Advanced-Persistent-Threats
Das Drei-Phasen-Modell zur APT-Abwehr
Fortsetzung des Artikels von Teil 2
Angemessene Reaktion bei APTs
Wird tatsächlich ein Cyber-Angriff oder gar ein APT im Unternehmen festgestellt, steht die Schadensbegrenzung durch eine schnelle Reaktion im Fokus. Wichtig ist, eventuell stattfindenden Datenabfluss zu stoppen und alle kompromittierten Systeme zu identifizieren. Diese schnelle Reaktion sollte allerdings regelmäßig geübt werden. Sonst wird der Schaden eventuell noch vergrößert.
Da APT-Angreifer in der Regel zahlreiche Hintertüren (sogenannte Backdoors) installieren, ist ein umfassendes Lagebild über den Grad der Kompromittierung im gesamten Unternehmensnetz erforderlich. Denn wenn bei der Bereinigung nur ein infiziertes System vergessen wird, war die ganze Aktion umsonst. Am schnellsten erhalten Unternehmen ein solches Lagebild durch den flächendeckenden Einsatz eines APT-Scanners.
Sind die Einfallstore geschlossen und der Grad der Kompromittierung ermittelt, kann die Bereinigung (Remediation) der Systeme beginnen. Die Maßnahmen reichen – je nach Schwere des Angriffs – vom Säubern einzelner Server über die Neuinstallation infizierter Systeme bis hin zum Neuaufbau gesamter Netzwerke. Da solche Maßnahmen erhebliche Kosten verursachen und Einschränkungen im Betrieb verursachen, sollte eine fundierte Remediation-Planung durch Profis erstellt und begleitet werden.
Der beste Schutz
Unternehmen kommen zur Bekämpfung von APTs nicht um ein mehrschichtiges Sicherheitsmodell herum. Eine einseitige Investition in Technik ist wenig zielführend. Entscheidend ist, dass die Verantwortlichen Technik, Prozesse und die Mitarbeiter gleichermaßen in ihre Defense-in-Depth-Strategie einbeziehen und neben der klassischen „Resilience“ auch die „Detection“ und „Response“ aktiv in ihre Abwehrstrategie mit aufnehmen.
- Das Drei-Phasen-Modell zur APT-Abwehr
- Anwender sensibilisieren
- Angemessene Reaktion bei APTs
Lesen Sie mehr zum Thema
