So läuft ein APT-Angriff ab:

    1. Zugriff auf das Netzwerk: APT-Akteure können eine Vielzahl von Schwachstellen ausnutzen, um sich Zugang zu den Netzwerken eines Unternehmens zu verschaffen und APT-Malware in das Ziel einzuschleusen. In den meisten Fällen verwenden sie bösartige E-Mail-Anhänge, Spear-Phishing oder nutzen Anwendungsschwachstellen (z. B. Zero-Day-Angriffe) oder Social Engineering, um das Netzwerk zu kompromittieren.
    2. Beginn der Bereitstellung von Malware: Mithilfe der Befehls- und Kontrollkommunikation können sie die APT-Malware nutzen, um Netzwerke mit Hintertüren und Tunneln zu erstellen. Auf diese Weise können sie weiterhin auf das Netzwerk zugreifen, auch wenn der ursprüngliche Zugangspunkt geschlossen ist.
    3. Erweiterung des Zugriffs und der Kontrolle: Innerhalb des Netzwerks kann der Angreifer seinen Zugriff erweitern, indem er Passwörter und Anmeldeinformationen ausspäht, um weitere Rechner zu kompromittieren und sich freier im Netzwerk zu bewegen.
    4. Identifizierung, Vorbereitung und Exfiltration von Daten: Mit einem zuverlässigen Netzwerkzugang können APT-Akteure Zieldaten identifizieren und sammeln, zentralisieren, verschlüsseln und komprimieren, um sie erfolgreich zu exfiltrieren.
    5. Spülen und wiederholen: Sobald sie die Daten erfolgreich erbeutet haben, verwischen die APT-Akteure ihre Spuren, lassen das Netzwerk aber für zukünftige Angriffe offen.

    Schutz vor APTs

    Da APT-Angreifer häufig weniger gut geschützte Unternehmen ausnutzen, müssen Unternehmen und Organisationen jeder Größe wissen, wie sie sich vor APT-Malware schützen und diese identifizieren können.

    Schutz und Erkennung von APTs erfordern die Zusammenarbeit auf allen Ebenen eines Unternehmens, von Netzwerkadministratoren und Sicherheitsteams bis hin zu den Endbenutzern. Außerdem ist ein mehrschichtiger Ansatz erforderlich, da APT-Angreifer jede Schwachstelle ausnutzen, um in ein Netzwerk einzudringen. Viren, Malware, Spear-Phishing und Zero-Day-Angriffe müssen in einer effektiven Strategie zur APT-Erkennung berücksichtigt werden. Im Folgenden finden Sie wichtige Schritte, die Unternehmen unternehmen können, um ihre APT-Abwehr zu verstärken:

    • Identifizieren Sie die wertvollsten Vermögenswerte der Organisation: Auf diese Weise kann die Organisation die attraktivsten Ziele aus mehreren Blickwinkeln schützen.
    • Halten Sie Sicherheits-Patches auf dem neuesten Stand: Wenn Sie sicherstellen, dass alle Software mit den neuesten Sicherheits-Updates ausgestattet ist, verringert sich die Anzahl der Schwachstellen, die APT-Angreifer ausnutzen können.
    • Investieren Sie in fortschrittliche E-Mail-Sicherheit mit mehrschichtigen Erkennungs-Engines: Um beispielsweise einen Zero-Day-Angriff zu verhindern, sind mehrere Schutzschichten erforderlich, um Malware, Viren und Spam sowie gezielte Angriffe wie Spear-Phishing oder Whaling abzuwehren. Bei einem Zero-Day-Angriff handelt es sich um eine fortgeschrittene, anhaltende Bedrohung, die eine Schwachstelle in einer Software ausnutzt. Unter Ausnutzung dieser Schwachstelle greifen Angreifer in den Stunden oder Tagen nach Bekanntwerden der Bedrohung auf ein Unternehmensnetzwerk zu, bevor diese behoben oder gepatcht werden kann. E-Mail-Sicherheit ist für den Schutz eines Unternehmens vor einer Zero-Day-Bedrohung von größter Bedeutung, da Angriffe oft über einen bösartigen Link oder einen waffenfähigen Anhang eingeleitet werden.
    • Schließen Sie andere Netzwerklücken: Die Sicherung und Überwachung von Programmen, die nach außen gerichtet sind, ist ebenso wichtig wie die Integration von Lösungen wie Firewalls der nächsten Generation, Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEMs), Intrusion-Prevention-Systeme und Browser-Isolierung Überprüfen Sie Zugriffsanfragen und Anmeldungen, um Anomalien schneller zu erkennen.
    • Verschärfte Zugangskontrollen: Mitarbeiter sind oft das schwächste Glied in der Cybersicherheit und bieten unbeabsichtigt ein leichtes Einfallstor für APT-Malware. Zero-Trust-Sicherheit oder Zwei-Faktor-Authentifizierung können dazu beitragen, dass böswillige Außenstehende nicht zu böswilligen Insidern werden.
    • Überwachen Sie den Netzwerkverkehr: Die Untersuchung des Kommens und Gehens am Netzwerkrand und innerhalb des Netzwerks kann helfen, ungewöhnliches Verhalten zu erkennen. Scannen Sie nach Hintertüren, Dateifreigaben und verdächtigen Benutzern und achten Sie darauf, auch Endgeräte einzubeziehen.
    • Erstellen Sie eine "Erlaubnisliste": Die Festlegung, welche Domänen und Anwendungen von einem Netzwerk aus zugänglich sind, schränkt die APT-Angriffsfläche weiter ein.
    • Aufklärung der Belegschaft: Stellen Sie sicher, dass die Mitarbeiter (insbesondere diejenigen mit administrativem Zugang) die Gefahren von APTs verstehen und wissen, was sie tun können, um sie zu verhindern, z. B. die Schritte kennen, die sie unternehmen müssen, wenn sie auf einen vermuteten Phishing-Versuch stoßen.

    Die Quintessenz

    Kein Unternehmen ist vor APTs gefeit, und es gibt keine einfache Möglichkeit, sich gegen diese ausgeklügelten und weit verbreiteten Bedrohungen zu schützen. Die Abwehr und Erkennung von APT-Malware erfordert eine Kombination von Cybersicherheits-Tools und eine bessere Zusammenarbeit zwischen Netzwerkadministratoren, Sicherheitsteams und allen Benutzern. Mit einem mehrgleisigen Ansatz aus , Vorbereitung und den richtigen Technologien können Unternehmen das Risiko und die Auswirkungen besser eindämmen, da sie einen besseren Einblick in ihr eigenes Netzwerk erhalten und wissen, wie ein APT-Akteur es angreifen könnte.

    [1] Gemeinsame Erklärung des Federal Bureau of Investigation (FBI), der Cybersecurity and Infrastructure Security Agency (CISA), des Office of the Director of National Intelligence (ODNI) und der National Security Agency (NSA), Cybersecurity & Infrastructure Security Agency

    [2] Investitionen in Cyber-Intelligence-Plattformen werden zunehmen, da Unternehmen fortschrittlichen Schutz vor Bedrohungen benötigen, Frost & Sullivan

    gettyimages-1217803409.png
    Nächster Punkt
    Email Security |
    Alles, was Sie über die Ransomware WannaCry wissen müssen

    Verwandte Artikel

    Email Security
    Human Risk and AI in the State of Email and Collaboration Security
    Email Security
    Organizations Must Address Insider Risk
    Email Security
    E-Mail-Sicherheit bleibt ein wichtiges Thema: Radicati würdigt Mimecast als 'Top Player'

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang