Websense: Maßnahmen gegen Advanced Persistent Threats

Ursprünglich bezeichneten Advanced Persistent Threats (APT) staatliche Cyber-Attacken, die darauf abzielten, an strategische Informationen zu gelangen. Doch mittlerweile wird der Begriff weiter gefasst und für ein breites Spektrum an Angriffen verwendet, bei denen Kriminelle aus Profitstreben Daten von Unternehmen stehlen wollen.

Diesen Angriffen gemeinsam ist, dass sie mit Hilfe erweiterter Taktiken (advanced) sehr gezielt vorgenommen werden und versuchen, möglichst lange unentdeckt (persistent) zu bleiben – um so über einen längeren Zeitraum hinweg unbemerkt geistiges Eigentum ausspähen zu können.

Dafür betreiben die Angreifer einen hohen Aufwand und führen ihre Attacken typischerweise in sieben Stufen durch – von der Informationsbeschaffung über das Angriffsziel und das Auslegen des Köders über die Installation von Ausspähprogrammen bis hin zum eigentlichen Diebstahl der Daten. Dieser Prozess zieht sich oft über Monate oder sogar Jahre hin.

Traditionelle Abwehrmaßnahmen wie Antiviren-Software, Firewalls oder Intrusion-Detection- und Intrusion-Prevention-Systeme sind gegen diese ausgefeilten Attacken meist machtlos. Der Security-Experte Websense nennt fünf Maßnahmen, mit denen sich Unternehmen erfolgreich gegen APTs zur Wehr setzen können:

1. Echtzeit-Analysen: Zur Abwehr von Spear-Phishing, Exploit-Kits, dynamischen Redirects und anderen Arten von APT-Angriffen sollten Unternehmen auf Echtzeit-Analysen setzen. Sie versorgen die Verantwortlichen kontinuierlich mit sicherheitsrelevanten Daten und ermöglichen es so, unverzüglich die notwendigen Entscheidungen zu treffen.

2. Globale Netzwerke: Globale Sicherheits-Netzwerke sammeln weltweit aktuelle Sicherheitsdaten und identifizieren neue Bedrohungen. Damit können die Unternehmen ihre Security-Systeme ständig aktuell halten.

3. Kontextsensitive DLP-Lösungen: Geeignete DLP-Systeme (Data Loss Prevention) kennen die Zusammenhänge zwischen Usern, Daten und den Zielen von versendeten Informationen. Versuchen beispielsweise Unbefugte auf vertrauliche Dokumente zuzugreifen und diese an nicht autorisierte Empfänger zu versenden, wird dies unterbunden.

4. Sandboxing: Sandboxing-Technologien ermöglichen es, verdächtige Dateien in isolierten Umgebungen sicher auszuführen, ihre Charakteristika zu beobachten und auszuwerten.

5. Forensische und Verhaltens-Analysen: Unternehmen sollten Tools einsetzen, die forensische Möglichkeiten innerhalb des eigenen Netzwerks zur Verfügung stellen. Damit lassen sich beispielsweise Netzwerkaktivitäten verfolgen und analysieren. Wird so etwa im Netzwerk eine Verschlüsselungstechnik erkannt, die das Unternehmen selbst gar nicht nutzt, kann dies ein starker Hinweis auf illegal abfließende Daten sein.

“Wegen der immer komplexer werdenden Techniken von Cyber-Kriminellen benötigen Unternehmen einen dynamischen Security-Ansatz”, erläutert Michael Rudrich, Regional Director Central Europe & Eastern Europe bei Websense in München. “Werden die Angriffe bereits in den ersten Stufen ihrer Ablaufkette erkannt, lässt sich die Gefahr eines Datenverlusts deutlich entschärfen.”