von Michael Scheffler, Country Manager DACH von Varonis Systems
Unter einer fortschrittlichen, dauerhaften Bedrohung (Advanced Persistent Threat, APT) versteht man Angreifer, die sich über einen längeren Zeitraum in den Unternehmenssystemen aufhalten, Malware und andere bösartige Software verbreiten und wertvolle Daten exfiltrieren. Dabei handelt es sich um eine der gefährlichsten Bedrohungen für Unternehmen, da sie so konzipiert sind, dass sie oftmals monate-, teilweise sogar jahrelang unentdeckt bleiben.
Traditionell richteten sich APTs in erster Linie gegen große Unternehmen und staatliche Einrichtungen, da diese Angriffe einen hohen Aufwand an Zeit und Ressourcen erfordern. Es gibt jedoch einen deutlichen Trend zu verzeichnen, dass APTs zunehmend auch kleinere und mittelständische Unternehmen sowie Partner und Auftragnehmer von Behörden ins Visier nehmen. So zeigte eine Untersuchung von Kaspersky Ende 2020, dass sich eine der großen APT-Gruppen, Deathstalker, auf kleine bis mittelgroße Unternehmen im Finanzsektor konzentriert.
Ablauf eines fortschrittlichen, dauerhaften Angriffs
APTs sind oftmals sehr zielgenau auf das jeweilige Opfer abgestimmt. Dennoch folgen sie in aller Regel einem bestimmten Ablauf:
- Erste Kompromittierung und Zugang
In der ersten Phase verschaffen sich die Angreifer Zugang zu ihrem Zielunternehmen, sei es durch Spearphishing, Social Engineering, einen direkten Angriff auf ein Netzwerk oder die Ausnutzung einer Software- oder Geräteschwachstelle.
- Verteilung von Malware für ein tieferes Eindringen
Sobald die Angreifer in das Unternehmen eingedrungen sind, setzen sie eine Reihe von Malware und anderen Tools ein, um sich im Unternehmen einzunisten, eine Hintertür für den Fall ihrer Entdeckung zu schaffen und eine C&C (Command and Control)-Verbindung für den Fernzugriff herzustellen.
- Ausweitung und laterale Bewegung
Nach der Installation der erforderlichen Malware können sich die Angreifer frei bewegen und neu erstellte Tunnel, erweiterte Berechtigungen und zusätzliche Techniken wie das Hacken von Passwörtern per Brute-Force nutzen, um unbemerkt Zugang zu anderen Teilen des Netzwerks zu erhalten.
- Erfassen sensibler oder wertvoller Daten
Da diese Art von Angriffen gut vorbereitet und gezielt sind, wissen die Angreifer meist genau, wonach sie suchen. Sobald es ihnen gelingt, auf wichtige Ordner, Assets und Teile des Netzwerks zuzugreifen, können sie damit beginnen, diese Daten zu erfassen.
Dies geschieht häufig über Malware und andere Tools, die Informationen über mehrere Ressourcen hinweg unbemerkt erfassen, komprimieren und als möglichen letzten Schritt verschlüsseln, sodass ihre Aktivitäten für Administratoren unsichtbar sind.
- Exfiltration und möglicher Rückzug
Sobald die Angreifer ihre Zieldaten gefunden haben, beginnen sie damit, diese an den C&C-Server oder einen anderen zugänglichen Ort wie einen bereits kompromittierten Server zu senden. Um einer Entdeckung weiterhin zu entgehen, werden die Daten oftmals verschlüsselt. Angreifer können auch einen White-Noise-Angriff auf das Unternehmen starten, um das Sicherheitsteam abzulenken und Ressourcen zu binden. Dies kann in Form eines DDoS-Angriffs oder anderen leicht zu erkennenden Angriffen geschehen, so dass das Unternehmen gezwungen ist, zu reagieren.
Eine erfolgreiche Exfiltration bedeutet aber nicht automatisch das Ende eines Angriffs. Möglicherweise halten sich die Angreifer auch weiterhin in den Systemen auf, um auch zukünftig Daten entwenden zu können. Häufig richten sie auch eine Backdoor ein, um bei Bedarf später erneut in die Unternehmensnetzwerke einzudringen. Dies verringert das Risiko ihrer Entdeckung und bietet ihnen bei Bedarf die Gelegenheit erneut Daten zu stehlen.
Verteidigungsmaßnahmen
APTs kombinieren verschiedene Angriffsmethoden und -tools, weshalb die Verteidigungsstrategie vielschichtig sein und aus verschiedenen Komponenten bestehen sollte.
- Implementierung von Tools zur Überwachung und Erkennung von Netzwerken und Endgeräten
Um zu erkennen, ob ein Angreifer in die Unternehmensumgebung eingedrungen ist, sich lateral bewegt oder auf kritische Dateien oder Daten zugreift, hilft nur ein effektives Monitoring. Erkennungs- und Überwachungstools müssen in der Lage sein, die Sicherheitsverantwortlichen bei ungewöhnlichen Netzwerkaktivitäten und auffälligem Nutzerverhalten in Echtzeit zu warnen. Je schneller man handeln kann, desto weniger Zeit hat ein APT, sich zu verstecken.
- Mitarbeiter schulen und sensibilisieren
Die Schulung des Sicherheitsbewusstseins der Mitarbeiter ist von entscheidender Bedeutung, da sie in der Regel im ersten Schritt der Infiltration kompromittiert werden. Wenn man ihnen hilft, Phishing-E-Mails zu erkennen, Social-Engineering-Angriffen entgegenzuwirken und angemessen Alarm zu schlagen, lässt sich das Risiko eines erfolgreichen Angriffs deutlich reduzieren. Die Schulungsmaßnahmen sollten durch praxisgerechte Tests unterstützt werden, die man regelmäßig wiederholen sollte. Auf diese Weise lässt sich gut erkennen, welche Mitarbeiter noch Defizite aufweisen und kann diese gezielt adressieren.
- Grundlegende Cyberhygiene beachten
APTs nutzen häufig bekannte Schwachstellen aus. Deshalb sollten Software und Geräte zeitnah aktualisiert und notwendige Sicherheitsupdates eingespielt werden. Entsprechend minimiert ein effektives Patch-Management die Gefahren deutlich. So weit wie möglich sollten Updates automatisiert erfolgen und nicht als Option für Anwender zur Verfügung stehen.
- Berechtigungen und Admin-Privilegien einschränken
APT-Angreifer bewegen sich oft lateral auf der Suche nach einem Konto mit erhöhten Berechtigungen, Zugriff oder Privilegien, um damit sensible Daten zu erfassen und Malware zu installieren. Durch die Umsetzung eines Least-Privilege-Ansatzes lässt sich die Anzahl der Konten deutlich reduzieren, die im Falle einer Kompromittierung hierzu genutzt werden können. Diese Vorgehensweise unterstützt eine Zero-Trust Strategie und ist als wichtiger Baustein unerlässlich. Die Daten eines Unternehmens sollten einen höheren Wert als individuelle Befindlichkeiten haben.
APT-Gruppen verfügen über ein großes Knowhow und oftmals über enorme (teils staatlich geförderte) Ressourcen. Dennoch ist man ihnen nicht schutzlos ausgeliefert. Gerade grundlegende Cybersecurity-Tools und -Lösungen spielen dabei eine wichtige Rolle. Gleichwohl sollte die Sicherheitsstrategie einem mehrschichtigen Ansatz folgen. Dabei sollten die Prioritäten bei der Netzwerküberwachung, der Endpunkt-Erkennung und -Reaktion sowie den Berechtigungen gesetzt werden. Gerade letztere ist ein enormer Hebel, um die Risiken eines Datendiebstahls deutlich zu minimieren.