So können Sie den Angriffsverlauf unterbrechen

Hackeraktivitäten zur Infiltration eines Organisationsnetzwerks und zur Ausschleusung von Daten folgen üblicherweise einem in bestimmte Phasen unterteilten Verlauf. Dabei hat der Angriff nur dann Aussicht auf Erfolg, wenn es den Kriminellen gelingt, jede Phase erfolgreich zu absolvieren. Werden die aufeinanderfolgenden Schritte dagegen an einem bestimmten Punkt blockiert, so unterbricht dies die gesamte Kette und erzwingt das vorzeitige Ende der Operation. Angesichts dessen müssen die Sicherheitsteams moderner Organisationen in der Lage sein, in jeder Angriffsphase effektiv einzuschreiten, um Netzwerke und sensible Daten zu schützen und das weitere Vordringen der Kriminellen zu verhindern. Im Folgenden finden Sie eine Zusammenschau der verschiedenen Phasen eines Cyberangriffs und der jeweils dazu passenden Gegenmaßnahmen.

1. Reconnaissance

Während der ersten Phase eines Angriffs planen die Kriminellen sorgfältig ihr weiteres Vorgehen und suchen speziell nach geeigneten Zielen. Zu diesem Zweck nutzen sie zum einen öffentlich zugängliche Quellen wie X, LinkedIn und Unternehmenswebsites. Zum anderen setzen sie Scanner ein, um Sicherheitslücken in den Netzwerken, Services und Anwendungen des anvisierten Unternehmens zu identifizieren. Dadurch erhalten die Angreifer Informationen über Systeme und Mitarbeitende, die sie später für ihre schädlichen Aktivitäten ausnutzen können. Um dies zu unterbinden, stehen den Sicherheitsverantwortlichen unter anderem die folgenden Gegenmaßnahmen zur Verfügung:

• Kontinuierliche Überwachung des Datenverkehrs im Netzwerk – zur Erkennung und Blockierung von Portscans und Host-Sweeps
• Durchführung von Sicherheitsschulungen, die die Benutzer darüber aufklären, was sie über sich preisgeben können und welche Informationen besser nicht an die Öffentlichkeit gelangen sollten – beispielsweise sensible Dokumente, Kunden- und Teilnehmerlisten sowie berufliche Positionen und Verantwortungsbereiche wie die Verwendung spezifischer Sicherheitstools

2. Erstellung und Einschleusung von Angriffstools

Anschließend wählen die Angreifer Methoden zur Einschleusung von Schadprogrammen, darunter Exploitkits und andere automatisierte Tools, Spear-Phishing-Angriffe mit schädlichen Links oder Anhängen sowie Werbeanzeigen mit eingebetteter Malware. Um eine Attacke noch in dieser Phase zu stoppen, empfiehlt sich die:

• lückenlose Überwachung des gesamten Verkehrs (einschließlich SSL) und automatische Sperrung risikobehafteter Anwendungen, Ausweitung der Sicherheitsmechanismen auf Remote- und Mobilgeräte,
• Härtung des Perimeters durch URL Filtering zur Blockierung schädlicher oder verdächtiger Websites,
• Blockierung von bekannten Exploits, Malware und der eingehenden C2-Kommunikation durch die Kombination von Intrusion-Prevention-Systemen (IPS), Malwareschutz, C2-Abwehrtools, DNS-Überwachung und -Sinkholes, Lösungen zur Erkennung schädlicher Dateien und Inhalte und weiteren Maßnahmen,
• Erkennung unbekannter Malware und automatische globale Anpassung des Malwareschutzes zur Abwehr neuer Angriffe und
• kontinuierliche Benutzerschulung zur Aufklärung über Spear-Phishing-Links sowie zum Umgang mit verdächtigen Websites und E-Mails von Unbekannten.

3. Ausnutzung

In dieser Phase setzen die Angreifer ein Exploitkit oder ein manipuliertes Dokument ein, um erkannte Sicherheitslücken in einer Anwendung oder einem System auszunutzen. So können sie erstmalig Zugang zur Infrastruktur der anvisierten Organisation erlangen und verfügen nun über ein Einfallstor. Das Sicherheitsteam kann dem jedoch entgegenwirken, durch die:

• Blockierung bekannter und unbekannter Exploits am Endpunkt und
• automatische globale Implementierung neuer Sicherheitsmechanismen, die Folgeangriffe verhindern.

4. Installation

Nachdem die Angreifer ein erstes Einfallstor identifiziert und geöffnet haben, installieren sie in der Zielumgebung Malware, die für die Sicherung ihres Zugangs, ihre Persistenz in der Infrastruktur, die Ausweitung ihrer Zugriffsrechte und andere Folgeschritte erforderlich ist. Abhilfe schafft hier die:

• automatische Eindämmung der Installation bekannter und unbekannter Malware auf Endpunkten, im Netzwerk und in Cloud-Umgebungen,
• Einrichtung von Sicherheitszonen mit strikten Zugriffskontrollen für alle Benutzer, bei kontinuierlicher Überwachung und Prüfung des gesamten zonenübergreifenden Datenverkehrs (Zero-Trust-Modell),
• Einschränkung der Vergabe lokaler Administratorrechte und
• fortgesetzte Schulung der Benutzer, damit diese die Anzeichen einer Malware-Infektion erkennen und im Ernstfall geeignete Schritte einleiten können.

5. Command and Control

Mit der erfolgreichen Einschleusung und Installation von Malware haben die Hacker ihren Einflussbereich von der eigenen Infrastruktur auf die infizierten Systeme in der Umgebung des Unternehmens ausgedehnt und so die nötigen Voraussetzungen für die nächste Angriffsphase geschaffen. Was nun folgt, ist die Einrichtung eines Kommunikationskanals für den Datenaustausch zwischen infizierten Geräten und den Systemen der Angreifer. Auch hier bieten sich den Sicherheitsverantwortlichen wieder zahlreiche Möglichkeiten, das Vorhaben der Kriminellen zu vereiteln:

• Blockierung der ausgehenden C2-Kommunikation und Unterbindung von Dateiuploads mit bestimmten Datenmustern
• Umleitung der von den Angreifern initiierten Kommunikationsprozesse über interne Sinkholes, damit infizierte Hosts identifiziert und gesperrt werden können
• Blockierung der ausgehenden Kommunikation mit schädlichen URLs durch URL Filtering
• Einrichtung einer Datenbank schädlicher Domains, die global zugänglich ist und die Bedrohungsprävention durch DNS-Überwachung unterstützt
• Implementierung granularer Zugriffskontrollen, die nur die Nutzung genehmigter Anwendungen zulassen und eine weitere Ausbreitung der Angreifer über unbekannte Tools und Skripte unterbinden

6. Maßnahmen zum Erreichen des Ziels

Sobald die Hacker über einen dauerhaften Zugang und die Möglichkeit zur Kommunikation mit ihrer Infrastruktur verfügen, nehmen sie die Realisierung ihres eigentlichen Ziels in Angriff. Dabei kann es sich beispielsweise um die Ausschleusung von Daten, die Zerstörung kritischer Infrastrukturen, die Verunstaltung von Websites, die Verunsicherung der Benutzer oder die Erpressung von Lösegeld handeln. Hilfreich bei der Bewältigung dieser und anderer Szenarien ist die:

• proaktive Suche nach Gefahrenindikatoren im Netzwerk mithilfe moderner Tools, die auf Threat Intelligence basieren,
• engere Verzahnung von Security Operations Center (SOC) und Network Operations Center (NOC) zur Schaffung geeigneter, präventiver Kontrollmechanismen,
• Überwachung und Prüfung des gesamten Datenverkehrs sowie strikte Zugriffskontrollen für den Benutzerzugang zu den Sicherheitszonen des Netzwerks,
• Blockierung der ausgehenden C2-Kommunikation und Unterbindung von Dateiuploads mit bestimmten Datenmustern,
• Blockierung der ausgehenden Kommunikation mit schädlichen URLs durch URL Filtering und
• Implementierung granularer Zugriffskontrollen, die nur genehmigte Anwendungen und Benutzer zulassen, die Dateiübertragungsrichtlinien des Unternehmens durchsetzen, bekannte Datensammlungs- und Ausschleusungsmethoden blockieren und eine weitere Ausbreitung der Angreifer über unbekannte Tools und Skripte unterbinden.

Wie bereits erwähnt hängt der Erfolg einer komplexen Cyberattacke entscheidend davon ab, dass die Angreifer jede der genannten Phasen durchlaufen und zum Abschluss bringen. Falls es ihnen beispielsweise nicht gelingt, eine vorhandene Sicherheitslücke zu identifizieren und auszunutzen, haben sie später keine Möglichkeit, Malware zu installieren und das Zielsystem per Command-and-Control-Kommunikation zu manipulieren.

Allerdings erfordern solche Unterbrechungen des Angriffsverlaufs – auf der Seite des betroffenen Unternehmens – nicht nur leistungsstarke Technologien, sondern auch sicherheitsbewusste Mitarbeitende und moderne Prozesse. Von besonderer Bedeutung sind hier zum einen fortgesetzte Sicherheitsschulungen, die die Beschäftigten über Best Practices zur frühzeitigen Unterbindung akuter Attacken informieren, zum anderen Prozesse und Richtlinien zur Eindämmung erfolgreicher Angriffe.

Dabei profitieren Cybersicherheitsteams vom asymmetrischen Charakter der Auseinandersetzung mit ihren Gegnern: Während die Angreifer bis zum Ende ihrer Operation alles richtig machen müssen, um ihr Ziel zu erreichen, müssen die Verteidiger des Netzwerks nur in einer der Angriffsphasen entscheidend punkten, um die Oberhand zu gewinnen. Wenn Sie mehr darüber erfahren möchten, wie Sie akute Angriffe in den verschiedenen Phasen mit den Abwehrfunktionen von Palo Alto Networks stoppen können, sollten Sie unbedingt das Whitepaper „Angriffsverläufe unterbrechen“ lesen.