Schutz vor Advanced Persistent Threats (APT)

Wie funktioniert das?

Advanced Persistent Threats sind hauptsächlich durch Nationalstaaten gesponserte Angriffe, die eine Organisation gefährden, und Spionage oder Sabotage zum Zweck haben. Sie versuchen in der Regel über einen langen Zeitraum unerkannt zu bleiben.

Der Begriff Advanced Persistent Threats (APTs) wird oft falsch verwendet. Anstelle einer speziellen technischen Methode für eine Bedrohung soll sie einen Angreifer (oder eine Gruppe von Angreifern) und die Motivationen des Angreifers für die Bedrohung beschreiben; dies ist gewöhnlich nicht einmalige Spionage, finanzieller Gewinn oder Verbrechen.

Advanced Persistent Threats (APTs) sind entweder motiviert durch Unternehmensspionage, die wertvolle Handelsgeheimnisse und geistiges Eigentum stehlen soll, oder der APT Angriff dient zur Sabotage der Pläne und Infrastruktur einer Organisation.

APT-Angreifer (Advanced Persistent Threat) verwenden verschiedene auf E-Mail basierende Methoden zum Erstellen von Angriffen, die durch andere physische und externe Ausbeutungstechniken unterstützt werden. Ein Advanced Persistent Threat hat einige typische Eigenschaften, die bei anderen Angriffsarten nicht zu finden sind:

  • Recon (Aufklärung): APT-Angreifer (Advanced Persistent Threat) haben üblicherweise Aufklärungsdaten und wissen, wer die bestimmten Zielbenutzer und die Zielsysteme sind, mit denen ihre Ziele erreicht werden können. Diese Informationen werden häufig durch Social Engineering, öffentliche Foren und – höchstwahrscheinlich – nationalstaatliche Geheimdienste in Erfahrung gebracht.
  • Time-to-live (Lebenszeiterkennung): APT-Angreifer (Advanced Persistent Threat) wenden Techniken zur Vermeidung der Erkennung über lange Zeiträume hinweg an. Sie suchen nicht nach einer kurzlebigen Infektionsperiode, die gewöhnlich bei Angriffen zum Erzielen von finanziellem Gewinn zu sehen ist. Sie versuchen alle Spuren zu löschen und führen ihre Funktionen in der Regel außerhalb der Geschäftsstunden aus. Sie hinterlassen immer Hintertüren, damit ein erneutes Eindringen möglich ist, sollte der anfängliche Zugriff erkannt werden. Dadurch können sie hartnäckig bleiben.
  • Erweiterte Malware: APT-Angreifer (Advanced Persistent Threat) nutzen das gesamte Spektrum bekannter und verfügbarer Angriffstechniken und kombinieren bei jedem Angriff verschiedener Methoden, um das Ziel zu erreichen. APT-Angreifer nutzen kommerziell erhältliche Crimeware und Kits, haben gewöhnlich jedoch auch die Technologie und Erfahrung, um ihre eigenen angepassten Tools und polymorphische Malware zu entwickeln, wenn dies für angepasste Umgebungen und Systeme erforderlich ist.
  • Phishing: Die meisten APT, die Internet-gestützte Ausbeutungstechniken anwenden, beginnen mit Social Engineering und Spear-Phishing. Nachdem der Computer eines Benutzers kompromittiert wurde oder die Netzwerk-Anmeldeinformationen erhalten wurden, können die Angreifer aktive Schritte unternehmen, um ihre eigenen Tools zur Überwachung und Verbreitung durch das Netzwerk nach Bedarf einzusetzen – von Computer zu Computer und Netzwerk zu Netzwerk – bis sie die gesuchten Informationen gefunden haben.
  • Aktiver Angriff: Bei APT liegt ein beachtliches Ausmaß an koordinierter menschlicher Mitwirkung durch den Angreifer vor. Dies sind keine vollautomatisierten schädlichen Codes, die in typischen Crimeware-Angriffen lediglich Daten zurück zum Angreifer senden, damit dieser sie sammeln kann. In diesem Fall ist der Gegner ein kapitalkräftiger, motivierter, kompetenter und höchst gezielter Angreifer, der seinen Ansatz und seine Reaktion extrem aktiv durchzieht.

Wie kann ich mich vor APTs (Advanced Persistent Threats) schützen?

Es gibt keine allgemein wirksame Wunderwaffe oder einen APT Blocker, um ein Unternehmen vor APT-Angreifern zu schützen. Diese Advanced Persistent Threats und die Angreifer suchen nach Wegen, um nach dem Eindringen in die Organisation weiter dort zu bleiben. Daher ist die Nutzung einer Kombination von Technologien, die Protokolle triangulieren und außerhalb der Norm liegende Verhaltensweisen im Unternehmensnetzwerk identifizieren, für eine effektive APT Security entscheidend. Der Schwerpunkt dieser Verteidigungsstrategie sollte die Auswahl der klassenbesten Erkennungslösungen sein, die gemeinsam Aufklärungsdaten über die Ziele, die von den Angreifern verwendeten Methoden, die Häufigkeit der Aktivität, den Ursprung des Advance Persistent Threat und das mit den Motiven des Angreifers verbundene Risiko liefern.

Basierend auf dem Verizon Data Breach Investigations Report, verwenden 95 % der gezielten Bedrohungen und APT Angriffe eine Form von Spear Phishing als Ausgangspunkt des Angriffs. Daher muss ein Teil einer APT Security Strategie eines Unternehmens eine Erkennungslösung umfassen, die versucht basierend auf ungewöhnlichen Verkehrsmustern nach gezielten Bedrohungen in der E-Mail zu suchen, die in verdächtigen E-Mails eingebetteten URLS neu schreibt und danach eine konstante Ausschau nach der URL auf schädliche Verhaltensweise hält, um diese präventiv zu isolieren. Ein solcher Ansatz würde potenziell gegen solche Angriffe schützen bzw. diese erkennen. Und da bekannt ist, welche Benutzer wann und wie lange angegriffen wurden, besteht ein wichtiger Vorteil, mehr über den APT-Gegner und seine Motivationen zu erfahren.