Viren waren nur der Anfang
Wir bieten ganzheitliche Sicherheitskonzepte für die Zukunft

Advanced Persistent Threat Management

APT-Angriffe sind mehr denn je in aller Munde. Zielgerichtete Angriffe wie im Jahr 2014 auf die Firma Sony, wo das komplette Firmennetzwerk über einen Zeitraum von wahrscheinlich über einem halben Jahr unentdeckt ausgespäht wurde sind inzwischen leider die Realität und kein Einzelfall mehr.

Waren früher die Attacken eher auf das lahmlegen oder zerstören von Daten ausgerichtet, so versuchen die Angreifer heute sich möglichst bedeckt zu halten und so wenig wie möglich Spuren zu hinterlassen um nicht entdeckt zu werden.

Ein APT-Angriff besteht aus grundlegend 6 Phasen

  1. Das Auskundschaften des Ziels
  2. Die Infiltration der Schadsoftware auf dem Zielsystem
  3. Die Kontrolle per Command-and-Control-Server (evtl. Aufspielen weiterer Schadsoftware)
  4. Die Ausbreitung des Angriffs auf mehrere Systeme
  5. Die Daten-Exfiltration, um Zieldaten auszuspionieren.
  6. Das Überleben im Zielsystem, um möglichst viele Daten zu klauen.

Der Unterschied zwischen APTs und dem Cyberterrorismus besteht darin, dass man beim APT versucht möglichst viele Daten aus dem Zielsystem stehlen zu können, während man beim Cyberterrorismus bereits ab der zweiten Phase versucht, das Zielsystem zu zerstören.

Die sogenannte „Perimeter-Sicherheit“ reicht bei solchen APTs leider nicht mehr aus, um die Angreifer zu identifizieren. Hierfür wird die Funktionalität benötigt, Ereignisse in ihrer Gesamtheit zu bewerten. Da durch die Perimeter-Sicherheit aber nur einzelne Datenpakete bewertet werden können, fehlt der Zusammenhang. Oftmals ist es der Fall, dass Hacker durch Fehlalarme eine Alarmbereitschaft an einer anderen Stelle auslösen, um somit ungesehen an einer anderen Stelle ins System einzusteigen.

Leider sind die heutigen APT-Abwehrsysteme den Hackern hinterher. Man benötigt die Korrelation um die APTs puzzleartig zusammen zu fassen und somit eine Hackeroffensive festzustellen. Die Hacker kennen die Abwehrsysteme und wissen somit genau, welche Protokolle und Port-Kombinationen umgangen werden müssen.

Die Ausgaben für die Internet-Sicherheit innerhalb eines Unternehmens haben sich von 2013 auf 2014 bereits um 8% gesteigert. Es wird erwartet, dass 2015 im Vergleich zum Vorjahr nochmals 8% mehr Ausgaben für die Internet-Sicherheit getätigt werden. In der Praxis werden diese Gelder aber häufig nur punktuell investiert und ein umfassendes Sicherheitskonzept fehlt. Wir können Sie dabei unterstützen.

Eine klassische Perimeter-Sicherheit muss zukünftig mit folgenden Funktionen erweitert werden

  • Advanced detection: Das Analysieren von traffic und Nutzungsmustern, wenn, ein Angriff im Aufbau ist.
  • Total containment: Wenn ein Angriff entdeckt wurde, muss gewährleistet werden, dass dieser sich nicht weiter ausbreiten kann.
  • Threat identification: Das Benutzen eines „key-learning tools“, welches mit jedem Angriff mitlernt und somit die Verteidigung über die Zeit verbessert.
  • Advanced threat mitigation: Dies beinhaltet das gezielte Entfernen von malware, die Sanierung von gefährdeten Systemen und die Wiederherstellung nach einem Angriff.

Die Einführung solcher Sicherheitsaspekte zeugt von einem präaktivem Handeln anstelle nur zu reagieren, wenn es eventuell bereits zu spät sein könnte.

Unsere Lösung

Wir unterstützen Sie bei der Auswahl und Implementierung einer Lösung, die Ihre Daten und Netzwerk auch zukünftig umfassend schützen.