Reichen aktuelle Sicherheits-Maßnahmen zur Abwehr von APTs?

Advanced Persistent Threats werden komplexer und sind schwer zu entdecken. Sind APTs mittlerweile zu raffiniert für die bewährten Security-Maßnahmen?

Der Begriff APT (Advanced Persistent Threat) stammt ursprünglich vom Militär. Damit werden Cyberangriffe definiert, die nicht auf kurzfristigen Profit ausgelegt sind, wie etwa das Ausspionieren von Kreditkartendaten, sondern langfristige Operationen. Diese gehen von staatlichen Akteuren und/oder raffiniert agierenden kriminellen Organisationen aus.

Ist die Definition von APTs noch aktuell?

Die Definition von APTs hat sich weiterentwickelt seit der ursprünglichen Nutzung durch die US Air Force und umfasst heute sicherlich ein breiteres Spektrum von Angriffen als der Begriff anfänglich abdeckte. Selbst innerhalb der traditionellen Definition unterscheiden mehrere APT-Intrusion-Typen verschiedene Ebenen von Raffinesse und Fähigkeitsgrad. 

Thorsten Henning,
Systems Engineering Manager
Central & Eastern Europe, CISSP,
Palo Alto Networks

Heute wird das Akronym APT im Allgemeinen verwendet, um Angriffe zu beschreiben, bei denen ein Akteur eine bestimmte Organisation oder Einzelperson im Visier hat mit der Absicht, ein bestimmtes Ziel zu erreichen. 

Dieses Ziel kann Spionage sein oder einfach die Kontrolle über ein strategisch wichtiges Netzwerk zu erlangen. Das Entscheidende daran ist, dass die Akteure den Angriff ausüben, bis sie ihr Ziel erreicht haben, anstatt auf ein einfacher zu knackendes Ziel auszuweichen.

Viele Datensicherheitsexperten sehen Social Engineering (beispielsweise Spear-Phishing etc.) als kritischen Einstiegspunkt für APTs, beginnend mit Malware auf dem Computer eines bestimmten Nutzers.

Auf APTs oder andere Angriffsmethoden konzentrieren?

Spear Phishing ist ein sehr verbreiteter Vektor für diese Arten von Angriffen, unter anderem, weil sich der Akteur damit Zugriff auf bestimmte Systeme in einem Netzwerk verschaffen kann. Wenn der Angreifer den Auftrag hat, den Quellcode für ein bestimmtes Projekt zu sammeln, versucht er bei Menschen, die an diesem Projekt arbeiten, Informationen „abzufischen“ oder sich Zugang zu ihrem Quellcode-Repository zu verschaffen. 

Die Kehrseite von Spear-Phishing ist für die Angreifer, dass es Aufklärungsarbeit erfordert, um zu bestimmen, welche Organisationen und Personen sie ins Visier nehmen sollen. Derzeit zeigt sich eine Tendenz zu „Watering Hole“-Angriffen. Dadurch gelangen die Akteure an Menschen, die Interesse an einem bestimmten Thema haben, ohne wissen zu müssen, wer diese Leute sind oder wo sie arbeiten.

Ein Beispiel wäre, dass ein Akteur damit beauftragt wird, Informationen über Windkraftanlagen zu sammeln. Anstatt Personen zu identifizieren, die in diesem Metier fachlich tätig sind, wird eine Website gesucht, die diese Leute wahrscheinlich besuchen werden. Die Website könnte auch ein Branchenverband, eine Denkfabrik oder sogar ein Unternehmen sein. Entscheidend ist, dass die Zielgruppe diese regelmäßig besucht. 

Die Angreifer kompromittieren dann diese Website und nutzen Browser-Schwachstellen, um Malware auf den Zielesystemen zu installieren. Dann versuchen sie herausfinden, wen genau sie infiziert haben, aber die Wahrscheinlichkeit ist hoch, dass Sie an wertvolle fachbezogene Informationen gelangen. Dies ist vergleichbar mit Löwen, die in der Nähe einer Wasserstelle warten, weil sie wissen, dass ihre Beute wahrscheinlich kommen wird, um zu trinken, daher der Name „Watering Hole“-Angriff.

Wir gehen bei Palo Alto Networks nicht davon aus, dass Watering-Hole-Angriffe das Spear-Phishing ersetzen wird. Beide Taktiken haben Vor- und Nachteile, aber die Angreifer werden sich sicherlich auch nicht auf Phishing beschränken.

Der massive Sicherheitsvorfall bei JP Morgan Chase hat vielleicht eine neue Ära der APTs eingeläutet. Angesichts der enormen Ressourcen, die Chase für Datensicherheit aufgestellt hat, stellt sich die Frage, wie eine so große Sicherheitsverletzung so lange unentdeckt bleiben konnte?

Was ist die Ursache für die gefährliche Entwicklung der APTs?

Die Sicherheitsverletzungen durch APTs in den letzten Wochen und Monaten sind eigentlich eher als normal einzustufen, bei der Menge an verfügbaren Daten. Im aktuellen Verizon Data Breach Investigations Report ist nachzulesen, dass 83 Prozent der Infiltrationen „Wochen“ oder länger andauerten, bevor sie entdeckt wurden. 

Angreifer, die Zeit haben, ihr Angriffsziel besser kennenzulernen, können auch dessen Schwachstellen herausfinden und einen Angriff auf das Netzwerk speziell daraufhin ausrichten. Dies macht es schwierig, sich dagegen zu verteidigen, aber genau das ist das Markenzeichen der APTs.

Reicht SIEM aus, um APTs entgegenzuwirken?

Es entwickelt sich gerade ein Konsens, dass SIEM (Security Information and Event Management) die beste Methode für die Identifizierung und Bekämpfung von APTs ist. Signaturbasierte Abwehr reicht wahrscheinlich nicht bei einem Angreifer, der Zeit hat, um einen Angriff auf ein bestimmtes Netzwerk vorzubereiten, weil er seine Waffen gegen diese Signaturen testen kann, bevor der eigentliche Angriff beginnt. 

Für die Identifizierung von APT-Attacken ist es entscheidend, zu verstehen, was im eigenen Netzwerk und auf dem Rechner passiert. SIEM ist sehr nützlich, um die riesige Menge an Informationen zu verwalten, die von Sicherheits- und Monitoring-Tools generiert werden. Aber das SIEM-System einfach mit allen erfassten Daten zu füttern reicht nicht aus, um ein Netzwerk zu verteidigen.

Zwei Dinge, die beim Kampf gegen fortgeschrittene Angriffsmethoden berücksichtigt werden sollten, sind:

  1. Lernen Sie Ihr Netzwerk wirklich gut kennen. Ihre Werkzeuge sollen Ihnen helfen, den gesamten Datenverkehr zu verstehen, der durch das Netzwerk fließt. Wenn Verkehr auftaucht, den Sie nicht identifizieren können, sollten Sie sich die Zeit nehmen, um herauszufinden, was es ist. Es kommt darauf an, zunächst zu verstehen, wie der „normale“ Netzwerkverkehr aussieht. Erst so lassen sich Anomalien identifizieren.
  2. Sie sind nicht allein in diesem Kampf und es besteht die Chance, dass jemand in Ihrer Branche oder im Internet dieselben Gruppen bekämpft, mit denen Sie es zu tun haben. Threat Intelligence, also ein „Bedrohungsnachrichtendienst“, sollte daher Teil Ihres Incident-Handling-Prozesses sein. So lassen sich ähnliche Angriffe besser abwehren und Sie schaffen es, Ihrem Widersacher möglicherweise einen Schritt voraus zu sein.

Einige Experten haben verräterischen Anzeichen von APTs aufgezählt: zum Beispiel die Weiterleitung von verschlüsseltem Datenverkehr über unverschlüsselte Protokolle, das Parken von Schadcode auf nicht-routingfähigen Adressen, das Weiterleiten von Verkehr über zur Tarnung durch dynamische DNS-Domains neu erstellte Domains oder eine stärker als normal auftretende Bewegung von Dokumenten über das Netzwerk. Welche anderen Anzeichen von APT sollten Sicherheitsprofis im Auge haben?

All dies sind Anzeichen, denen man nachgehen muss, nachdem die Sicherheitsverletzung aufgetreten ist. Netzwerkverteidiger sollten auch weiter oben in der „Kill-Chain“ eines Angriffs suchen. Um Informationen für eine Spear-Phishing-Kampagne zu sammeln, wird der Angreifer möglicherweise die Website eines Unternehmens besuchen oder scannen, um Informationen über bestimmte Personen und Projekte zu sammeln. Diese Zugriffe auf Web-Server, die aus dem üblichen Rahmen fallen, gilt es zu überwachen. Ebenso ist in Erwägung zu ziehen, den Zugang zu bestimmten Netzwerkblöcken zu beschränken.

Über den Autor:
Thorsten Henning ist Systems Engineering Manager Central & Eastern Europe, CISSP, bei Palo Alto Networks.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Dezember 2014 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close