Strategien zur Abschwächung von Advanced Persistent Threats (APTs)

Teil 1. Wie man APTs abschwächt. Angewandte Theorie

Sehr wahrscheinlich sind Attacken aus der jüngsten Vergangenheit wie die Turla oder die El Machete-Operation noch immer aktiv. Und selbst wenn nicht, so entdeckt das GReAT (Global Research and Analysis Team) von Kaspersky Lab regelmäßig überall auf der Welt ähnliche, ebenfalls umfangreiche Spionage-Kampagnen.

Advanced Persistent Threats (APT) sind komplexe Attacken, die sich aus vielen verschiedenen Komponenten zusammensetzen, unter anderem Methoden zur Einschleusung von Malware ins System (Spear-Phishing-Mails, Exploits etc.), Mechanismen zur Verbreitung im Netzwerk, Spyware, Tools zur Tarnung im System (Rootkits/Bootkits) und andere, häufig raffinierte Techniken, die alle zu dem einen Zweck entwickelt wurden: unerkannten Zugriff auf sensitive Informationen zu erhalten.

APTs haben es auf sensitive Daten jeder Art abgesehen; man muss keine Regierungsbehörde, keine große Finanzinstitution und auch kein Energieunternehmen sein, um Opfer zu werden. Selbst kleine Einzelhändler verfügen über vertrauliche Kundendaten; kleine Banken betreiben entfernte Serviceplattformen für Kunden und Firmen jeder Art und Größe verarbeiten und speichern Bezahlinformationen, die in den falschen Händen zu einer großen Gefahr werden können. Sofern es die Angreifer angeht, spielt Größe keine Rolle, es geht ausschließlich um Informationen. Selbst kleine Unternehmen sind gegenüber APTs verwundbar und benötigen eine Strategie, um diese Bedrohungen abzuschwächen.

Uroburos_inf

APTs sind zu einer gängigen Erscheinung geworden. Epic Turla ist ein Beispiel für eine höchst effiziente aktive Kampagne.

Anti-APT-Ansätze: aktuelle Theorien

Viele angesehene Technologie-Unternehmen und Organisationen haben bereits Strategien entwickelt, um sich vor zielgerichteten Attacken zu wappnen. Gartner beispielsweise hat Leitfäden für den Umgang mit Social Engineering-Techniken herausgegeben, und strebt an, durch andauernde Aufklärung und Ausbildung im Bereich IT-Sicherheit mit dem Tempo einer sich entwickelnden Bedrohungslandschaft Schritt zu halten1.

Unten den Sicherheitsproblemen, die Gartner behandelt, stechen zwei Schlüsselempfehlungen hervor: „Upgrade-Eingrenzung und Netzwerk-basierte Sicherheit“ und „Konzentration der Schutzstrategien auf Schadcontent“. In diesem Kontext nennt Gartner Kaspersky Lab als einen der führenden Anbieter für Application Control und Whitelisting2, der die Funktionalität bietet, die notwendig ist, um APTs abzufangen.

Das US Information Assurance Directorate (IAD) hat ebenfalls eine Hitliste der Information Assurance Mitigation Strategies (Mitigationsstrategien in der Informationssicherheit) mit Bezug auf APTs herausgegeben. Das Directorate hat die Maßnahmen dabei in vier Hauptgruppen eingeteilt: Geräteintegrität, Schadensbegrenzung, Accountschutz und sicherer und nutzbarer Transport. Einer der interessantesten praktischen Ratgeber zur Vermeidung von zielgerichtetem Cyber-Eindringen stammt vom Australian Signals Directorate. Mehr darüber siehe unten.

Effektive Mitigationsstrategien: einige Beispiele

Keine ICT-Infrastruktur kann jemals 100%ig sicher sein, doch es gibt vernünftige Maßnahmen, die jede Organisation ergreifen kann, um das Risiko von Cyber-Attacken deutlich zu reduzieren. Durch umfassende, detaillierte Analysen lokaler Angriffe und Bedrohungen hat das Australian Signals Directorate (ASD) herausgefunden, dass mindestens 85 Prozent der zielgerichteten Cyberattacken, auf die es reagiert, durch vier grundlegende Strategien abgeschwächt werden können:

  • Einsatz von Weißen Listen für Anwendungen, um Schadsoftware und nicht genehmigte Programme an der Ausführung zu hindern
  • Patchen von Anwendungen wie Java, PDF-Viewer, Flash, Webbrowser und Microsoft Office
  • Patchen von Schwachstellen in Betriebssystemen
  • Beschränken administrativer Rechte auf Betriebssysteme und Anwendungen, basierend auf den Nutzeraufgaben3.

Diese Maßnahmen werden für so effektiv gehalten, dass sie für alle australischen Regierungsorganisationen empfohlen werden. Aufgrund unseres reichen Erfahrungsschatzes im Bereich APT-Abwehr und aufgrund vieler Analyseergebnisse sind wir bei Kaspersky Lab der Meinung, dass sich dieser Ansatz nicht nur für Regierungsorganisationen oder Großkonzerne als effektiv erweist, sondern ebenso für kleinere kommerzielle Organisationen.

Keine Organisation sollte meinen, ihre Daten seien von geringem oder von überhaupt keinem Wert. Angreifer haben es nicht nur auf geheime Informationen abgesehen: sensitive Geschäftsdaten, intellektuelles Eigentum, wissenschaftliche Daten und Regierungspolitiken – all das steht im Visier der Attacken. Und selbst, wenn sie nicht an den sensitiven Daten Ihrer Organisation interessiert sind, so können Kriminelle durchaus ein Interesse daran haben, in Ihr IT-Netzwerk einzudringen, um es dann als Sprungbrett für den Überfall auf ein attraktiveres Ziel zu benutzen.

Wir bei Kaspersky Lab sind der Meinung, dass die TOP 35 der Mitigationsstrategien vom Australian Signals Directorate (ASD) die besten öffentlich verfügbaren Richtlinien zur erfolgreichen Abwehr von zielgerichteten Attacken (APTs) enthalten. Wir haben sie sorgfältig analysiert und jeden Punkt mit den in unseren Produkten verfügbaren Technologien abgeglichen. Sollten Sie sich entscheiden, die Liste des ASD der TOP 35 Mitigationsstrategien in Ihrer Organisation anzuwenden, wird dies durch die Produkte von Kaspersky Lab nicht nur einfacher, sondern auch effizienter und sicherer.

mitigation1

Die vollständige Liste der Mitigationsstrategien des Australian Signals Directorate umfasst 35 Punkte.

Was genau bietet die Hitliste der ‚Mitigationsstrategien‘ des ASD

Wie oben dargestellt, umfasst die Liste der Mitigationsstrategien des ASD 35 Punkte und lässt sich entsprechend dem Implementierungsansatz grob in vier logische Typen einteilen:

Maßnahmen Kurzbeschreibung
Administrative Training, physische Sicherheit
Netzwerkebene Diese Maßnahmen sind auf einer Netzwerk-Hardwareebene einfacher zu implementieren
Systemadministration Das Betriebssystem enthält alles, was für die Implementierung notwendig ist
Spezialisierte Sicherheitslösungen Spezialisierte Sicherheitssoftware ist anwendbar

Die ersten Maßnahmen sind rein administrativer Natur: Anleitung der Mitarbeiterschaft und Mitarbeiter-Training, Verbesserung der physischen Bürosicherheit und so weiter. Dabei ist kaum die Rede von Hardware oder Software, nur bei den Maßnahmen zur Bereitstellung von Systemen zur physischen Zugriffskontrolle oder der Online-Ausbildung.

Auf der Netzwerkebene lassen sich vielerlei Maßnahmen zu Abschwächung von APTs ergreifen. Auf Platz 10 der Liste wird beispielsweise „Netzwerk-Segmentierung und -Aufteilung“ in der Kategorie ‚Sicherheitseffizienz insgesamt‘ als ‚hervorragend‘ eingestuft. Der Punkt 23 – „Ablehnen von direktem Internetzugriff von Workstations aus“ ist bezüglich der Bedeutung für die Sicherheit als „gut“ eingestuft (dritthöchste Klassifizierung nach „maßgeblich“ und „hervorragend“).

Nachdem Sie Ihre Netzwerk-Hardware konfiguriert haben, können Sie eine Menge tun, indem Sie einfach die Betriebssystemfunktionen nutzen. Systeme zur Abwehr von zielgerichteten Attacken zu stärken, kann recht viel Arbeit für Systemadministratoren bedeuten. Der erste, „maßgebliche“ Teil eins der vier Maßnahmen besteht im Beschränken administrativer Privilegien. Zudem wird dringend empfohlen, alle möglichen eingebauten Mechanismen (ASLR und andere) zum Softwareschutz zu aktivieren. Aus der Sicht von Kaspersky Lab ist die Funktionalität ’spezialisierte Sicherheitslösungen‘ bedeutend – das ist ein Bereich, in dem die Software und die Technologien von Kaspersky Lab eine Menge beitragen können, wie Sie im Folgenden sehen werden.

Die meisten Maßnahmen zur Realisierung der Mitigationsstrategien können mit Hilfe der Sicherheitslösungen von Kaspersky Lab implementiert werden.

In mindestens 85 Prozent der Fälle von zielgerichtetem Einschleusen von Malware, auf die das ASD im Jahr 2011 reagiert hat, wurden einfache Techniken verwendet, die durch die vier grundlegenden Strategien hätten abgeschwächt werden können: Anwendung von Weißen Listen für Apps, Aktualisieren/Patchen von Anwendungen, Updaten/Patchen von Betriebssystemen und Minimieren der administrativen Privilegien . Die Produkte von Kaspersky Lab beinhalten technologische Lösungen, die diese drei Hauptstrategien abdecken; zudem könnte mehr als die Hälfte der ASD-Liste mit Hilfe unserer spezialisierten IT-Sicherheitslösungen implementiert werden. Im zweiten Teil unserer Serien über diese Strategien zur Abschwächung von APTs werden wir näher darauf eingehen.

ASD Ranking Mitigationsstrategie, Kurzname Kaspersky Lab Technologien
1 Einsatz von Weißen Listen für Apps Dynamic Whitelisting
2 Patchen von Schwachstellen in Anwendungen Vulnerability Assessment und Patch-Management
3 Patchen von Betriebssystemschwachstellen
5 Festigung der User-Anwendungskonfiguration Web Control (Blockieren von Skripten in Webbrowsern) , Web-Antivirus
6 Automatisierte dynamische Analyse von E-Mail- und Web-Content Mail-Antivirus und Web-Antivirus, Security für Mail Server, Security für Internet Gateway, DLP für Mail und Collaboration Add-ons
7 Generische Abwehr von Exploits Automatische Exploit-Prävention
8 HIDS/HIPS System Watcher und Application Privilege Control
12 Software-basierte Anwendungsfirewall für eingehenden Traffic Erweiterte Firewall
13 Software-basierte Anwendungsfirewall für ausgehenden Traffic Erweiterte Firewall
15 Protokollieren von Computerereignissen Kaspersky Security Center
16 Protokollieren von Netzwerkaktivität Kaspersky Security Center
17 Filtern des E-Mail-Contents Kaspersky Security für Mail Sever
18 Filtern des Webcontents Web Control
19 Webdomain-Whitelisting Web Control
20 Blockieren von gefälschten E-Mails Anti-Spam
22 AV-Software, die heuristische Technologien und automatisierte Internet-basierte Reputationsratings verwendet Anti-Malware
26 Kontrolle von Wechsel- und mobilen Medien Device Control
29 Inspektion von MS-Office-Dateien auf Workstations Anti-Malware
30 Signatur-basierte AV-Software Anti-Malware

ASD-Strategien, die mit Hilfe von Kaspersky Lab-Produkten effektiv implementiert werden können.

  1. Gartner: Best Practice for Mitigating Advanced Persistent Threats (document ID G00256438).
  2. Fachbegriffe finden Sie im Technischen Glossar.
  3. Australian Signals Directorate, Strategies to Mitigate Targeted Cyber Intrusions