Was ist eine Advanced Persistent Threat?
Veröffentlicht: 2021-06-10Eine Advanced Persistent Threat ist eine Angriffsart, bei der ein Hacker oder ein unbefugter Benutzer über einen längeren Zeitraum gewaltsam auf ein System oder Netzwerk zugreift und dort bleibt, ohne dass es jemand bemerkt.
Advanced Persistent Threats (APT) sind besonders gefährlich, insbesondere für Unternehmen, da diese Hacker ständig Zugriff auf streng vertrauliche Unternehmensdaten haben. Das Hauptziel von Advanced Persistent Threats besteht nicht darin, lokalen Computern oder Netzwerken Schaden zuzufügen, sondern eher im Zusammenhang mit Datendiebstahl.
- Wie APT funktioniert
- Stages ist die Evolution von Advanced Persistent Threat (APT)-Angriffen
- So identifizieren Sie Advanced Persistent Threats
- Beispiele für fortgeschrittene persistente Bedrohungen
- APT-Sicherheitsmaßnahmen
- Best Practices für die Netzwerksicherheit
Was sind die Advanced Persistent Threat Steps und wie funktionieren sie?
Fortgeschrittene persistente Bedrohungen werden in der Regel schrittweise durchgeführt, was mit dem Hacken des Netzwerks beginnt, gefolgt von der Vermeidung jeglicher Erkennung des Hacks. Darüber hinaus erstellen die Hacker einen Angriffsplan, in dem sie die Unternehmensdaten abbilden, um herauszufinden, wo das Rata am leichtesten zugänglich ist. Schließlich sammeln sie diese sensiblen Daten und schöpfen sie aus.
Diese Bedrohungen sollen viele Datenschutzverletzungen mit großen finanziellen Auswirkungen verursachen. Die Fähigkeit, von einigen der traditionellen Sicherheitsmaßnahmen unentdeckt zu bleiben, ist der besorgniserregende Punkt für Unternehmen. Und um die Sorgen der Unternehmen noch weiter zu steigern, entwickeln Hacker ausgeklügeltere Methoden, um ihre Ziele zu erreichen, was zu einem zügellosen Anstieg von Advanced Persistent Threats führt.
Fortgeschrittene persistente Bedrohungen verwenden verschiedene Methoden, um den ersten Zugriff auf ein Netzwerk zu erhalten. In einigen Fällen können die Angreifer das Internet nutzen, um Malware zu verbreiten und sich Zugriff zu verschaffen. Manchmal induzieren sie auch eine physische Malware-Infektion oder eine externe Ausnutzung, damit sie in ein geschütztes Netzwerk gelangen können.
Im Vergleich zu vielen traditionellen Bedrohungen wie Viren und Malware, die immer das gleiche Verhalten zeigen, sind Advanced Persistent Threats ganz anders. Advanced Persistent Threats haben keinen breiten oder generischen Ansatz.
Im Gegenteil, sie sind akribisch und sorgfältig geplante Bedrohungen mit einem klar definierten Ziel, eine bestimmte Organisation anzugreifen. Advanced Persistent Threats sind also extrem maßgeschneidert und sehr ausgeklügelt konzipiert, um den bestehenden Sicherheitsmaßnahmen in einem Unternehmen zu entkommen.
Häufiger verwendeten Hacker vertrauenswürdige Verbindungen, um sich den ersten Zugang zu verschaffen. Das bedeutet, dass sich Hacker Zugang über Zugangsdaten von Mitarbeitern oder Geschäftspartnern verschaffen können, auf die wiederum durch Phishing-Angriffe zugegriffen wird. Mit diesen Anmeldeinformationen können die Angreifer lange Zeit unentdeckt im System bleiben, genug, um die Systeme und Daten der Organisation zu kartieren und einen Angriffsplan zu erstellen, um die Unternehmensdaten zu entleeren.
Aus Sicht des Erfolgs von Advanced Persistent Threats ist Malware eine kritische Komponente. Sobald ein bestimmtes Netzwerk verletzt wurde, kann sich die Malware leicht vor einigen der Standard-Navigationssysteme verstecken, von einem System zum anderen wechseln, mit dem Sammeln von Daten beginnen und die Netzwerkaktivität überwachen.
Ein weiterer wichtiger Aspekt ist die Fähigkeit dieser Hacker, aus der Ferne zu agieren und diese fortschrittlichen, hartnäckigen Bedrohungen aus der Ferne zu kontrollieren. Es gibt den Hackern die Möglichkeit, durch das Netzwerk des Unternehmens zu navigieren, nach kritischen Daten zu suchen, Zugriff auf die Informationen zu erhalten und dann mit dem Siphoning dieser Daten zu beginnen.
Fünf Phasen eines sich entwickelnden Advanced Persistent Attack
Der Angriff auf eine Advanced Persistent Threat kann in fünf verschiedenen Phasen durchgeführt werden, wie zum Beispiel:
Phase 1: Zugang erhalten
Hier erhalten die Hacker oder Hacktivisten auf einem der drei Wege den ersten Zugang zu einem Netzwerk. Entweder über webbasierte Systeme, Netzwerke oder menschliche Benutzer. Sie suchen nach Anwendungsschwachstellen und laden bösartige Dateien hoch.
Stufe 2: Fuß fassen
Sobald der erste Zugriff erfolgt ist, kompromittieren Hacker das eingegebene System, indem sie einen Backdoor-Trojaner erstellen, der maskiert ist, damit es wie legitime Software aussieht. Auf diese Weise können sie Zugriff auf das Netzwerk erhalten, um das eingegebene System aus der Ferne zu steuern.
Stufe 3: Zugang vertiefen
Nachdem sie Fuß gefasst haben, sammeln Angreifer weitere Informationen über das Netzwerk. Sie versuchen mit Gewalt anzugreifen und Schwachstellen im Netzwerk aufzuspüren, über die sie sich tieferen Zugriff verschaffen und dadurch weitere Systeme kontrollieren können.
Stufe 4: Bewegen Sie sich seitlich
Sobald sie sich tief im Netzwerk befinden, erstellen diese Angreifer zusätzliche Backdoor-Kanäle, die ihnen die Möglichkeit geben, sich seitlich durch das Netzwerk zu bewegen und bei Bedarf auf Daten zuzugreifen.
Stufe 5: Schauen, lernen und bleiben
Sobald sie beginnen, sich über das Netzwerk zu bewegen, beginnen sie mit dem Sammeln der Daten und bereiten sich darauf vor, sie außerhalb des Systems zu übertragen – bekannt als Exfiltration. Sie erstellen eine Abweichung in Form eines DDoS-Angriffs, während Angreifer die Daten abschöpfen. Wenn der APT-Angriff nicht erkannt wurde, bleiben die Angreifer im Netzwerk und halten Ausschau nach Gelegenheiten für einen weiteren Angriff.
( Lesen Sie auch : Was ist Cloud-Sicherheit?)
Wie erkennt man eine Advanced Persistent Threat?
Advanced Persistent Threats sind aufgrund ihrer Beschaffenheit nicht leicht zu erkennen. Tatsächlich verlassen sich diese Bedrohungen auf ihre Fähigkeit, unbemerkt zu bleiben, um ihre Aufgabe zu erfüllen. Es gibt jedoch einige Indikatoren, die Ihr Unternehmen erleben kann und die als Frühwarnzeichen behandelt werden können:
- Eine Zunahme der Anmeldungen spät in der Nacht oder wenn Mitarbeiter nicht auf das Netzwerk zugreifen.
- Wenn Sie groß angelegte Backdoor-Trojaner bemerken. Diese werden normalerweise von Hackern verwendet, die Advanced Persistent Threats verwenden, um sicherzustellen, dass sie den Zugriff auf das Netzwerk behalten.
- Sie sollten nach einem plötzlichen und großen Datenfluss suchen, von internen Ursprüngen zu internen und externen Maschinen.
- Sehen Sie sich die Datenpakete an. Dies wird normalerweise von Angreifern verwendet, die fortgeschrittene dauerhafte Bedrohungen planen, während sie die Daten innerhalb des Netzwerks aggregieren, bevor die Hacker die Daten aus dem Netzwerk verschieben.
- Identifizierung von Pass-the-Hash-Angriffen. Diese zielen normalerweise auf den Pass-the-Hash-Speicher oder den Speicher ab, in dem Passwortdaten aufbewahrt werden. Wenn Sie darauf zugreifen, haben Sie die Möglichkeit, neue Authentifizierungssitzungen zu erstellen. Obwohl es sich möglicherweise nicht in allen Fällen um eine fortgeschrittene anhaltende Bedrohung handelt, ist die Identifizierung eines solchen Zustands Gegenstand weiterer Untersuchungen.
Was früher nur als Angriffsziel für größere Organisationen galt, dringen Advanced Persistent Threats nicht auch in kleinere und mittelständische Unternehmen ein. Da diese Hacker ausgeklügelte Angriffsmethoden verwenden, sollten Unternehmen, unabhängig von ihrer Größe, robuste Sicherheitsmaßnahmen implementieren, um dem entgegenzuwirken.
Was sind einige Beispiele für Advanced Persistent Threats?
Cybersicherheitsunternehmen wie Crowdstrike(1) haben über 150 solcher widrigen Situationen auf der ganzen Welt verfolgt; Dazu gehören Hacking-Aktivisten und eCriminals. Sie haben tatsächlich eine Methode, Namen von Schauspielern und Tieren zu verwenden, die mit der Region verbunden sind.
Beispielsweise bezieht sich BEAR auf Russland, PANDA auf China, KITTEN auf den Iran und SPIDER auf eCrime, das nicht auf eine Region beschränkt ist. Hier sind einige Beispiele für Advanced Persistent Threats, die von Crowdstrike erkannt werden.
APT 27 (GOBLIN-PANDA)
Dies wurde erstmals im Jahr 2013 entdeckt, als Hacker das Netzwerk eines großen Technologieunternehmens angriffen, das in mehreren Sektoren tätig ist.
APT28 (FANTASTISCHER BÄR)
Diese spezielle fortgeschrittene persistente Bedrohung verwendet Website-Spoofs und Phishing-Nachrichten, die den legitimen tatsächlich ähneln, um Zugriff auf Geräte wie Computer und Mobiltelefone zu erhalten.
APT32 (Ozeanbüffel)
Dies ist ein Gegner mit Sitz in Vietnam, der seit 2012 aktiv ist. Diese fortschrittliche, anhaltende Bedrohung verwendet eine Kombination aus handelsüblichen Tools zusammen mit der Verbreitung von Malware über Strategic Web Compromise, auch bekannt als SWC.
Neben den oben genannten, die von Crowstrike erkannt wurden, gibt es weitere Beispiele für Advanced Persistent Threats wie:
- Ghostnet: Dies hat seinen Sitz in China, wo Angriffe geplant und durch Phishing-E-Mails ausgeführt wurden, die Malware enthielten. Die Gruppe zielte tatsächlich auf Geräte in mehr als 100 Ländern ab
- Stuxnet: Hierbei handelt es sich um Malware, die hauptsächlich auf SCADA-Systeme (schwerindustrielle Anwendungen) abzielt, was sich an ihrem Erfolg beim Eindringen in die im iranischen Atomprogramm verwendeten Maschinen zeigte.
- Sykipot: Dies ist eine Art von Malware, die hauptsächlich Smartcards angreift.
APT-Sicherheitsmaßnahmen
Es ist klar, dass Advanced Persistent Threat ein facettenreicher Angriff ist, und man muss mehrere Sicherheitsmaßnahmen in Form von Tools und Techniken treffen.
- Verkehrsüberwachung: Dadurch können Unternehmen Eindringen, jede Art von seitlicher Bewegung und Datenexfiltration erkennen.
- Application & Domain Whitelisting: Stellen Sie sicher, dass die bekannten und vertrauenswürdigen Domains und Anwendungen in die Whitelist aufgenommen werden.
- Zugriffskontrolle: Es müssen starke Authentifizierungsprotokolle und die Verwaltung von Benutzerkonten eingerichtet werden. Wenn es privilegierte Konten gibt, müssen diese einen besonderen Fokus haben.
Best-Practice-Maßnahmen zur Sicherung Ihres Netzwerks.
Die bittere Realität bei Advanced Persistent Threats ist, dass es keine einzige Lösung gibt, die zu 100 % effektiv ist. Daher werden wir uns einige der besten Praktiken für den APT-Schutz ansehen.
Installieren Sie eine Firewall:
Es ist wichtig, die richtige Firewall-Struktur zu wählen, die als erste Verteidigungsebene gegen Advanced Persistent Threats fungiert.
Aktivieren Sie eine Web Application Firewall:
Dies kann nützlich sein, da es Angriffe von Internet-/Webanwendungen verhindert, insbesondere von HTTP-Datenverkehr.
Virenschutz:
Verwenden Sie das neueste und aktuelle Antivirenprogramm, das Programme wie Malware, Trojaner und Viren erkennen und verhindern kann.
Intrusion-Prevention-Systeme:
Es ist wichtig, Intrusion Prevention-Systeme (IPS) zu haben, da sie als Sicherheitsdienst fungieren, der Ihr Netzwerk auf bösartigen Code überwacht und Sie sofort benachrichtigt.
Haben Sie eine Sandbox-Umgebung:
Dies ist nützlich, um verdächtige Skripte oder Codes zu testen, ohne das Live-System zu beschädigen.
Richten Sie ein VPN ein:
Dadurch wird sichergestellt, dass APT-Hacker keinen einfachen Zugriff auf Ihr Netzwerk erhalten.
E-Mail-Schutz einrichten:
Da E-Mails eine der am häufigsten verwendeten Anwendungen sind, sind sie auch anfällig. Aktivieren Sie daher den Spam- und Malware-Schutz für Ihre E-Mails.
Abschließende Gedanken
Fortgeschrittene persistente Bedrohungen klopfen ständig an Ihre Tür und sie brauchen nur eine kleine Öffnung in Ihrem Netzwerk, um einen großen Schaden anzurichten. Ja, diese Angriffe können nicht erkannt werden, aber mit geeigneten Maßnahmen können Unternehmen wachsam sein, um Widrigkeiten aufgrund dieser Angriffe zu vermeiden. Die Befolgung von Best Practices und die Einrichtung von Sicherheitsmaßnahmen führen zu einer wirksamen Verhinderung solcher Angriffe.
Andere nützliche Ressourcen:
Fünf Tipps und Strategien zur Vermeidung von Cyber-Bedrohungen
10 Möglichkeiten, Insider-Bedrohungen zu verhindern
Cyberbedrohungen, die 2021 bekämpft werden müssen
Bedeutung von Cybersicherheit in Unternehmen