APTs (Advanced Persistent Threats) stehen seit kurzer Zeit vermehrt im Rampenlicht. Die meisten Hacking-Angriffe basieren auf einfachen Methoden: Hintertüren, Passwort-Roulette etc. Die komplexe Malware, die in APTs verwendet wird, ist deutlich ausgefeilter, da sie unbemerkt IT-Systeme überwacht und auf den richtigen Moment zum Angriff wartet. Malware sucht in der Regel nach wertvollen, sensiblen Informationen in kritischen Infrastrukturen oder im Verteidigungs- und Regierungsumfeld. Daher verfügt sie häufig auch über ein Spionage-Element. Heißt das im Umkehrschluss ein durchschnittliches Unternehmen muss sich keine derartigen Sorgen machen?
APTs werden zur neuen Norm für Unternehmen
Der Status quo der Cyber-Sicherheit könnte sich verändern. 2011 veröffentlichte eine RSA-geförderte Industriegruppe, das Security for Business Innovation Council, einen Bericht, der auf einen langfristigen Anstieg fortgeschrittener Malware-Angriffe gegen Unternehmen hingewiesen hat.
Ich beziehe mich als Referenz für diese Tendenz auf den Datensicherheitsreport (DBIR) von Verizon. Laut diesen Ergebnissen gab es 2011 in der Tat einen starken Anstieg von Malware-Angriffen – Malware wurde bei 69 % der ausgewerteten Vorfälle verwendet, ein Anstieg von fast 20 % im Vergleich zum Vorjahr. Die guten Neuigkeiten: die erschreckende und medienwirksame Anordnungs- und Kontrollstruktur von APTs, auch C2 Variante genannt, bleibt weiterhin die Domäne von Spionen, die weniger finanzielle Motivationen haben.
Der DBIR verweist auch darauf, dass es einen Anstieg bei Datenschutzverstößen unter Verwendung von Nicht-C2-Varianten bei APTs gab – in Verbindung mit Keyloggern, RAM-Scrapern und Datenexporteuren. Betriebsinterne IT-Abteilungen und Sicherheitsexperten sollten jedoch Folgendes beachten: Hinter diesen APT-Angriffen stehen herkömmliche Hacker und keine staatlich geförderten Datenspione, die weiterhin alle aus den gleichen Beweggründen arbeiten – mit anderen Worten Geld.
Die Technologie entwickelt sich in allen Bereichen weiter, sodass es keinen Grund zu der Annahme gibt, dass Hacker in den nächsten Jahren nicht die fortschrittlicheren Verfahren, einschließlich von C2, verwenden. Die wichtigere Frage ist, wie Sicherheitsexperten in Unternehmen darauf reagieren müssen.
Behandeln Sie Ihr Dateisystem nicht wie einen Hochsicherheitstrakt –Produktivität und Sicherheit müssen im Gleichgewicht sein
Die Verriegelung aller Daten und die Einstufung von großen Teilen Ihrer IT als „streng vertraulich“, verhindert zwar mit aller Wahrscheinlichkeit Datenschutzverstöße, wird aber über kurz oder lang den Wert Ihrer Daten reduzieren. Letztendlich dient Ihr Dateisystem der Zusammenarbeit. Die sollten Sie fördern, indem mehr Angestellte auf Dateien zugreifen und diese teilen können. Dies sollten Sie selbstverständlich über einfache und möglichst direkte Berechtigungsstrategien ermöglichen.
Zurück zum Bericht des Innovation Councils. Der gesamte Bericht ist lesenswert, aber die wichtigste Erkenntnis ist diese: Sie können Angriffe und APTs nicht gänzlich verhindern. Ihre Chancen ein Einhorn zu finden sind vermutlich größer, als Ihre Chancen ein 100 % wirksames Sicherheitssystem zu installieren. Sie müssen Ihren Angestellten den Zugriff ermöglichen, und damit geht unweigerlich einher, dass Datenschutzverstöße möglich sind.
Sie können Ihre IT- Sicherheit im Gegenteil genau dann verbessern wenn Sie davon ausgehen, dass jemand Ihre Verteidigungsmechanismen umgehen kann. Nehmen Sie sich ein Vorbild an der physischen Sicherheit und installieren Sie das digitale Gegenstück einer Sicherheitskamera. Gleichzeitig schulen Sie Ihre Mitarbeiter Auffälligkeiten und verdächtige Aktivitäten zu erkennen.
Das neue Sicherheitsziel: Über Ihre Daten Bescheid wissen und Anomalien erkennen können
Ähnlich wie Sicherheitskräfte Videoeingaben überprüfen, sollten Ihre IT-Sicherheitsressourcen sich darauf konzentrieren, ungewöhnliche Aktivitäten zu erkennen, oder wie im genannten Bericht formuliert „APTs und Malware möglichst früh erkennen und die Schäden begrenzen“.
Die wichtigste Empfehlung – und das sollte den Lesern des „Metadata-Era-Blogs“ bekannt vorkommen – ist, dass Sie ein fundiertes Wissen über Ihre Daten besitzen müssen. Dazu gehört das Wissen, wo genau die wesentlichsten digitalen Informationsbestände gespeichert sind, wer Zugriff auf diese Daten hat sowie ein Überblick über die üblichen Benutzeraktivitäten.
Warum? Durch dieses Wissen können Sie das durchschnittliche Verhalten von System und Benutzern identifizieren. Alles, was über diese normalen Betriebsparameter hinausgeht, könnte auf einen potenziellen Angriff verweisen.
Fast menschlich: Echtzeit-Analysemodule
Systemadministratoren sollten sich von der Idee verabschieden, die Systeme mithilfe von Standardverfahren zu kontrollieren und zu überwachen, also etwa mit manuellen Prüfungen von Systemen oder App-Logs und anschließenden „Pi-mal-Daumen“-Schätzungen. Menschen können die Unmengen an Logs und Metadaten einfach nicht schnell genug lesen und verarbeiten, um Unterschiede systematisch zu erkennen.
Aus diesem Grund fordert das Councils in seinen Ausführungen einen anderen Ansatz. Ihre IT-Abteilung wird sicherlich besser darin, die deutlichen Fehler oder Mängel zu beheben: Durchsetzen von Passwortrichtlinien, Schließen von Hintertüren und Identifikation gefährlicher und zu weit greifender „Jeder“-Berechtigungen.
Glaubt man den Prognosen wird das alles aber noch nicht ausreichen, um APT’s wirksam zu bekämpfen. Im Gegensatz zu manuellen Verfahrensweisen verzeichnet ein Echtzeit-Analysemodul die grundsätzlichen Tendenzen von Benutzern und Systemaktivitäten auf Basis von verschiedenen Datenanalysekriterien. Auf Basis dieser Informationen erstellt das Modul entsprechende Meldungen bei ungewöhnlichen Verhaltensweisen und Vorkommnissen.
Die Versuchung, in die Offensive zu gehen und die Schutzwände hochzufahren, ist für viele IT-Sicherheitskräfte eine zu verlockende Alternative. APT’s funktioniere allerdings komplett anders: Sie spielen ein effektives Katz-und-Maus-Spiel mit der Malware, die Ihr System überwacht. Sie müssen analog reagieren, indem Sie einen Schritt zurückgehen und das Analysemodul die Datei- und Benutzeraktivitäten überwachen lassen, um dann schnellstmöglich zu reagieren, sobald sich die APT zeigt.
Bildquelle: Pierre pierre
The post VERLASSEN SIE SICH BEIM SCHUTZ VOR ADVANCED PERSISTENT THREATS NICHT AUF HÖHERE SCHUTZWÄNDE appeared first on Varonis Deutsch.