Wenn man an Angriffe auf die Cybersicherheit denkt, stellt man sich vielleicht einen Hacker/eine Hackerin in Kapuzenpulli in einem dunklen Keller vor, der sich von seinem Laptop aus in den Großrechner hackt. So viel Wahrheit in diesem Bild auch steckt, es gibt auch ausgeklügelte Bedrohungsakteure, die modernste Technologien und Methoden einsetzen, um hochgeschützte Systeme zu kompromittieren. Diese fortschrittlichen, dauerhaften Bedrohungen (Advanced Persistent Threats, APTs) — bei denen es sich um gut finanzierte Nationalstaaten oder Gruppen mit ruchlosen Motiven handeln könnte — entwickeln und implementieren gezielte fortschrittliche Bedrohungen, die heimtückisch in Systeme eindringen, möglicherweise über lange Zeiträume hinweg.
Diese fortschrittlichen Bedrohungen können sich unbemerkt in Ihren Systemen verstecken und Ihre Unternehmensdaten, einschließlich persönlicher und geschützter Informationen, abgreifen. Die schiere Menge an Daten, die über lange Zeiträume hinweg gesammelt werden kann, bedeutet, dass diese Bedrohungen Ihr Unternehmen völlig zerstören können. Daher ist Advanced Threat Protection (ATP) ein wichtiger Bestandteil Ihrer Sicherheitslösungen.
Advanced Threat Protection geht über herkömmliche Firewalls und Antivirenprogramme hinaus
Sie muss genauso hartnäckig und vielseitig sein wie die Bedrohungen, die sie zu verhindern versucht. In diesem Blog erfahren Sie, wie fortgeschrittene Bedrohungen aussehen, wie ATP-Lösungen Bedrohungen verhindern und welche Vorteile ATP bietet.
Erfahren Sie mehr über die Grundlagen der Gefahrenabwehr.
Verständnis für fortgeschrittene Bedrohungen
Fortgeschrittene Bedrohungen können in einer Vielzahl von Typen auftreten, in der Regel durch Kombination mehrerer Angriffsvektoren. So unterschiedlich die Angriffsmethoden auch sein mögen, was alle fortschrittlichen Bedrohungen gemeinsam haben, ist die Fähigkeit, die Kontrolle über Ihre Systeme zu übernehmen und sich in Ihrer Infrastruktur über einen langen Zeitraum zu verstecken, indem sie traditionelle Tools zur Erkennung von Bedrohungen umgehen.
Fortschrittliche Bedrohungen verstecken sich in Ihren Systemen, da sie komplex und anpassungsfähig sind. Angreifer*innen installieren in der Regel Hintertüren mit Hilfe von Trojanern, damit sie bei Bedarf den Zugang aufrechterhalten können. Und da diese Angriffe in der Regel gezielt erfolgen, wissen die Angreifer*innen oft genau, welche Teile Ihres Systems am anfälligsten sind. Diese Bedrohungen können nicht einfach erkannt werden, sehen aber im Allgemeinen so aus:
- Vermehrte Anmeldungen außerhalb der Geschäftszeiten
- Weitverbreitete Backdoor-Trojaner
- Unerwartete Informationsflüsse
Malware und Ransomware
Eine „einfachere” Form von Malware kann wie Werbe-Popups in Ihrem Webbrowser aussehen, nachdem Sie infizierte Shareware heruntergeladen haben, um ein paar Dollar zu sparen. Oder es handelt sich um einen komplexeren Virus, den Sie aus einem E-Mail-Anhang heruntergeladen haben und den böswillige Akteur*innen ausnutzen können, um an Ihre Anmeldedaten zu gelangen.
Das berüchtigte Stuxnet ist eine fortgeschrittene Form von Malware und wird oft als erste Cyberwaffe angesehen. Dieser im Jahr 2010 entdeckte Wurm infizierte die Systeme von mindestens 14 Industrieanlagen im Iran. Es wurde über USB in ihr System eingeführt, wo es sich selbst von Gerät zu Gerät bewegte, bis es sein Ziel erreichte — ein industrielles Zentrifugensteuerungssystem. Von dort aus nutzte er die Zero-Day-Schwachstellen im System aus und übernahm die Kontrolle, wobei er vorgab, dass alles normal funktioniere, während er die Zentrifugen bis zum Ausfall drehte. Dieser gezielte Angriff erforderte Kenntnisse über die Hard- und Software des Iran und nutzte mehrere Angriffsvektoren — Social Engineering, Malware und Zero-Day-Exploits.
Auch fortgeschrittene, hartnäckige Bedrohungsgruppen nutzen Ransomware für ihre Zwecke. In einem neueren Beispiel entdeckte das Cybersecurity-Unternehmen ESET , dass Ransomware, die mit der Bedrohungsgruppe Sandworm in Verbindung gebracht wird, verwendet wurde, um die ukrainische Energieinfrastruktur und Logistikunternehmen zu stören. Laut ESET unterscheiden sich diese Angriffe von herkömmlichen Ransomware-Angriffen dadurch, dass Sandworm wahrscheinlich nie geplant hatte, die Entschlüsselung der Daten zu ermöglichen, und stattdessen die Daten vom System löschte.
Phishing und Social Engineering
Die meisten fortgeschrittenen, hartnäckigen Bedrohungen -90 % laut einem Bericht von Positive Technologies für 2019— beginnen mit Spearphishing. Im Jahr 2015 startete APT29, auch bekannt als Cozy Bear, eine Spearphishing-Kampagne, bei der E-Mails mit bösartigen Links an über 1.000 Empfänger*innen verschickt wurden. Bei diesem Angriff wurden legitime Domänen verwendet, die mit US-Organisationen und Bildungseinrichtungen verbunden sind, um Malware zu hosten und die E-Mails zu versenden. Mindestens ein Opfer aktivierte die Malware, was APT29 ermöglichte, seine Privilegien im System zu erweitern und schließlich E-Mails über verschlüsselte Verbindungen zu exfiltrieren. APT29 hat andere Systeme erfolgreich über Spearphishing infiltriert.
Insider-Bedrohungen
Es stimmt, dass ein bösartiger Akteur/eine bösartige Akteurin sich absichtlich in Ihr Unternehmen einschleusen kann, um Ihre Systeme zu kompromittieren. Oder sie könnten von ursprünglich harmlosen Mitarbeiter*innen als Vergeltungsmaßnahme oder zur Erzielung finanzieller Vorteile erfolgen. Insider-Bedrohungen sind jedoch nicht immer ein aktiver Teil einer fortgeschrittenen Bedrohung. Im harmlosesten Fall kann ein Insider durch Nachlässigkeit oder Unwissenheit eine Kompromittierung ermöglichen, beispielsweise durch das Herunterladen eines infizierten Anhangs. Deshalb ist es wichtig, ein Schulungsprogramm für Cybersicherheit sowie einen Netzwerk- und Endpunktschutz zu haben, aber dazu später mehr.
Erweiterte Lösungen zum Schutz vor Bedrohungen
Fortgeschrittene Bedrohungen sind also destruktiv, raffiniert und schwer zu finden. Großartig... wie können wir sie verhindern? Im Grunde genommen geht es darum, die Menschen, die Technologie und die Abläufe in Ihrem Unternehmen zu stärken ein bösartiger Akteur/eine bösartige Akteurin eine tiefgreifende Verteidigung, wenn Sie so wollen. Aber in diesem Blog wollen wir uns nur mit dem technischen Aspekt befassen.
ATP-Lösungen sind keine Einheitslösungen, die man schnell wieder vergisst. Es gibt keine einzelne Software, Hardware oder ein Schulungsprogramm, das ausreicht, um Ihre Systeme vor fortschrittlichen Bedrohungen zu schützen. Im Allgemeinen sollten ATP-Lösungen jedoch über diese Fähigkeiten verfügen:
Erkennung von und Reaktion auf Bedrohungen
Der Schutz Ihres Unternehmens vor fortgeschrittenen Bedrohungen erfordert die Fähigkeit, Bedrohungen in Ihrem System zu erkennen und darauf zu reagieren. Um dies zu erreichen, sollte Endpoint Schutz, Firewalls und Antivirus implementiert werden. Eine adäquate Erkennung von Bedrohungen erfordert:
- Ständige Überwachung des Zustands Ihres Netzwerks und Ihrer Endpoint-Geräte
- Kenntnis aktueller Bedrohungen durch Anbindung an Bedrohungs-Repositories wie das MITRE ATT&CK Framework
- Die Fähigkeit, noch nicht bekannte Bedrohungen auf der Grundlage digitaler Signaturen und anderer Verhaltensweisen zu erkennen
Gut eingeführte Sicherheitsrichtlinien und Mitarbeiter*innen können dann bei Bedarf mit geeigneten Maßnahmen auf festgestellte Bedrohungen reagieren, z.B.:
- Isolierung kompromittierter Systeme vom Netzwerk, um eine Verbreitung zu verhindern
- Aktualisierung von Richtlinien oder Tools, die zu einer Kompromittierung führen (z. B. Hinzufügen einer Multi-Faktor-Authentifizierung oder Ersetzen von VPN durch ZTNA)
- Einführung oder Überprüfung von Schulungsprogrammen für Cybersicherheit
Künstliche Intelligenz und maschinelles Lernen
KI und maschinelles Lernen (ML) helfen bei der Suche nach Bedrohungen, d. h. bei der Suche nach Schwachstellen und Anomalien, bevor sie ausgenutzt werden. Computer können unermüdlich Netzwerkaktivitäten durchkämmen und verarbeiten, die weit über die Fähigkeiten von Menschen hinausgehen, sodass eine sorgfältige Überwachung erforderlich ist.
Verhaltensanalyse und Aufdeckung von Anomalien
Verhaltensanalysen und die Erkennung von Anomalien sind von entscheidender Bedeutung. Da sich fortschrittliche Bedrohungen so gut verstecken, ist manchmal das einzige Anzeichen dafür, dass etwas nicht in Ordnung ist, dass das Verhalten Ihres Netzwerks von der Grundeinstellung abweicht. Um Ihre Ausgangssituation zu verstehen, sollten diese Instrumente eingesetzt werden:
- SIEM-Software zur Überwachung und Analyse Ihres Systemverhaltens sowie zur Analyse von Benutzerentitäten und -verhalten
- KI und ML zur Verarbeitung Ihrer Netzwerkaktivitäten und der Nutzer*innen, die auf Ihr System zugreifen, sowie zur Erkennung von Anomalien
- Lösungen für die Verwaltung mobiler Geräte bieten Transparenz über den Zustand und die Konformität Ihrer Geräteflotte
Sandboxing und Isolierung
Da fortgeschrittene, hartnäckige Bedrohungsgruppen ihre eigenen, einzigartigen Methoden für Angriffe auf Systeme entwickeln können, können Sandboxing und Isolierung nützlich sein. Beim Sandboxing wird eine sichere, isolierte Umgebung geschaffen, die Ihre Systeme imitiert und es Unternehmen ermöglicht, zu beobachten, wie sich verdächtige Programme in ihrem Netzwerk verhalten. Auf diese Weise können Unternehmen die Methoden bösartiger Akteur*innen besser verstehen und lernen, wie sie diese daran hindern können, ihr System zu beeinträchtigen oder zu blockieren.
Schutz vor fortgeschrittenen Bedrohungen: Die wichtigsten Erkenntnisse
- Fortgeschrittene anhaltende Bedrohungen sind komplexe, gezielte Angriffe auf ein Unternehmen
- Fortschrittliche Bedrohungsgruppen nutzen eine Vielzahl und Kombination von Angriffsvektoren, sodass Unternehmen sich von allen Seiten verteidigen müssen
- Fortschrittlicher Schutz vor Bedrohungen erfordert eine vielseitige Lösung, die Endpoints, Netzwerke, Benutzer*innen und Unternehmensdaten schützt
- Künstliche Intelligenz, maschinelles Lernen, SIEM-Software, Firewalls, Gerätemanagementlösungen und Sandboxen helfen bei der Verteidigung von Unternehmen
Weitere Informationen finden Sie in unserem E-Book Mobile Threat Defense.
Abonnieren Sie den Jamf Blog
Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.
Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.