Advanced-Persistent-Threats
Das Drei-Phasen-Modell zur APT-Abwehr
Fortsetzung des Artikels von Teil 1
Anwender sensibilisieren
icht nur Mitarbeiter, auch IT-Administratoren müssen sensibilisiert werden. Hier existieren spezifische Anforderungen: Vielen IT-Mitarbeitern ist gar nicht bewusst, dass sie mit ihrem Verhalten einen entscheidenden Beitrag zur Unternehmenssicherheit leisten können. So bewirkt das konsequente Härten von Systemen einen erheblichen Sicherheitszuwachs.
Dazu zählt beispielsweise nicht benötigte Dienste abzuschalten, alle Standardpasswörter zu ändern, nicht benötigte Software zu deinstallieren und ungenutzte Accounts zu deaktivieren.
Auch das regelmäßige Einspielen von Security-Patches ist in vielen Unternehmen Administratoren-Aufgabe. Solche Softwareupdates können auch Probleme im Betrieb verursachen und sind nicht sehr beliebt. Gerade deshalb ist es essenziell, den Administratoren die Risiken aufzuzeigen, die durch unzureichendes Patching entstehen können.
Ein dritter entscheidender Punkt für Administratoren ist die Einhaltung des Prinzips der minimalen Rechte. Für Admins ist es einfacher mit einem Account viele Systeme zu administrieren, für die Sicherheit ist das jedoch fatal. Viele APT-Attacken sind sehr erfolgreich, weil die Angreifer auf Webservern die Zugangsdaten (Credentials) hoch privilegierter Admin-Accounts finden. Jedes System sollte daher nur mit den Rechten administriert werden, die genau für dieses System benötigt werden.
Wenn der Ernstfall eintritt
Selbst wenn Unternehmen die bisher beschriebenen Maßnahmen konsequent umsetzen – ein Restrisiko, dass professionelle Cyber-Angreifer in das Unternehmensnetz eindringen, bleibt immer. Unternehmen sollten auf diesen Ernstfall vor-bereitet sein. Um die Angreifer möglichst schnell zu entdecken, ist die Implementierung eines Security-Information-and-Event-Managements (SIEM) oder der regelmäßige Einsatz eines APT-Scanners sehr zu empfehlen.
Ein SIEM-System sammelt Log-Daten aus Netzwerkkomponenten, Servern, Applikationen oder auch APT-Scannern, analysiert diese und schlägt bei der Überschreitung bestimmter Schwellwerte Alarm.
Ein APT-Scanner ist auf das Auffinden von typischen Hacking-Aktivitäten und -Spuren optimiert. Er sucht nach Spuren von Tools, die sowohl IT-Administratoren als auch Cyber-Angreifer nutzen und deshalb keinen Alarm bei Virenscannern auslösen. Zusätzlich untersucht er beispielsweise, ob Internetverbindungen zu verdächtigen Zieladressen aufgebaut wurden oder ob nicht erfolgreiche Anmeldeversuche zu ungewöhnlichen Zeiten stattgefunden haben. Die Korrelation dieser einzelnen Ereignisse liefert einen „Indicator of Attack (IoA)“, ein Indiz für mögliche Hacking Aktivitäten.
- Das Drei-Phasen-Modell zur APT-Abwehr
- Anwender sensibilisieren
- Angemessene Reaktion bei APTs
Lesen Sie mehr zum Thema
