APTs: Die Bedrohungslandschaft wandelt sich, oder etwa nicht?

Technologie

Viele Veröffentlichungen zum Thema APTs beginnen mit ominösen Bezugnahmen auf die sich wandelnde Bedrohungslandschaft und Schilderungen raffinierter Cyberangriffe, die sich immer mehr ausweiten. Das kann irreführend sein. Denn tatsächlich kommen bei den meisten Angriffen nach wie vor Techniken zum Einsatz, die schon seit Jahren bestens bekannt sind – vornehmlich Social Engineering, Phishing-E-Mails, Backdoor Exploits und Drive-by-Downloads. Solche Angriffe sind weder fortgeschritten noch besonders raffiniert, wenn man ihre einzelnen Bestandteile betrachtet, und setzen oft auf das schwächste Glied im Unternehmen – den Benutzer. Was APTs von anderen Angriffen unterscheidet, ist vielmehr die Kombination verschiedener Techniken und die Hartnäckigkeit der Angreifer.

Der Begriff APT ist den letzten Jahren flächendeckend gebraucht und missbraucht worden. Wahrscheinlich wird Ihnen auch der Begriff Advanced Targeted Attack (ATA) begegnet sein, mit dem meist das Gleiche gemeint ist. Als APT und ATA wurde in der Vergangenheit so ziemlich alles bezeichnet – von medienwirksamen Angriffen auf Unternehmen und Nationalstaaten, über diverse Cybercrime-Kampagnen und Hacking-Techniken bis hin zu einzelnen Malware-Samples. Für viele Unternehmen ist es daher zunehmend schwierig, diesen Hype von tatsächlichen Sicherheitsanforderungen zu unterscheiden. Sie sind nicht sicher, was ein APT tatsächlich ist und was nicht, und was getan werden kann, um APTs zu erkennen und abzuwehren.
APTs zeichnen sich im Allgemeinen durch folgende Eigenschaften aus:

1. Gezielt
Die Angriffe richten sich meist gezielt an eine bestimmte Firma, Gruppe oder Branche. Vor dem eigentlichen Angriff müssen die Angreifer unter Umständen umfassende Recherchearbeit leisten, um Informationen über ihr Ziel einzuholen. Solche Gruppen von Angreifern sind meist kapitalkräftig und gut organisiert.
2. Zielorientiert
Die Angreifer wissen meist relativ genau, was sie erreichen oder auf welche Bereiche sie zugreifen möchten, bevor sie sich Zugang zum Netzwerk verschaffen. Geschickten Angreifern bieten sich zahlreiche Möglichkeiten, um in Netzwerke einzudringen und an die gewünschten Informationen und Systeme zu gelangen.

3. Andauernd
Nach einem erfolgreichen Einbruch ins Netzwerk ist der erste infizierte Computer nicht zwangsläufig von großem Interesse, sondern vielmehr Mittel zum Zweck. Sobald die Angreifer ins Netzwerk gelangt sind, arbeiten sie sich aller Wahrscheinlichkeit nach weiter im Netzwerk vor und versuchen auf Systeme zuzugreifen, auf denen wertvollere Daten gespeichert sind, z. B. Computer von IT-Administratoren oder Führungskräften mit Zugangsdaten für hochwertigere Systeme.

4. Geduldig
Viele Cyberangriffe sind darauf ausgelegt, Schaden anzurichten, indem sie den Zugriff auf Systeme sperren und Daten extrahieren. Nicht so APTs. Sie verhalten sich am Anfang meist ruhig. Denn der Angriff soll unbemerkt vonstatten gehen. Um das zu erreichen, ist es am besten, von Anfang an so wenig Aufmerksamkeit wie möglich zu erregen. Diese Nicht-Aktivität kann über Tage, Wochen, Monate oder sogar Jahre hinweg andauern.

5. Es erfolgen Call-Home-Versuche
Kein Angriff läuft ohne Kommunikation zur Außenwelt ab, auch ein APT nicht. Früher oder später starten die Angreifer Call-Home-Versuche. Entweder nach Infektion des ersten Systems oder nachdem sie die gewünschten Daten gefunden und zusammengetragen haben bzw. die infizierten Systeme hinreichenden Zugriff auf diese Daten besitzen. Die Kommunikation mit dem Command and Control (C&C) Host wird meist über einen längeren Zeitraum aufrechterhalten, um weitere Anweisungen entgegenzunehmen oder Daten in „mundgerechten“ Stücken zu extrahieren.

Und zum Schluss noch zwei große Mythen über APTs:

1. APTs greifen nur große Unternehmen und Nationalstaaten an
Ganz gleich, wie groß das Unternehmen ist, in dem Sie arbeiten. Als IT-Manager oder Chief Security Officer ist es Ihre Aufgabe, wertvolle Daten vor unbefugten Zugriffen zu schützen. Ihr Unternehmen und wahrscheinlich auch Ihr Job hängen davon ab.
 Wenn Daten innerhalb Ihres Unternehmens als wertvoll gelten, könnten sie auch für andere Unternehmen wie Wettbewerber interessant sein.
 Wenn Sie personenbezogene Daten jeglicher Art verarbeiten, sind Sie in den meisten Ländern gesetzlich dazu verpflichtet, unbefugte Zugriffe auf die Daten zu unterbinden.
 Große Unternehmen und Behörden nutzen oft eine breitgefächerte Lieferkette, die sich aus kleineren Unternehmen zusammensetzt. Wenn Sie ein solcher Zulieferer sind, könnten Sie haftbar sein, wenn die von Ihnen verarbeiteten Daten veruntreut werden, auch wenn es nicht Ihre eigenen sind.
 APTs haben in der Vergangenheit bewiesen, dass Angriffe durchaus auf andere Unternehmen überspringen können, die ursprünglich nicht Ziel des Angriffs waren.

2. Herkömmliche Abwehrmaßnahmen sind ungeeignet
Da viele Anbieter von Sicherheitslösungen die Abwehr von APTs als erfolgreiches Geschäftsmodell für sich entdeckt haben, behaupten nicht wenige, nur ihre Lösung biete ausreichenden Schutz und herkömmliche Sicherheitslösungen wie Antivirus-Software seien überflüssig. Solche Behauptungen sind schlichtweg falsch.
 Keine einzelne Lösung kann Sie komplett vor APTs schützen.
 Um eine erfolgreiche Abwehr verschiedenster Bedrohungen zu ermöglichen, sollten Sie stets auf mehrere Schutzschichten setzen.
 Web-Exploits, Phishing-E-Mails und Remote-Access-Trojaner sind allesamt beliebte Elemente von APTs. Herkömmliche Sicherheitssysteme sind für die Erkennung von Angriffen im Frühstadium und zum Verhindern ihrer weiteren Ausbreitung also nach wie vor wichtig.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.