Cyber Threats – das heißt gut organisierte, professionelle Angreifer mit klar definierten Zielen versuchen in die Unternehmensnetze einzudringen. Dort angekommen, verfolgen die Kriminellen meistens Daten zu stehlen oder seltener gezielt Schaden anzurichten. Die Attacken sind ausgefeilt, genau auf die Opfer zugeschnitten und die Taktik den Abwehrmaßnahmen angepasst.
Sie kennen die neuesten Zero Day-Lücken, verfügen über hochprofessionelle Werkzeuge und beherrschen Social Engineering-Techniken. Cyber Operations wie Flame, Operation Aurora und Nitro trafen globale Unternehmen und Regierungen – mit Hilfe von APT-Angriffen, Spear-Phishing und moderner Malware.
Foto: Moon Light PhotoStudio - shutterstock.com
Das Vorgehen ist mehrstufig: erst wird das System infiziert, dann verbreitet sich die Malware und die langfristige Kontrolle des Systems wird etabliert. In der nächsten Phase, dem „Callback“, wird eine Verbindung zum Command-and Control-Server der Hacker aufgebaut, an den dann Daten übertragen werden. Schließlich versucht die Malware, sich über das infizierte System hinaus horizontal zu verbreiten. In all diesen Phasen sind Gegenmaßnahmen möglich und notwendig.
Klassische Security-Maßnahmen greifen zu kurz
Unternehmen, die sich ausschließlich auf Malware konzentrieren, sehen nicht das ganze Problem. Natürlich ist und bleibt Malware ein extrem wichtiges Tool im Werkzeugkasten der Angreifer. Sie nutzen Multi-Vektor Attacken über Web, E-Mail, versenden Dokumente und Applikationen und setzen auf die Unfähigkeit konventioneller Schutzmechanismen für das Netzwerk, eine übergreifende Verteidigung zu bieten.
Spear-Phishing-Attacken nutzen soziale Netzwerke, um in personalisierten Mails auf dynamische Schadseiten zu verweisen und URL-Filter zu umgehen. Tools wie Mimikatz erlauben es, Passwörter, Hashes und Keys von einem kompromittierten Host zu stehlen.
Foto: Intel Security
Die Angreifer geben sich als unterschiedliche Personen aus, um nicht von signaturbasierten Tools erkannt zu werden und doch authentisch genug auszusehen, um an Spam-Filtern vorbei zu kommen oder die Opfer zu täuschen. Malwareerkennung funktioniert hier nicht, wohl aber verhaltensbasierte Methoden. Man hat es also mit einem intelligenten, kreativen Gegner zu tun, der ein ganz klares Ziel vor Augen hat.
Es hilft, die wichtigsten Assets zu kennen, die geklaut werden könnten. Ebenso wichtig ist es aber, den Feind zu kennen, um sich besser verteidigen zu können – optimalerweise mit einem mehrstufigen Ansatz.
Chancen für Systemhäuser, die IT-Security beherrschen
Das Umzusetzen ist für viele Unternehmen schwierig: Experten für IT-Security sind schwer zu bekommen und ein eigenes Security Operations Center (SOC) aufzubauen ist aufwändig und teuer. Auch ist es nicht leicht, bei den Bedrohungen ständig auf dem Laufenden zu bleiben und die Security-Angebote am Markt zu bewerten.
Hier kommen Partner ins Spiel: sie können den Unternehmen beratend zur Seite stehen, aber auch „Rundum“-Cybersecurity-Pakete anbieten. Obgleich noch nicht weit verbreitet, gibt es Lösungen, die fast Out-of-the-Box verkauft werden können und die aus Web-, Email- und Endpunkt-Absicherung bestehen. Essenziell dabei ist es, nicht nur bekannte, sondern auch unbekannte Angriffe zu identifizieren und dabei über die reine Malware hinauszuschauen. Alle Vektoren müssen geschützt werden – und die Daten aus allen Vektoren müssen zusammenfließen, um mehrstufige Angriffe über verschiedene Vektoren hinweg als Attacke zu erkennen.
Das heißt, man braucht eine leistungsstarke Technologie und vielleicht auch die Beratung durch erfahrende Spezialisten – Experten, deren Erfahrung quasi zugekauft werden kann und die dabei helfen, maximale Schutzmechanismen mit möglichst wenig False Positives aufzubauen. Und man braucht Informationen über verschiedene Angriffsszenarien – Daten, die von Unternehmen und Spezialisten aufbereitet werden und den Kontext zu Attacken, aber auch die Möglichkeit zur Frühwarnung geben.
Das Know-how aus den Cyber Threat Reports fließt in die Abwehrmaßnahmen ein und ermöglicht die frühe Erkennung beziehungsweise Verhinderung von gezielten Attacken. Und ein Täter Profiling hilft dabei, potenzielle Angreifer und ihre Methoden zu beobachten. Dieses zusätzliche „Intelligence“-Angebot speist sich aus Daten von Millionen von Netzwerk- und Endpoint-Sensoren und bietet neue Informationen nahezu in Echtzeit.
Kurz, angesichts wachsender Bedrohungen, die weit über die Dimensionen von Locky & Co hinausgehen, ist Cybersecurity ein wachsender Markt – und verspricht damit auch Umsatz für Systemhäuser, die diesen Markt bedienen. (rw)