zurück zur Übersicht

Gezielte Angriffe: In der Schusslinie

Gezielte Angriffe treffen präzise die kritischsten RessourcenDie Zeit der breit gestreuten Angriffe auf alles was erreichbar ist war gestern. Gezielte Angriffe auf vorbestimmte Ziele mit der Genauigkeit eines Skalpells sind heute die wahre Gefahr.

Das heißt natürlich nicht, dass es die große Masse der „blinden“ Angriffe nicht mehr gibt. Sie sind jedoch viel leichter zu erkennen und  einzudämmen, sowohl für Privatnutzer als auch für IT-Security-Lösungen in Unternehmen. Signaturbasierte Malwarescanner und Firewalls tun hier einen guten Dienst, um das „Grundrauschen“ der Streuangriffe abzuwehren. Zweck solcher Angriffe ist ohnehin meist die direkte Monetarisierung z.B. durch den Missbrauch von infizierten Rechnern für Spamversand – und nicht etwa der Diebstahl wichtiger Firmendaten aus der Forschungsabteilung eines bestimmten Konzerns.

Malware von Freunden und Geschäftspartnern

Gezielte Angriffe wie Spear-Phishing haben allein deswegen schon eine höhere Wahrscheinlichkeit erfolgreich zu sein, weil sie mit hohem Aufwand betrieben werden.

Ein mögliches Szenario: Man erhält von einem Freund eine E-Mail, zum eigenen Geburtstag oder vielleicht eine Einladung zu seinem. Im Postfach landet ein angebliches Meetingprotokoll als Anhang, mit der Absenderadresse eines Geschäftspartners. Warum auch misstrauisch sein, schließlich sind Firewall, Virenscanner und E-Mail-Sandbox ja aktiv. Ein Klick und schon ist es passiert.

Tiefschlag ohne Vorwarnung

Es gibt einen großen Unterschied zwischen Massenangriffen und gezielten Angriffen: Massenangriffe hinterlassen leicht erkennbare Spuren. Das macht es schon nach kurzer Zeit sehr leicht, sie zu erkennen und abzuwehren. Gezielte Angriffe schlagen ohne Vorwarnung zu. Und genau hier beginnt die große Gefahr. Lance Cottrell fasst in seinem Vortrag auf der BSidesSF 2016 die wichtigsten Punkte gezielter Angriffe zusammen:

  • Gezielte Angriffe sind schwerer zu erkennen, da sie auf eine weit kleinere Zielgruppe angewendet werden.
  • Gezielte Angriffe umgehen meist bestimmte Personen wie IT-Sicherheits-Forscher und Detektionsmaßnahmen wie Honeypots.
  • Um der Detektion zu entgehen werden Angreifer auf teure Zero-Day-Exploits zurückgreifen
  • Die Angreifer haben meist genau vorgeplant, warum sie ein Ziel angreifen und was genau sie erreichen wollen. Daher sind die Auswirkungen eines gezielten Angriffs umso schmerzhafter für ein Unternehmen.

Da die Angriffe meist nicht erkannt werden und hochwertige Exploits, Skripte und Software zum Einsatz kommen, ist es wahrscheinlich, dass die erbeuteten Zugänge eine sehr lange Zeit erreichbar bleiben. Diese können zu guter Letzt schließlich auch für weitere gezielte Angriffe verwendet werden. Der entstehende Schaden kann in solchen Fällen existenzbedrohlich sein.

Gezielte Angriffe auf exponierte Schwachstellen & Awareness

Doch wie kann man sich schützen? Schließlich ist es in der Unternehmenswelt nicht möglich sich unsichtbar zu machen oder koplett abzuschotten. Wertvolle Ziele sind meist ebensolche, die auch nach außen auftreten müssen.

Bei Geschäftsadressen sind E-Mails in der Regel eindeutig zuzuordnen, und können gegebenenfalls rückbestätigt werden. Auch Trainings und Awareness-Kampagnen können in gewissem Maße helfen. Doch irgendwann wird ein Angriff erfolgen, der zu gut gefälscht ist, um ihn ohne technische Hilfsmittel zu erkennen. Signaturbasierte Verteidigungsmaßnahmen sind systembedingt hilflos, da unbekannte Zero-Day-Exploits und speziell programmierte Malware verwendet werden. Es existieren also schlicht keine Signaturen.

Der Feind ist schon im Netzwerk – was tun?

Es ist wichtig, dass Unternehmen anerkennen, dass gezielte Angriffe irgendwann Erfolg haben werden. Gehen wir also von der Annahme aus, der Angreifer hat bereits Zugriff und kann sich relativ ungehindert im Unternehmensnetzwerk bewegen. Was müssten wir tun?

Maßnahme 1: Gehackte Accounts erkennen

Eine Möglichkeit der Erkennung kompromittierter Nutzer sind SIEM-Systeme (Security Information and Event Management) mit Regeln, die speziell darauf abgestimmt sind, Anomalien zu erkennen. Verhält sich ein Nutzer abweichend von seinem normalen Verhalten, so wird dies erkannt. Auch spezialisierte Softwares wie beispielsweise HP User Behavior Analytics (UBA) verwenden dieses Konzept und weisen jedem Nutzer einen Risikowert zu, der in Abhängigkeit der Aktivitäten anwächst. Verhält sich ein Nutzer einmalig stark abweichend oder mehrere Male auffällig, so wird ein Alarm erzeugt. (Mehr zum Thema SIEM)

Maßnahme 2: Datendiebstahl verhindern

Der Abfluss von Daten wiederum kann mit Data-Loss-Prevention-Systemen erkannt werden. Die Anzahl autorisierter Nutzer so klein wie möglich zu halten erhöht die Sicherheit deutlich. Das setzt eine granulare Vergabe von Berechtigungen voraus. Hat ein kompromittierter Nutzer jedoch regulär die Erlaubnis bestimmte geheime Dateien anzusehen, so kann dies dazu führen, dass die DLP-Lösung den Angriff nicht als solchen erkennt. (mehr zum Thema Data-Loss-Prevention-Systeme)

Maßnahme 3: Sicherheitskompetenz bündeln

Im Endeffekt wird in vielen Fällen ein Spezialist entscheiden müssen, ob es sich um einen Sicherheitsvorfall oder eine unbedeutende Abweichung vom normalen Verhalten handelt. Ein Security Operation Centers (SOC), egal ob In-house oder als Managed Service betrieben, entwickelt sich mehr und mehr zur Notwendigkeit, um solche Analysen effizient und effektiv durchführen zu können. (Mehr zum Thema Managed Security Service)


Links:

http://www.theprivacyblog.com/presentation/targeting-trend-protect/

Bild: ©iT-CUBE SYSTEMS AG 2016

 

 

 

 

Schreibe einen Kommentar