Abwehrstrategien für Multi-Vektor-Cyberangriffe
Palo Alto Networks beschreibt Angriffsphasen und nennt Schutzmaßnahmen
München, den 29. Februar 2016 – Cyberangreifer sind kreativ und suchen nach effektiven Möglichkeiten, um in Unternehmensnetzwerke einzudringen. Und sie haben heute immer mehr Tools zur Hand, um die Aufklärungs-, Bewaffnungs- und Auslieferungsphase des Angriffslebenszyklus zu gestalten. Threat Intelligence Sharing, also das Teilen von Daten, Informationen und Erkenntnissen über Bedrohungen, ist daher heute wichtiger als je zuvor. Diese und andere erfolgsversprechende Abwehrstrategien stellt Palo Alto Networks übersichtlich vor.
Einer neuen Studie des Ponemon-Instituts zufolge, können 39 Prozent der Angriffe durch Teilen von Bedrohungsanalysedaten vereitelt werden. Im Rahmen seiner Initiative für Threat Intelligence Sharing ist Palo Alto Networks Partnerschaften mit führenden Endpunkt- und Netzwerkanbietern eingegangen, einschließlich der jüngsten Partnerschaft mit Proofpoint.
„Ziel ist es frühestmöglich den Angriff zu stoppen. Wir sind überzeugt, dass Prävention möglich ist. Damit dies aber gelingt muss man die Angreifer und deren Vorgehen verstehen und erkennen“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Im wesentlich besteht dabei ein Angriff aus drei Phasen, in denen er enttarnt und gestoppt werden kann.“
Aufklärungsphase: In diesem Stadium versuchen Cyberangreifer, so viel wie möglich über die Systeme im Unternehmen zu erfahren. Sie scannen nach Diensten und Anwendungen, bei denen sie Schwachstellen ausnutzen können, und versuchen Sicherheitslücken zu identifizieren. Sie suchen, identifizieren und wählen Ziele aus, indem sie oft Phishing-Taktiken einsetzen oder öffentlich zugängliche Informationen von LinkedIn-Profile und Firmenwebsites extrahieren.
Bewaffnungsphase: Die Angreifer erstellen maßgeschneiderte Exploits und kombinieren sie mit bösartigen Nutzlasten, um die Schwachstellen auszunutzen, die sie während der Aufklärungsphase entdeckt haben.
Auslieferungsphase: Nun legen die Angreifer fest, wie sie ihren „bewaffnete“ Programmcode in das Unternehmen schleusen wollen. Dies kann mittels Phishing über E-Mail oder Social-Media-Plattformen oder mittels der Watering-Hole-Methode erfolgen. Sie können schädlichen Code in eine scheinbar harmlose Datei wie ein PDF, Word-Dokument oder eine E-Mail-Nachricht einbetten – im Rahmen eines mehrstufigen Download-Angriffs. Bei hochgradig gezielten Angriffen werden die spezifischen Interessen einer bestimmten Person ausgenutzt.
Neue Formen anspruchsvoller Cyberbedrohungen tauchen ständig auf. Unternehmen sind im Visier mehrerer Angriffsvektoren. Das Ziel sind Daten, an die die Angreifer über Mitarbeiter oder Partner des Unternehmens gelangen wollen. Es gibt häufig Infrastrukturen, die fragmentiert sind und einem Patchwork gleichen. Sie sind im Laufe der Zeit entstanden und weisen mehrere isolierte Systeme und Management-Tools auf. Dies alles bietet Angreifern einen riesigen Vorteil: Lücken, die ihre Aktivitäten unsichtbar machen können.
Bedrohte Unternehmen können diese Vorteile zunichtemachen, indem sie die Angreifer wieder sichtbar machen. Dazu sind folgende Maßnahmen nötig:
1. Vollständige Transparenz, indem alle Daten und der gesamte Netzwerkverkehr inspiziert werden. Die Vielzahl an Warnungen und manuellen Prozessen, die separate Sicherheitsprodukte liefern bzw. nach sich ziehen, sind hier kontraproduktiv.
2. Effizient Informationen korrelieren, um infizierte Systeme und Schwachstellen im gesamten Netzwerk, in der Cloud und an den Endpunkten zu identifizieren und so den Schutz für das gesamte Unternehmen zu gewährleisten.
3. Reduzieren der Lücken zwischen Erfassung, Analyse und Schutz, um Schritt zu halten mit neuen Bedrohungen, die aus verschiedenen Tools, Technologien und Vektoren bestehen.
„Der Einsatz einer Next-Generation-Sicherheitsplattform eignet sich hierfür besonders, wenn diese offen für mehrere Bedrohungsanalyse- und Technologieanbieter. Ziel ist es so, die Lücken zwischen verschiedenen Sicherheitsprodukten im gesamten Unternehmen zu reduzieren und den weltweiten Austausch von Bedrohungsdaten voranzutreiben“, erklärt Thorsten Henning. „Dies ist unerlässlich, um zu verhindern, dass sekundäre Downloads und Daten das Unternehmen verlassen und um die nächsten vier Stufen des Angriffslebenszyklus zu vereiteln: Ausnutzung, Installation, Steuerung und Kontrolle sowie Aktion am Ziel.“
Indem Bedrohungsinformationen über verschiedene Angriffsvektoren hinweg koordiniert werden, liefert ein plattformbasierter Sicherheitsansatz:
- Koordinierte Erkennung und Schutz im gesamten Netzwerk, für Endpunkte, die Cloud sowie E-Mail- und Social-Media-Plattformen
- Unified Threat Intelligence über verschiedene Angriffsvektoren hinweg
- Einfache Implementierung ohne zusätzliche Kosten
„Mit in Echtzeit geteilter Bedrohungsanalyse und koordinierten Schutzmaßnahmen kann eine Cyberbedrohung schnell erkannt und verhindert werden – und das unabhängig vom Angriffsvektor“, fasst Thorsten Henning zusammen.