APT-Assessment
Ist die IT bereits kompromittiert?
Eine hunderprozentige Sicherheit kann und wird es nicht geben. Zu rasant ist die Entwicklung immer komplexer werdender Cyberangriffen. Angriffe wie APTs sind extrem schwer aufzudecken. Deshalb müssen Unternehmen bereit sein, das IT-Netz in kurzfristigen Intervallen auf den Prüfstand zu stellen.
Der Prüfstand besteht jedoch nicht aus einem Security-Audit, bei dem das Security-Konzept, nach welchem Standard auch immer, theoretisch unter die Lupe genommen und bewertet wird. Wirksamer ist eine äußerst praktische Methode, um Teile des Advanced Persistent Threat-Puzzles aufzudecken. Alles was man dazu braucht sind: Expertise und Security-Intelligence in Verbindung mit einem High-Performance- und High-Sophisticated-Tool, das Schadsoftware zuverlässig erkennt.
APT-Assessment
Systemintegratoren wie Datakom bieten das APT-Assessment als Service an. Dabei werden alle Arten von Schadsoftware aufgedeckt, insbesondere aber die für APTs typischen Angriffsmuster: Die Erstinfektion infiziert einzelne Arbeitsplatzrechner mit Malware, mit der Dateien hoch- und heruntergeladen werden können. Darüber werden auf dem infizierten Rechner weitere Tools nachgeladen. Das kann Software sein, die die Zugangsdaten eines Systemkontos für Software-Verteilung oder gar die des Sytem-Administrators herausfindet. Damit ausgestattet ist die weitere Ausbreitung im Netz einfach. Irgendwann hat der Cyber-Kriminelle dann den richtigen Ansatzpunkt gefunden, um zum Beispiel Dokumente bestimmter Datei-typen über zuvor geschaffene Backdoors zu stehlen.
Das Assessment dauert mindestens vier Wochen. In dieser Zeit wird der Datenverkehr im Netz, auch in Proxy-Umgebungen, über alle Protokolle inklusive Tunnelprotokolle und Anwendungen hinweg auf allen TCP-Ports untersucht. Basierend auf der Deep Session Inspection-Technologie werden die Daten mit einer Kombination aus regelbasierten, statischen und dynamischen Analysen ausgewertet. Es werden selbst verschleierte, komprimierte oder encapsulierte Angriffsmuster er-kannt, die tief in verschachtelten Filesystemen versteckt sind. Dieses Verfahren sichert die hohe Erkennungsrate in Echtzeit. Neben diesen umfassenden Analysen werden weiterhin verdächtige Files im System emuliert, um so eine Echtzeit-Bewertung zu realisieren, unnötige Blockaden zu vermeiden und das Ausschleusen von Daten zu stoppen.
Während der Untersuchung des Datenverkehrs werden Metadaten erzeugt und gespeichert. Die Metadaten enthalten unter anderem Informationen über Protokolle, Applikationen und Anwenderdaten. Sie erlauben sowohl retrospektive wie auch pro-aktive Analysen. Nur so ist möglich, die mit einer C&C-Kommunikation in Verbindung stehenden Sessions aufzulisten.
Dem kriminellen Treiben ein Ende setzen
Bei dem Assessment werden Malware-Infektionen ermittelt und ungewöhnlicher Netzwerk-Verkehr aufgezeigt. Bei Security-Events oder Anomalien erfolgt die Alarmierung in Echtzeit. Die tagesaktuellen Security-Feeds enthalten zusätzlich neueste Angriffsmuster aus allen Branchen, was die Erkennungsrate beträchtlich steigert.
Netz- und SOC-Betrieb laufen wie gewohnt weiter. Das Team von Datakom kümmert sich um das Assessment und weist, wenn gewünscht, in die Methodiken ein.
Es besteht kein Zweifel darüber, dass es kriminelle Profis sind, die es auf die wichtigen Aktivposten von Unternehmen abgesehen haben. Um diesem Treiben ein Ende zu setzen und so die Geschäftsbasis zu schützen, kann ein APT-Assessment gerade gut genug sein.
Lydia Krowka ist Geschäftsführerin von Datakom
Lesen Sie mehr zum Thema
