Kommentar: Profiling – Die Antwort auf gezielte Angriffe

Gezielte Angriffe oder Advanced Persistent Threats (APT) sind in aller Munde. Auch wenn sie aus in der Untergrundwirtschaft weit verbreiteten Komponenten zusammengebaut werden, sind sie derart auf das jeweilige Opfer angepasst, dass sie nur sehr schwer zu entdecken sind. [...]

Sie gleichen dem netten Nachbarn von nebenan, der einer alten Frau aus dem vierten Stock den Müll entsorgt, in Wahrheit aber ein so genannter „Schläfer“ und ein Mitglied einer terroristischen Zelle ist. Wer solche Angreifer erkennen will, muss wie ein Fallanalytiker (oder neudeutsch „Profiler“) handeln. CSI lässt grüßen…
 
Mein Kollege Tom Kellermann hat vor kurzem die wichtigsten Tarntaktiken gezielter Angriffe zusammengefasst: Die kriminellen Programmierer wissen, wie ein IT-Administrator reagieren würde, wenn er den Verdacht hätte, dass ein Angriff stattfindet. Er würde nach Sicherheitslücken suchen, die möglicherweise für die Infektion genutzt wurden, und nach Anzeichen von Kommunikation mit einer unbekannten IP-Adresse suchen. Folglich sind gezielte Angriffe so gestaltet, dass sie die von ihnen genutzten Sicherheitslücken schließen und eventuell bereits vorhandene Malware beseitigen. Schöner Nebeneffekt: Andere Cyberkriminelle können diese Lücken nicht mehr nutzen und so ein und dasselbe Opfer angreifen. Das ist wichtig, denn um keinen Verdacht zu schöpfen, geht der Schadcode erst einmal in den Schlafmodus über. Anweisungen von außen sind nicht nötig, der bei sonstigen Angriffen typische Austausch mit Befehls- und Kontrollservern (Command-and-Control-Server) findet nicht statt. Nur die erbeuteten Daten werden – zum Teil in großen und unregelmäßigen Abständen – häppchenweise nach draußen geschickt, so dass die kriminelle Aktivität in der Regel nicht auffällt.

Es reicht also nicht aus, nur das bei der Analyse zu betrachten, was innerhalb des betroffenen Unternehmensnetzes passiert. Denn dies führt in der Regel zu keinem eindeutigen Ergebnis. Hinweise auf einen bereits stattfindenden gezielten Angriff erlaubt erst die Schau auf das Gesamtbild. Ähnlich einem Fallanalytiker, der zum Beispiel auch soziologische Erkenntnisse in seiner Analyse verwendet, um den möglichen Täterkreis auf ein Geschlecht oder eine bestimmte Altersgruppe einzuschränken, hilft der Blick auf die kriminellen Aktivitäten im Internet, um intern unverdächtige Ereignisse als gefährlich zu begreifen. Tauchen in den Protokolldateien IP-Adressen auf, die in Zusammenhang mit Massenangriffen oder Attacken in der Vergangenheit stehen? Schickt ein Benutzer oder Rechner, der auf sensible Daten zugreifen darf, auffällig selten an zwei oder drei IP-Adressen Informationen, während der Austausch mit anderen Empfängeradressen eher gleichmäßig verteilt ist? Handelt es sich in beiden Fällen um dieselben IP-Adressen?
 
Korrelation von scheinbar unabhängigen Ereignissen innerhalb und außerhalb des Unternehmensnetzes heißt das Zauberwort. Dazu müssen zum Teil sehr große Datenmengen analysiert werden. Unternehmen, die sich effektiv vor gezielten Angriffen schützen wollen, müssen daher bei der Auswahl von Sicherheitsanbietern und deren Lösungen darauf achten, ob diese in der Lage sind, riesige Datenmengen und ihre Zusammenhänge à la Big Data zu analysieren und Netzwerkereignisse auf allen Ebenen für die Auswertung zu korrelieren.

* Udo Schneider ist Solution Architect beim IT-Sicherheitsanbieter Trend Micro.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*