Was ist eine fortgeschrittene, hartnäckige Bedrohung?

Eine fortgeschrittene, hartnäckige Bedrohung (Advanced Persistent Threat, APT) ist ein komplexes, mehrstufiges Sicherheitsereignis, das auf bestimmte Unternehmensressourcen abzielt. Eine APT ist ein unbefugter Akteur, der in die Umgebung eines Unternehmens eindringt, sich über verschiedene Systeme hinweg bewegt, um an Ressourcen zu gelangen, sensible Informationen überträgt und versucht, unbemerkt wieder zu verschwinden. Fortgeschrittene persistente Bedrohungen können aufgrund ihrer ausgeklügelten Taktiken und ihres gezielten Vorgehens schwierig zu identifizieren und zu bekämpfen sein. Der Schutz vor APTs erfordert einen systemübergreifenden, multidisziplinären Ansatz.

Ein APT-Ereignis kann einen der folgenden beabsichtigten Zwecke haben.

Diebstahl geistigen Eigentums

Geistiges Eigentum, wie Handels- oder Regierungsgeheimnisse, proprietärer Quellcode oder private Kommunikation, sind allesamt sensible Daten, die für ein Unternehmen vertraulich sind. Durch das erstmalige Zugreifen auf diese Daten beschaffen sich APT-Gruppen illegal Informationen, um sich einen Wettbewerbsvorteil zu verschaffen oder das Netzwerk des Unternehmensziels negativ zu beeinflussen.

Finanzbetrug

APTs können die Kontrolle über Geschäftssysteme und -abläufe erlangen und unbefugten Akteuren den privilegierten Zugriff verschaffen, den sie für Finanzbetrug benötigen. Im Rahmen dieser Operationen können Geldtransfers von Benutzerkonten getätigt oder sensible Daten aus einem Unternehmen gestohlen werden, um sich als privilegierte Personen innerhalb des Unternehmens auszugeben.

Ransomware 

Ein erfolgreiches APT-Ereignis kann das Ziel haben, Ransomware zu implementieren. In diesem Beispiel beginnt die APT mit der Verschlüsselung sensibler Daten und verhindert, dass Benutzer auf das Zielnetzwerk zugreifen können. Diese unbefugten Gruppen können ein hohes Lösegeld verlangen, um im Gegenzug den Schlüssel zur Entschlüsselung der Dateien bereitzustellen. 

Reputationsschaden

Das spezifische Ziel einiger APT-Gruppen besteht darin, durch die Veröffentlichung von Informationen einen Reputationsschaden für das Unternehmen zu verursachen.

APTs zielen nur auf hochwertige Ziele ab. Fortgeschrittene, hartnäckige Bedrohungen (Advanced Persistent Threats, APT) sind komplexer zu identifizieren als typische Cyber-Bedrohungen, da sie nicht den traditionellen Mustern folgen. Da es keinen gemeinsamen Sicherheitsereignisvektor, keinen Zeitrahmen für das Ereignis und keine Signatur gibt, ist es schwieriger, diese Sicherheitsereignisse zu lokalisieren und zu neutralisieren. 

Bei typischen Sicherheits-Ereignissen kann es zu einem plötzlichen Anstieg der Datenbankoperationen oder des Datenverkehrs kommen, während der methodischere Ansatz von APT-Ereignissen verborgen bleibt.

Eine APT strebt möglicherweise auch keinen sofortigen Gewinn an, sodass sie sich Zeit nehmen kann, um eine umfassendere Bedrohung aufzubauen. Da APTs in Systemen unentdeckt bleiben, können sie über längere Zeiträume innerhalb eines Unternehmens unentdeckt bleiben, bis die Gruppe beschließt, zu handeln.

Hier sind die häufigsten Merkmale und Symptome einer fortgeschrittenen, hartnäckigen Bedrohung.

Ausgeklügelte, mehrstufige Ereignisse, um zuzugreifen

Fortgeschrittene, hartnäckige Bedrohungen umfassen mehrstufige Ereignisse, die oft einer ähnlichen Abfolge von Schritten folgen.

Zunächst führt ein unbefugter Akteur eine Erkundung der Zielorganisation und ihrer Systeme durch, um Informationen über Vermögenswerte und potenzielle Schwachstellen zu sammeln. Auf dieser Grundlage entwickeln sie Methoden, um die identifizierten Schwachstellen auszunutzen.

Nachdem ein unbefugter Akteur in die Unternehmenssysteme zugreifen kann, bewegt er sich durch verschiedene Teile des Systems. Dies geschieht, indem er sich durch Social Engineering, Navigation in Netzwerksegmenten und andere Techniken erweiterte Berechtigungen verschafft. Er kann auch das Sicherheitspersonal ablenken. Zur Koordinierung der Kommunikation werden Befehls- und Kontrollserver eingerichtet.

Nachdem die Zielressourcen zugänglich sind, beginnt ein unbefugter Akteur in der Regel damit, Daten zu exfiltrieren oder das kompromittierte System zu verändern, je nach Ziel des Ereignisses. Einige fortgeschrittene, hartnäckige Bedrohungen versuchen in dieser letzten Stufe, ihre Spuren zu verwischen, um zu verhindern, dass jemand von dem Ereignis erfährt.

Durchgeführt von einer hochmotivierten APT-Gruppe

APT-Ereignisse gehen von hochmotivierten unbefugten Akteuren aus, die in der Regel in Gruppen agieren. Diese Gruppen gibt es in vielen Formen, darunter staatlich geförderte APTs, professionelle Cyberkriminalitätsorganisationen, Hacktivisten-Gruppen oder kleine Teams von Hackern, die sich für Geld anheuern lassen.

Obwohl ein Hauptziel von APTs finanzieller Gewinn ist, führen einige dieser Gruppen APT-Ereignisse durch, um sensible Informationen zu sammeln, Daten offenzulegen, Infrastrukturen zu sabotieren oder den Ruf von Organisationen zu schädigen. 

Ein Ereignis über einen längeren Zeitraum hinweg auf mehreren Systemen

Die zuvor beschriebenen Stufen können sich über einen längeren Zeitraum erstrecken. Aufgrund der gezielten Natur von APT-Ereignissen planen die Gruppen sorgfältig, langsam vorzugehen, um keine Aufmerksamkeit zu erregen oder Warnmeldungen in den Systemen auszulösen. In einigen Fällen bleibt die APT monatelang oder sogar jahrelang unentdeckt, bevor sie Schritte unternimmt, um ihr ursprüngliches Ziel zu erreichen.

Entwickelt, um keine Spuren zu hinterlassen

Die letzte Stufe der Aktivitäten eines APT-Angreifers besteht darin, alle Spuren eines Ereignisses zu verwischen, beispielsweise durch Löschen von Dateien, Ändern von Protokollen oder Verschleiern bestimmter Aspekte einer Datenbank. Indem sie die Wahrscheinlichkeit verringern, dass ein Cybersicherheitsteam eine Systemanomalie entdeckt, ist es für unbefugte Akteure wahrscheinlicher, dass sie ohne Konsequenzen davonkommen.

Darüber hinaus können APTs durch das Vertuschen ihrer Spuren auch ihre spezifische Infiltrationsmethode geheim halten. Dieser geheime Abzug ermöglicht es ihnen, dieselbe langsame und methodische Strategie bei anderen Zielorganisationen anzuwenden.

Bedrohungsinformationen über fortgeschrittene, hartnäckige Bedrohungen sind eine spezielle Form der Bedrohungsanalyse, die Unternehmen über laufende APT-Kampagnen, bekannte unbefugte APT-Akteure und aktuelle Social-Engineering-Techniken von APTs informiert und ihnen entsprechende Maßnahmen empfiehlt. 

APT Intelligence unterscheidet sich von allgemeinen Bedrohungsinformationen hinsichtlich ihrer Quellen, Triangulationstechniken, Berichterstattung, Analyse und Anwendungen.

Hier sind einige wirksame Sicherheitsmaßnahmen, die helfen, APTs zu verhindern und sich gegen sie zu verteidigen.

Threat Intelligence

Threat-Intelligence-Systeme sind eine wirksame Strategie, um APTs zu verhindern. Threat Intelligence sammelt interne und externe Sicherheitsdaten, um einen ganzheitlichen Überblick über den aktuellen Zustand der Ereignisse und ihre gemeinsamen Vektoren zu geben. Anhand öffentlicher und privater Daten können Sie Ihre wichtigsten potenziellen APT-Gegner und -Taktiken identifizieren und Maßnahmen zu deren Abwehr ergreifen.

Unternehmen können Informationen sammeln und Strategien entwickeln, indem sie Bedrohungsinformationsplattformen, Open-Source-Bedrohungsinformations-Feeds und Frameworks wie MITRE ATT&CK implementieren.

Protokollierung und Telemetrie

Eine effektive und umfassende Protokollierung von Cybersicherheitssystemen, Netzwerken, Zugangspunkten auf Ressourcen, Endpunktüberwachung und allgemeinen Systemzustandsdaten ermöglicht es Sicherheitsexperten, sich einen umfassenden Überblick über Ihre Geschäftssysteme zu verschaffen. Die Speicherung detaillierter Protokolle und die Implementierung fortschrittlicher Analysen verbessert die Erkennung von Anomalien und unterstützt die rückwirkende Untersuchung unerwarteter Sicherheitsvorfälle.

Technologie

Es gibt verschiedene Technologien, mit denen Sie Ihre Fähigkeit zur Erkennung, Neutralisierung und Abwehr von APTs verbessern können. Hier sind einige zentrale Technologien in diesem Sicherheits-Tech-Stack:

• Intrusion Detection Systems (IDS): Tools, die den Netzwerkverkehr überwachen, um ungewöhnliche Aktivitäten zu identifizieren.
• Security Information and Event Management Systems (SIEM): Eine Lösung, die Daten aus verschiedenen Sicherheitssystemen korreliert, um eine Echtzeit-Erkennung von Bedrohungen und Reaktionen auf unerwartete Sicherheitsereignisse zu ermöglichen.
• Endpoint Detection and Response (EDR): Kartiert und überwacht alle Endgeräte des Unternehmens, um Anomalien zu identifizieren und automatisch darauf zu reagieren.

Mehrschichtige Sicherheit

Neben APT-Sicherheitsmaßnahmen können Sie auch eine mehrschichtige Sicherheitsstrategie implementieren, um die Wahrscheinlichkeit eines unerwarteten Sicherheitsereignisses zu verringern. Sie können Netzwerksegmentierung einführen, sicheren Speicher einrichten, Zugriff mit minimalen Berechtigungen implementieren, Multi-Faktor-Authentifizierung für alle Unternehmenskonten durchsetzen und starke Verschlüsselungsstandards für gespeicherte und übertragene Daten verwenden. Darüber hinaus trägt das regelmäßige Patchen von Netzwerk-, System- und Anwendungssoftware dazu bei, bekannte Schwachstellen zu mindern.

Schulungen

Einer der häufigsten Einstiegspunkte für APTs und andere unerwartete Cybersicherheits-Ereignisse ist der Kontakt mit Mitarbeitern des Unternehmens. Ob durch Phishing-Betrug oder soziale Manipulation, indem ein Mitarbeiter dazu verleitet wird, auf einen kompromittierten Link zu klicken – oft nehmen Gruppen Personen innerhalb des Unternehmens ins Visier. Mit den Fortschritten der KI werden ausgefeilte Techniken zur Identitätsfälschung immer häufiger eingesetzt.

Sie können regelmäßig Sicherheitsbewusstseinsprogramme durchführen, um Social-Engineering-Bedrohungen innerhalb Ihres Unternehmens zu bekämpfen. Ihre Mitarbeiter sollten in der Lage sein, die ersten Anzeichen einer APT zu erkennen und Ereignisse Ihrem Sicherheitsteam zu melden.

AWS bietet Dienste, die Unternehmen vor fortgeschrittenen, hartnäckigen Bedrohungen schützen sollen. AWS Security Hub transformiert die Cloud-Sicherheit durch einheitliche Transparenz, umsetzbare Erkenntnisse und automatisierte Workflows.

Amazon GuardDuty bietet eine vollständig skalierbare, verwaltete Bedrohungserkennung für die Cloud. Amazon GuardDuty kann Bedrohungen schnell identifizieren, korrelieren und darauf reagieren, mit automatisierten Analysen und maßgeschneiderten Empfehlungen zur Behebung, um Geschäftsunterbrechungen zu minimieren. Amazon GuardDuty bietet intelligente Bedrohungserkennung zum Schutz Ihrer AWS-Konten, Workloads und Daten.

Amazon Inspector erkennt automatisch Workloads wie Amazon Elastic Compute Cloud (Amazon EC2)-Instanzen, Container-Images und AWS Lambda-Funktionen sowie Code-Repositorys und scannt sie auf Software-Schwachstellen und unbeabsichtigte Netzwerkexposition.

Amazon Macie erkennt sensible Daten mithilfe von Machine Learning und Musterabgleich, bietet Transparenz hinsichtlich Datensicherheitsrisiken und ermöglicht einen automatisierten Schutz vor diesen Risiken.

AWS Security Incident Response ermöglicht es Ihnen, sich auf Sicherheitsereignisse vorzubereiten, darauf zu reagieren und sich davon zu erholen. Der Security Incident Response-Service automatisiert die Überwachung und Untersuchung, beschleunigt die Kommunikation und Koordination und bietet rund um die Uhr direkten Zugriff darauf, vom AWS Customer Incident Response Team (CIRT) zuzugreifen.

Beginnen Sie noch heute damit, Ihr Unternehmen vor APTs in AWS zu schützen, indem Sie ein kostenloses Konto erstellen.