Sicherheitsexperte von Sourcefire gibt Tipps zum Schutz vor professionellen Hackern
Cyber-Angriffe durchbrechen
Die rasante Zunahme und Schwere von Cyber-Attacken rund um die Welt zeigen nach Ansicht von Sicherheitsexperten, dass es mittlerweile eine "Industrialisierung des Hackens" gibt. Still und leise sei eine höchst effektiv vorgehende Industrie entstanden, die von Angriffen auf unsere IT-Infrastruktur profitiert. Die Krux an der Sache: Der Hacker von heute führt - getrieben vom Wunsch nach ökonomischem oder politischem Profit oder aber Aufmerksamkeit für die eigene Sache - Angriffe aus, die sich mit immer einfacheren Mitteln in die Wege leiten lassen, von ihrem Ansatz her jedoch an Raffinesse zunehmen.
Um das Spektrum der heutigen Bedrohung zu verstehen und sich effektiv dagegen zu verteidigen, sollten laut Sicherheitsanbieter Sourcefire IT-Security-Profis damit beginnen, wie Angreifer zu denken. Nur durch ein tiefergreifenderes Verständnis der Angriffskette, also des üblichen methodischen Herangehens eines Profi-Hackers, könnten sie Möglichkeiten identifizieren, um ihre Verteidigung zu stärken.
Maik Bockelmann, Director Central und Eastern Europe von Sourcefire, erläutert, wie dies funktioniert. Die Angriffskette eines professionellen Hackers besteht in der Regel aus fünf Phasen.
Phase 1: Überblick verschaffen
Angreifer setzen in einem ersten Schritt Überwachungs-Malware in die Infrastruktur eines Unternehmens ein, um sich ein Gesamtbild der Umgebung zu verschaffen, und zwar gleichgültig, ob es sich dabei um das Netzwerk, einen Endpunkt, ein Mobilgerät oder eine virtuelle Umgebung handelt. Nur so können sie verstehen, welche Angriffspunkte existieren, welche Sicherheits-Tools im Einsatz sind sowie welche Konten zu knacken sind, um Zugang zu gehobenen Ebenen zu erhalten. Eine derartige Überwachungs-Malware benutzt gewöhnliche Kanäle, um zu kommunizieren und bleibt dabei in der Regel unbemerkt.
Phase 2: Malware maßschneidern
Sobald der Hacker weiß, worauf er sich einstellen muss, entwickelt er auf das Unternehmenssystem zugeschnittene Malware. So gibt es beispielsweise spezielle Malware, die feststellt, ob sie sich in einer Sandbox-Umgebung befindet und sich dort anders verhalten muss als in einem User-System.
Es gibt Malware, die vor ihrer Ausführung nach der Installation von Sprachpaketen sucht – zu sehen am Beispiel von Flame – oder Malware, die umgebungsspezifisch agiert, abhängig davon, ob sie in einem Unternehmens- oder einem Heimnetzwerk unterwegs ist. Der Angreifer wird dann seine Überwachungsaktivitäten weiter ausweiten, um wichtige Details darüber in Erfahrung zu bringen, wo die für ihn lohnenden Zielobjekte sind, und wie er zu ihnen gelangen kann. Und dass jeweils abgestimmt auf die spezifische Organisationsstruktur, die vorhandenen Anwendungen, Anwender, Partner, Prozesse und internen Verfahrensweisen.
Phase 3: Angriff testen
Ist die Malware erzeugt, stellt der Hacker sicher, dass sie auch richtig funktioniert. Malware-Schreiber haben üblicherweise genug Geld und weit verbreitete Netzwerke, in denen sie Informationen austauschen. Deshalb stellt es für sie kein Problem dar, die ausgespähte Unternehmensumgebung zunächst einmal nachzubauen und vorab auszutesten, wie die Malware auf die implementierten Sicherheits-Tools reagiert. Nur so können sie sicherzustellen, dass sie unbemerkt durch die etwaig errichtete „Verteidigungsfestung“ gelangen.
Das Prinzip ist simpel und vergleichbar mit üblichen Softwareentwicklungsprozessen wie QA- oder Bench-Tests. So simpel, dass Malware-Schreiber mitunter garantieren können, dass ihre Malware sechs bis neun Monate im Zielsystem unbemerkt bleibt. Dies ist die wahre Industrialisierung des Hackens.
Phase 4: Angriff starten
Insider reden leider nicht mehr über die alten Tage, in denen die einzige Motivation eines Angreifers die öffentliche Profilierung war. Mittlerweile ist der finanzielle Anreiz für Systemangriffe weitaus größer als die schiere Aussicht auf Ruhm, weshalb die meisten Angriffe heute im Verborgenen bleiben. Angreifer navigieren durch das erweiterte Netzwerk, beobachten dabei die Umgebung, achten darauf, nicht entdeckt zu werden und bewegen sich so schrittweise bis zum Ziel.
Phase 5: Mission erfüllen
Die Ziele eines Angreifers können unterschiedlich sein: Manche Angreifer wollen vor allem Informationen sammeln, andere wollen wiederum Prozesse zum Absturz bringen. Was auch immer es ist, Hacker haben ab dieser Phase nun die nötigen Informationen und einen Angriffsplan, um den Erfolg ihrer Mission zu maximieren. Ist die Mission erfüllt, werden die Beweise entfernt. Nicht jedoch, ohne eine Hintertür für zukünftige Angriffe geöffnet zu lassen.
Was können Unternehmen also tun?
Angreifer bedienen sich vor allem dreier Schlüsselfähigkeiten, um ihr Vorgehen zu verfeinern. Das Sicherheitsteam eines Unternehmens muss deshalb dieselben Fähigkeiten einsetzen, um sich gegen Angriffe effektiv zu verteidigen. Dies umfasst:
1. Sichtbarkeit: Angreifer haben einen vollen Einblick über die IT-Umgebung des Zielunternehmens – diesen muss das Unternehmen deshalb auch haben. Um die Organisation effektiver schützen zu können, braucht das IT-Sicherheitsteam einen Grundstock an Informationen über das erweiterte Netzwerk (inklusive der Endpunkte, den mobilen Endgeräten und sämtlichen virtuellen Umgebungen). Die Experten brauchen zudem einen guten Überblick über alle vorhandenen Assets, Betriebssysteme, Anwendungen, Services, Protokolle, Nutzer, das Netzwerkverhalten und natürlich potenzielle Bedrohungen und Verwundbarkeiten. Um dies zu gewährleisten, sollten sie auf Techniken zurückgreifen, die nicht nur die notwendige Sichtbarkeit, sondern auch eine zusätzliche kontextbezogene Einordnung der Informationen bieten. Beispielsweise, in dem sie umfassende Datenmengen über Ihre spezielle Umgebung zueinander in Beziehung setzen und so fundierte, sicherheitsrelevante Entscheidungen treffen können.
2. Automatisierung: Die IT-Abteilung muss beim Thema IT-Sicherheit schlauer vorgehen, nicht strikter. Hacker benutzen automatisierte Methoden, um ihre Angriffe zu vereinfachen und zu beschleunigen. Gegen derartige Attacken mit manuellen Prozessen vorzugehen, ist unangemessen. Vielmehr sollte das IT-Team Vorteile aus Techniken ziehen, die kontextuelles Bewusstsein mit Automatisierung kombinieren und somit Sicherheitsszenarien schneller lösen. Das Aktualisieren, Ausführen und Verfeinern von Regeln ist nur ein Beispiel für einen Prozess, der sich intelligent automatisieren lässt, um Echtzeitschutz gegen dynamische Bedrohungen in IT-Umgebungen zu bieten.
3. Intelligente Abwehr: In einer Zeit, in der Hacker umfangreich Informationen einholen, bevor sie Angriffe lancieren, müssen auch Unternehmen einen intelligenzbasierenden Sicherheitsansatz fahren, um Angriffe niederzuschlagen. Techniken, die die Cloud Computing und Big-Data-Analysen nutzen, können dabei die notwendigen Sicherheitskenntnisse liefern. Diese können beispielsweise Informationen über unbekannte und verdächtige Ordner über große Communities hinweg aufstöbern und mithilfe der Analyse von großen Datenmengen neueste Bedrohungen identifizieren, verstehen und abwenden. Derartige Abwehrmethoden lassen sich nicht nur anwenden, um die Umgebung retrospektiv zu sichern und dabei Schaden durch Bedrohungen, die einer ersten Entdeckung entgangen sind, nachträglich einzugrenzen. Auch proaktive Sicherheitsmaßnahmen sind so entsprechend anpassbar.
In einer Welt, in der Angreifer so offenkundig im Vorteil sind, müssen Unternehmen Feuer mit Feuer bekämpfen. Sicherheitstechniken, die Transparenz, Automatisierungsfunktionen und intelligente Abwehrmethoden bereitstellen, können helfen, die übliche Angriffskette aktiv zu durchbrechen.
Sicherheitsexperten veröffentlichen spektakuläre Hacking-Erfolge
Infizierte Computer haben im Schnitt acht Sicherheitslücken
Deutsche Mittelständler vernachlässigen die mobile Datensicherheit
Kaspersky: Rundumschutz für Android-Smartphones und -Tablets
Backdoor-Trojaner greift Regierungsorganisationen an
IDC vergleicht Anbieter von Security-Lösungen
Lesen Sie mehr zum Thema
