Ultimativer LeitfadenTM zu. Next-Generation Threat Protection

Transkript

1 Ultimativer LeitfadenTM zu Next-Generation Threat Protection So bestehen Sie im Kampf gegen neuartige Cyber-Angriffe Steve Piper, CISSP MIT EINEM VORWORT VON: David DeWalt Mit besten Wünschen von

2 Über FireEye FireEye ist der führende Anbieter von Lösungen zur Abwehr neuer Cyber-Angriffe wie Zero-Day Exploits und APTs, die herkömmliche Abwehrmaßnahmen umgehen und 95 Prozent aller Netzwerke betreffen. Die FireEye Plattform ergänzt signaturabhängige Sicherheitslösungen wie Firewalls, IPS- und Antiviruslösungen sowie Gateways. FireEye bietet den weltweit einzigen signaturunabhängigen Schutz vor Bedrohungen im Web, per oder auf Dateifreigaben. Als branchenweit einzige integrierte Plattform kann FireEye Angriffe in jeder Phase des Angriffszyklus stoppen vom ersten Exploit bis zum Datendiebstahl. Dank der patentierten Virtual Execution Engine bietet FireEye unerreichten Schutz vor Cyber-Angriffen der neuen Generation. Die Lösungen von FireEye sind in mehr als 40 Ländern im Einsatz, unter anderem bei über 25 Prozent der Fortune-100-Unternehmen. Rang 4 im Deloitte 2012 Technology Fast 500 für Nordamerika Mit dem Wall Street Journal 2012 Technology Innovation Award ausgezeichnet Mit dem JPMorgan Chase Hall of Innovation Award ausgezeichnet

3 Ultimativer LeitfadenTM zu Next-Generation Threat Protection Steve Piper, CISSP Vorwort von David DeWalt

4 Ultimativer Leitfaden zu Next-Generation Threat Protection Veröffentlicht von: CyberEdge Group, LLC 1997 Annapolis Exchange Parkway Suite 300 Annapolis, MD 21401, USA (800) Copyright 2013, Cyber-Edge Group, LLC. Alle Rechte vorbehalten. Ultimativer Leitfaden und das CyberEdge Press-Logo sind Marken der Cyber-Edge Group, LLC in den USA und anderen Ländern. Alle übrigen Marken oder eingetragenen Marken sind Eigentum ihrer jeweiligen Besitzer. Sofern nicht laut United States Copyright Act von 1976 zulässig, darf diese Veröffentlichung ohne vorherige schriftliche Genehmigung durch den Herausgeber nicht vervielfältigt, in einem Archivsystem gespeichert oder in irgendeiner Form (elektronisch, mechanisch, als Fotokopie, Aufzeichnung, Scan etc.) weitergegeben werden. Genehmigungsanfragen richten Sie bitte an den Herausgeber: Permissions Department, CyberEdge Group, 1997 Annapolis Exchange Parkway, Suite 300, Annapolis, MD, 21401, USA oder per an HAFTUNGSBESCHRÄNKUNG/HAFTUNGSAUSSCHLUSS: HERAUSGEBER UND VERFASSER MACHEN KEINERLEI ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER GENAUIGKEIT ODER VOLLSTÄNDIGKEIT DER INHALTE DIESES DOKUMENTS UND SCHLIESSEN AUSDRÜCKLICH JEGLICHE GEWÄHRLEISTUNGSPFLICHTEN AUS, INSBESONDERE DIE EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. DIE IN DIESEM DOKUMENT ENTHALTENEN EMPFEHLUNGEN UND STRATEGIEN SIND MÖGLICHERWEISE NICHT FÜR JEDE SITUATION GEEIGNET. WEDER DER HERAUSGEBER NOCH DER VERFASSER KÖNNEN FÜR DURCH DIESES DOKUMENT ENTSTANDENE SCHÄDEN HAFTBAR GEMACHT WERDEN. WIRD EIN UNTERNEHMEN, EINE BEHÖRDE ODER EINE WEBSITE IN DIESEM DOKUMENT ZITIERT UND/ ODER ALS MÖGLICHE QUELLE FÜR WEITERE INFORMATIONEN GENANNT, BEDEUTET DIES NICHT, DASS DER VERFASSER ODER HERAUSGEBER DIE ENTSPRECHENDEN INFORMATIONEN ODER EMPFEHLUNGEN GUTHEISST. WEITERHIN SOLLTEN LESER BEACHTEN, DASS SICH IN DIESEM DOKUMENT AUFGEFÜHRTE WEBSITES SEIT DEM VERFASSEN DES DOKUMENTS UNTER UMSTÄNDEN GEÄNDERT HABEN ODER NICHT MEHR AUFRUFBAR SIND.. Wenn Sie allgemeine Informationen zu den Forschungs- und Marketingberatungsleistungen der CyberEdge Group erhalten oder einen maßgeschneiderten Ultimativen Leitfaden für Ihr Unternehmen anfordern möchten, wenden Sie sich bitte an unsere Vertriebsabteilung unter oder per an ISBN: (Taschenbuch); ISBN: (ebook) Gedruckt in den Vereinigten Staaten von Amerika Danksagung der Herausgebers Die CyberEdge Group möchte den folgenden Personen für ihren Beitrag danken: Redaktion: Susan Shuttleworth Grafikdesign: Debbi Stocco, Christian Brennan Produktionskoordinator: Valerie Lowery Unterstützung von FireEye: Phil Lin, Lisa Matichak, Brent Remai, David DeWalt

5 Inhalt Vorwort... v Einleitung... vii Kapitel im Überblick...vii Hilfreiche Symbole...ix Bedrohungen der nächsten Generation Eine Definition...1 Erschreckende Zahlen...2 Jüngste Opfer...3 Angriffe auf Unternehmen...3 Angriffe auf staatliche Einrichtungen...3 Kostspielige Sicherheitslücken...4 Die neue Bedrohungslandschaft...5 Traditionelle Angriffe...5 Next-Generation Threats...8 Feinde im Fokus...13 Den Feind verstehen Cyber-Kriminelle Staatlich beauftragte Bedrohungsakteure Hacktivists So geht der Feind vor...17 Umgehung signaturabhängiger Abwehrmaßnahmen...17 Umgehung anomaliebasierter Abwehrmaßnahmen...17 Die Anatomie komplexer Cyber-Angriffe...19 APTs im Detail Abgrenzung von APTs...20 APTs in den Schlagzeilen Flame (2012)...22 Der Angriff auf RSA SecurID (2011)...22 Stuxnet (2010)...23 Operation Aurora (2009)...24 Die Schockwellen eines groß angelegten APT-Angriffs...24 Der APT-Angriffszyklus...25 Phase 1: Eindringen in das System mittels Exploit...26 Phase 2: Installieren von Malware auf dem kompromittierten System Phase 3: Herstellen ausgehender Verbindungen...28 Phase 4: Ausbreitung des Angriffs im Netzwerk...28 Phase 5: Diebstahl von Daten...29 Die Täter entkommen unentdeckt...30 Symptome eines APT-Angriffs...32 Next-Generation Threat Protection Ein Überblick...35 Idealer Bedrohungsschutz Eine Vision...36 Signaturunabhängige Sicherheitsverfahren...36

6 iv Ultimativer Leitfaden zu Next-Generation Threat Protection Erkennung und Abwehr in einer Appliance...36 Mehrstufige Sicherheitsarchitektur Hochpräzise Erkennungs-Engine (Detection Engine) Nutzung globaler Bedrohungsdaten...38 Next-Generation Threat Protection Eine Definition...38 Vergleich mit traditionellen signaturabhängigen Sicherheitslösungen...40 Vergleich mit Sandbox-Technologien Hauptkomponenten...43 Malware Protection System...43 Virtual Execution Engine...43 Central Management System...44 Cloud Threat Intelligence Network...44 Next-Generation Threat Protection im Detail...47 Funktionsweise...47 Inline- und Out-of-Band-Installationen...50 Hauptmerkmale Virtuelle Ausführung verdächtiger Objekte Fast-Path-Blocking...52 Quarantäne für schädliche Dateien...53 Zentrale Verwaltung...53 Austausch von Malware-Informationen...54 Unterstützung eigener Regeln AV-Integration Rollenabhängige Zugriffsrechte...56 Dashboard...56 Berichte Warnungen...58 Integration von NGTP in die vorhandene Netzwerk-Infrastruktur...58 SIEM...59 Security Intelligence and Analytics...59 Incident Management...60 Die Wahl der richtigen NGTP-Lösung...63 Negative Merkmale...63 Wichtige Kaufkriterien...64 Integrierte NGTP-Plattform für die Web-, - und Dateiprüfung...65 Überwachung von ein- und ausgehendem Datenverkehr...65 Analyse einer Vielzahl von Dateitypen...65 Lösung für die manuelle Malware-Analyse...66 Keine falsch positiven oder falsch negativen Ergebnisse Unterstützung eigener Regeln Intuitiv bedienbare Benutzeroberfläche...68 Schnell erreichbarer Kundensupport...68 Glossar...69

7 Vorwort Zahlreiche Gespräche mit Kunden und führenden Köpfen auf der ganzen Welt haben mir eines gezeigt: Es gibt erhebliche Diskrepanzen zwischen dem benötigten Maß an Netzwerksicherheit und dem Schutz, den traditionelle Lösungen bieten. Die Ursache: Cyber-Angriffe der nächsten Generation sind längst Realität, aber werden mit traditionellen Sicherheitstools bekämpft, die auf Jahrzehnte alten Technologien basieren. Die Sicherheitsbranche muss neue Ansätze entwickeln, da sich das Bedrohungsrisiko durch intelligente Cyber-Kriminelle mit inkrementellen Verbesserungen nicht beseitigen lässt. Ich habe mehrfach darauf hingewiesen, dass das aktuelle Modell für Cyber-Sicherheit nicht ausbaufähig ist und grundlegend verändert werden muss. Darum freue ich mich über diesen Leitfaden. Ich bin überzeugt, dass wir uns gegenseitig Informationen zur Verfügung stellen müssen, um gegen moderne Cyber-Angriffe gewappnet zu sein. Wir befinden uns in einem Rüstungswettlauf, der von Cyber-Kriminellen und Regierungen mit ambitionierten finanziellen und geopolitischen Zielen betrieben wird. Die Täter gehen dabei immer skrupelloser vor. Für mich ist es eine Ehre, im National Security Telecommunications Advisory Committee von Präsident Obama als auch im Aufsichtsrat von Delta Airlines, Mandiant und Polycom zu sitzen. In dieser privilegierten Stellung bietet sich für mich die einmalige Gelegenheit, einen Dialog zwischen dem öffentlichen und dem privaten Sektor herzustellen. Gemeinsam müssen wir innovative Lösungen entwickeln, um geschäftskritische Infrastruktur umfassend zu schützen. Es ist schwer zu glauben, dass Cyber-Kriminelle und APT- Angreifer scheinbar mühelos in Netzwerke eindringen können, um Daten zu stehlen und Systeme lahmzulegen obwohl Unternehmen und Behörden letztes Jahr mehr als 20 Milliarden Dollar in IT-Sicherheitstechnologien investiert haben!

8 vi Ultimativer Leitfaden zu Next-Generation Threat Protection In diesem Leitfaden erfahren Sie, wie Sie Lücken in Ihrem Netzwerk schließen und die neue Generation von Cyber- Angriffen abwehren können. Der weltweit dramatische Anstieg von Sicherheitsverletzungen zeigt, wie stark verbreitet und komplex diese Cyber-Angriffe inzwischen sind. Ich kann Ihnen nur empfehlen, diesen Leitfaden zu lesen und die Informationen an Ihre Kollegen und andere Interessensgruppen weiterzugeben. Ohne moderne Technologie, eine branchenübergreifende Zusammenarbeit und engere Verbindungen zwischen dem öffentlichen und privaten Sektor können wir den Kampf gegen Cyber-Angriffe der nächsten Generation nicht gewinnen. Durch meine Arbeit bei FireEye möchte ich einen Beitrag zur Entwicklung branchenführender Plattformen leisten, die für umfassende Cyber-Sicherheit sorgen. Seit meinem Abschied von McAfee wurden mir verschiedene CEO-Positionen angetragen. Die Entwicklung von FireEye habe ich dabei seit Jahren intensiv beobachtet. Darum freue ich mich, nun ein Teil dieses innovativen Unternehmens zu sein. Mit diesem Leitfaden können Sie den Grundstein für die Bereitstellung einer NGTP-Plattform legen und Ihre Netzwerksicherheit auf eine neue Stufe heben. David DeWalt CEO bei FireEye

9 Einleitung In den letzten Jahren sind zahlreiche Unternehmen und Behörden Opfer erfolgreicher Cyber-Angriffe geworden. Dabei haben die Reichweite und Komplexität der Angriffe stark zugenommen. Trotz jährlicher Sicherheitsausgaben von 20 Milliarden Dollar sehen sich Organisationen einer neuen Generation von Cyber-Angriffen wie Advanced Malware und Advanced Persistent Threats (APTs) ausgesetzt. Diese Bedrohungen sind dynamisch, versteckt und extrem erfolgreich, wenn es um die Kompromittierung von Netzwerken geht. Um hochspezialisierte Angreifer daran zu hindern, unsere Systeme anzugreifen, Daten zu stehlen und kritische Infrastruktur zu beschädigen, müssen wir neue Wege beschreiten. Wir müssen die Beschränkungen traditioneller signaturabhängiger Sicherheitslösungen erkennen und innovative Technologien nutzen, um die neue Generation von Cyber-Angriffen entdecken und stoppen zu können. Zum Glück gibt es hierfür eine Lösung: Next-Generation Threat Protection (NGTP). Hierbei handelt es sich um eine neue, innovative Plattform für Netzwerksicherheit, mit der sich Bedrohungen der nächsten Generation zuverlässig abwehren lassen. Für Sicherheitsexperten in Unternehmen ist dieser Leitfaden deshalb eine absolute Pflichtlektüre. Kapitel im Überblick In Kapitel 1 Bedrohungen der nächsten Generation Eine Definition erfahren Sie mehr über die hohe Zahl an Sicherheitsverletzungen, aktuelle Angriffe auf bekannte Unternehmen und Behörden sowie die durch erfolgreiche Angriffe verursachten Kosten. Außerdem vergleichen wir traditionelle Strategien mit den Cyber-Angriffen der nächsten Generation. In Kapitel 2 Feinde im Fokus lernen Sie drei Arten von Cyber-Angreifern kennen (Cyber-Kriminelle, staatlich beauftragte Bedrohungsakteure und Hacktivists) und erfahren,

10 viii Ultimativer Leitfaden zu Next-Generation Threat Protection warum es Angreifern so leicht fällt, traditionelle Abwehrmaßnahmen zu umgehen. In Kapitel 3 Die Anatomie komplexer Cyber-Angriffe werden wir APT-Angriffe definieren und Beispiele nennen, die weltweit Schlagzeilen gemacht haben. Anschließend beleuchten wir die möglichen Auswirkungen erfolgreicher APT-Angriffe auf kritische Infrastruktur. Außerdem werden Sie die fünf Phasen eines APT-Lebenszyklus und eindeutige Anzeichen für APT-Angriffe auf Ihr Unternehmen kennenlernen. In Kapitel 4 Next-Generation Threat Protection Ein Überblick kommen wir zu unserem eigentlichen Thema. Hier werde ich Next-Generation Threat Protection (NGTP) definieren, die Eigenschaften einer guten NGTP- Lösung beschreiben und NGTP mit traditionellen signaturabhängigen Sicherheitslösungen und Sandbox-Technologien vergleichen. In Kapitel 5 Next-Generation Threat Protection im Detail erfahren Sie, wie mithilfe von NGTP neue Cyber- Angriffe, die in -Anhängen, Webkommunikation und Dateien verborgen sind, abgewehrt werden können. Außerdem stelle ich Ihnen die wichtigsten Funktionen führender NGTP-Lösungen sowie bewährte Methoden zur Integration der Lösungen in vorhandene Netzwerkinfrastrukturen vor. In Kapitel 6 Die Wahl der richtigen NGTP-Lösung geht es um die Frage, worauf man bei der Wahl einer geeigneten NGTP-Lösung achten sollte. Das Glossar stellt praktische Definitionen zu wichtigen Begriffen bereit, die in diesem Leitfaden wiederholt verwendet werden. Definierte Begriffe sind mit Kursivschrift hervorgehoben.

11 Einleitung ix TIPP Hilfreiche Symbole Tipps beinhalten praktische Empfehlungen, die Sie in Ihrem Unternehmen umsetzen können. MERKEN Dieses Symbol kennzeichnet wichtige Informationen, die Sie sich gründlichst durchlesen sollten. ACHTUNG Lassen Sie hier besondere Sorgfalt walten, um Ihrem Unternehmen kostspielige Sicherheitsverletzungen zu ersparen. TECHNIK Diese Inhalte sind technischer Natur und an IT-Experten gerichtet. INTERNET Sie möchten mehr erfahren? Klicken Sie einfach auf den Link, um über das Internet zusätzliche Ressourcen abzurufen.

12 Kapitel 1 Bedrohungen der nächsten Generation Eine Definition In diesem Kapitel: Aktuelle Zahlen zu Sicherheitsverletzungen Traditionelle Cyber-Angriffe Informationen zu Advanced Malware, Zero-Day Exploits und Advanced Persistent Threats Heutige Cyber-Angriffe sind ausgeklügelter als je zuvor. Das im vergangenen Jahr beobachtete Ausmaß und die gestiegene Komplexität von Sicherheitsverletzungen sind alarmierend. Aus diesem Grund müssen CISOs die Sicherheitskonzepte ihrer Organisation von Grund auf neu überdenken. Cyber-Kriminelle verfolgen heute andere Ziele als früher. Bei Angriffen geht es nicht mehr um Spaß am Programmieren, sondern um finanzielle oder politische Vorteile. Moderne Cyber-Kriminelle sind hochqualifiziert und nutzen intelligente Angriffsmethoden, gegen die aktuelle, signaturabhängige Abwehrmaßnahmen machtlos sind. Unternehmen müssen sich also auf eine neue Art von Cyber- Angriffen einstellen. Multivektorbasierte und mehrstufige Bedrohungen können traditionelle Abwehrmaßnahmen wie Firewalls, Intrusion-Prevention-Systeme (IPS), Secure Web- und Gateways sowie Antivirusplattformen problemlos umgehen. Wie schlimm ist die Lage wirklich? Werfen wir einen Blick auf aktuelle Zahlen und Beispiele für besonders gefährliche Cyber-Angriffe.

13 2 Ultimativer Leitfaden zu Next-Generation Threat Protection Erschreckende Zahlen Renommierte Forschungsinstitute für Cyber-Sicherheit untersuchen Trends bei Cyber-Angriffen auf Unternehmen. Ein Beispiel hierfür ist das RISK-Team (Response, Intelligence, Solutions and Knowledge) von Verizon, das jährlich den viel beachteten Data Breach Investigations Report veröffentlicht analysierte Verizon 855 Sicherheitsverletzungen aus dem Vorjahr, bei denen 174 Millionen Datensätze kompromittiert wurden. Die Zahlen von Verizon sind erschreckend: 98 Prozent der Vorfälle wurden von Außenstehenden verursacht (ein Plus von 6 Prozent im Vergleich zum Vorjahr) 85 Prozent der Angriffe wurden erst nach mehreren Wochen entdeckt (plus 6 Prozent) 81 Prozent der Vorfälle beinhalteten eine Form von Hacking (plus 31 Prozent) 69 Prozent der Angriffe enthielten Malware (plus 20 Prozent) INTERNET INTERNET Eine kostenlose Kopie des Berichts von Verizon erhalten Sie unter Ebenfalls im letzten Jahr veröffentlichte FireEye, ein führender Anbieter von Bedrohungsschutz der nächsten Generation, seinen Advanced Threat Report für das erste Halbjahr Demnach haben es Unternehmen im Durchschnitt mit 643 schädlichen Webvorfällen pro Woche zu tun, bei denen traditionelle Abwehrmaßnahmen wie Firewalls, Intrusion- Prevention-Systeme und Antivirus-Software umgangen werden. Im Vergleich zum ersten Halbjahr 2011 hat die Zahl der Infektionen pro Unternehmen um 225 % zugenommen. Eine kostenlose Kopie des Berichts von FireEye erhalten Sie unter Trotz jährlicher Ausgaben für Sicherheitsprodukte und -dienstleistungen in Höhe von 20 Milliarden Dollar weltweit steigt der Prozentsatz der von externen Angreifern verursachten Sicherheitsverletzungen. Das Gleiche gilt auch für Angriffe mit Malware. In vielen Fällen benötigen Organisationen

14 Kapitel 1 : Bedrohungen der nächsten Generation Eine Definition 3 mehrere Wochen, um schwere Sicherheitsverletzungen zu erkennen. Jüngste Opfer Wenn Unternehmen und Behörden keinen neuen, intelligenteren Ansatz zur Abwehr von Bedrohungen der nächsten Generation implementieren, werden sie weiterhin ungewollt in den Schlagzeilen landen. Hier eine Auswahl der jüngsten Angriffe auf prominente Unternehmen und staatliche Einrichtungen, bei denen hochmoderne Hacking-Verfahren zum Einsatz gekommen sind: Angriffe auf Unternehmen Global Payments (März 2012): Das Unternehmen wird im Januar 2011 Opfer eines Angriffs, bei dem ein Hacker Daten von über 7 Millionen Kreditkarten stiehlt. Die Folgen: Umsatzeinbußen von fast 85 Millionen Dollar und der temporäre Verlust von Aufträgen durch Visa und MasterCard. Citigroup (Juni 2011): Das Unternehmen gibt bekannt, dass ein Cyber-Angriff zum Diebstahl von über Kreditkartennummern geführt hat; dieser Karten werden genutzt, um insgesamt über 2,7 Millionen Dollar zu stehlen. RSA Security (März 2011): Cyber-Kriminelle kompromittieren die Sicherheitsplattform SecurID und machen deren Tokens zu einem Sicherheitsrisiko. TIPP Der Kasten RSA Security geht mit APT-Angriff an die Öffentlichkeit in Kapitel 3 enthält weiterführende Informationen zu diesem Angriff. Angriffe auf staatliche Einrichtungen South Carolina Department of Revenue (Oktober 2012): Ein Hacker kann mit einem externen Cyber-Angriff rund 3,6 Millionen Sozialversicherungsnummern sowie Kredit- und Debitkartennummern extrahieren.

15 4 Ultimativer Leitfaden zu Next-Generation Threat Protection U.S. Environmental Protection Agency (EPA) (August 2012): Sozialversicherungsnummern, Bankleitzahlen und Privatadressen von über EPA- Mitarbeitern werden öffentlich, da ein Angestellter einen schädlichen -Anhang anklickt. Iran (Mai 2012): Die angeblich von den USA und Israel entwickelte Flame-Malware soll das iranische Atomprogramm ausbremsen. Kostspielige Sicherheitslücken MERKEN INTERNET Um neben traditionellen Angriffen auch Bedrohungen der nächsten Generation abwehren zu können, müssen IT-Abteilungen eine Defense-in-Depth-Strategie mit verschiedenen Abwehrmaßnahmen für Netzwerk und Endpoints umsetzen. Ansonsten können die finanziellen Schäden gravierend sein. Im Extremfall ist sogar der Fortbestand Ihres Unternehmens gefährdet hat das Ponemon Institute ( seinen dritten Jahresbericht unter dem Titel 2012 Cost of Cyber Crime Study: United States herausgegeben. Ponemon analysierte die Kosten von Sicherheitsverletzungen in 56 USamerikanischen Unternehmen. Das Ergebnis: Die Kosten für Cyber-Kriminalität lagen im vergangenen Jahr bei durchschnittlich 8,9 Millionen Dollar mit Schwankungen in den einzelnen Unternehmen zwischen 1,4 Millionen und 46 Millionen Dollar. Im Jahr 2011 waren es noch 8,4 Millionen Dollar (ein Plus von 6 Prozent). Außerdem werden laut Ponemon Unternehmen pro Woche durchschnittlich 102 Mal erfolgreich angegriffen. Im Vorjahr waren es nur 72 gelungene Cyber- Angriffe (ein Anstieg von 42 Prozent). Ein Gratisexemplar des Berichts von Ponemon erhalten Sie unter Auf Unternehmen, die von Sicherheitsverletzungen betroffen sind, können hohe Kosten zukommen:

16 Kapitel 1 : Bedrohungen der nächsten Generation Eine Definition 5 Kosten für Analysen und Forensik Kosten für die Kommunikation mit Kunden und Partnern PR-Kosten Entgangene Umsätze aufgrund des angeschlagenen Rufs Verhängte Bußgelder Zivilrechtliche Klagen und Anwaltsgebühren Beim Schutz vor Cyber-Angriffen gilt weiterhin die Regel, dass Vorsicht besser ist als Nachsicht. Unternehmen schulden es ihren Mitarbeitern, Kunden und Aktionären, Next-Generation Threat Protection in ihre Defense-in-Depth-Architektur zu integrieren, um neuartige Cyber-Angriffe abwehren zu können. Die neue Bedrohungslandschaft Unternehmen und Behörden sind heute Dutzenden Arten verschiedener Cyber-Angriffe ausgesetzt. Stark vereinfacht kann die heutige Bedrohungslandschaft in zwei Kategorien aufgeteilt werden: traditionelle Angriffe und Bedrohungen der nächsten Generation. Traditionelle Angriffe Zu den herkömmlichen Cyber-Angriffen, die in diesem Abschnitt beschrieben werden, gehören einige alte Bekannte. Machen Sie jedoch nicht den Fehler, sie zu unterschätzen. Auch wenn sie von IPS-Geräten, Next-Generation-Firewalls und Antivirus-Software in den meisten Fällen erkannt werden, gelangen einige neue Varianten an ihr Ziel. Würmer, Trojaner und Viren Ein Wurm ist ein eigenständiges Malware-Programm, das sich in einem Netzwerk selbst repliziert (meist über Schwachstellen im Betriebssystem) und auf diese Weise weiter ausbreitet. Den meisten Schaden richten Würmer durch den Verbrauch von Bandbreite an. Sie lassen sich jedoch auch als lateraler Angriffsvektor nutzen, der scheinbar sichere interne Systeme

17 6 Ultimativer Leitfaden zu Next-Generation Threat Protection befällt oder Daten extrahiert. Anders als Viren hängen sich Würmer nicht an andere Programme oder Dateien an. Ein Trojaner (oder Trojanisches Pferd) tarnt sich als nützliche Anwendung, um einem Hacker unbefugten Zugriff auf einen Computer zu verschaffen. Trojaner können sich im infizierten System selbst replizieren, jedoch eigenständig keine anderen Computer befallen. Zusammen mit anderen infizierten Computern bilden sie Netzwerke (siehe Botnets im nächsten Abschnitt), in denen sie auf weitere Befehle warten und an die sie gestohlene Daten senden. Trojaner können über Spam- , soziale Netzwerke oder raubkopierte Installationsprogramme bekannter Spiele oder Anwendungen verbreitet werden. Ein Virus ist schädlicher Code, der ärgerliche bis absolut katastrophale Folgen haben kann. Er hängt sich an ein Programm oder eine Datei an, um sich von einem Computer auf einen anderen zu verbreiten. Im Gegensatz zu Würmern können Viren neue Systeme jedoch nicht ohne menschliche Interaktion infizieren. TECHNIK Spyware und Botnets Spyware ist Software, die über eine Internetverbindung heimlich Benutzerdaten sammelt in der Regel ohne Wissen der Benutzer. Meist werden die Daten zu Werbezwecken verwendet (sogenannte Adware, die Pop-up-Werbung anzeigt). In manchen Fällen werden jedoch Benutzernamen, Kennwörter und Kreditkartennummern ausgespäht. Spyware- Anwendungen werden meist als versteckte Komponente eines Shareware- oder Freeware-Programms verbreitet, das Benutzer aus dem Internet herunterladen. Nach der Installation überwacht Spyware die Aktivitäten von Benutzern und sendet diese Informationen heimlich an ein anderes System. Bei einem Botnet handelt es sich um eine Gruppe infizierter Computer, die mit dem Internet verbunden sind. Die kompromittierten Geräte werden Bots (oder Zombies) genannt, während die Person, die ein Botnet steuert, den Namen Bot Herder (oder Botmaster) trägt. Zur Steuerung und Kontrolle eines Botnets werden meist Webserver verwendet (sogenannte Command-and-Control- oder CnC-Server). Einige ältere Botnets werden noch per Internet Relay Chat (IRC) kontrolliert. Bots werden genutzt, um Denial-of-Service-

18 Kapitel 1 : Bedrohungen der nächsten Generation Eine Definition 7 Angriffe auszuführen, Spam zu verbreiten, gestohlene Daten zu speichern und/oder weitere Malware auf den infizierten Computer herunterzuladen. Social-Engineering-Angriffe Social-Engineering-Angriffe wie Phishing und Baiting sind heute weit verbreitet. Wie Sie in Kapitel 3 erfahren werden, können diese Bedrohungen bei erfolgreicher Umsetzung deutlich gefährlichere Cyber-Angriffe zur Folge haben. Phishing bezeichnet den Versuch, Informationen wie Benutzernamen, Kennwörter, Kreditkartendaten oder Sozialversicherungsnummern (und damit indirekt Geld) zu stehlen, indem sich der Angreifer per als vertrauenswürdig ausgibt. Nach dem Klicken auf einen scheinbar harmlosen Hyperlink wird der Benutzer aufgefordert, persönliche Daten in ein gefälschtes Webformular einzugeben, das dem Original täuschend ähnlich sieht. Phishing lässt sich folgendermaßen klassifizieren: Mit Spear Phishing werden einzelne Personen in einem Unternehmen angegriffen. Dabei sammeln Angreifer zuvor personenbezogene Informationen über ihre Opfer, um die Erfolgswahrscheinlichkeit zu erhöhen. Beim Whaling werden Führungskräfte und andere lukrative Ziele innerhalb eines Unternehmens ins Visier genommen. Beim Baiting lassen Kriminelle USB-Sticks oder CD-ROMs aus Versehen auf einem Parkplatz oder in einem Internetcafé liegen. Das Medium ist mit Wörtern wie Vorstandsgehälter oder Streng vertraulich beschriftet, um die Aufmerksamkeit des Finders zu erregen. Sobald der Finder auf das Medium zugreift, wird auf seinem Computer Malware installiert. Pufferüberläufe und SQL-Injection-Angriffe Zwei häufige Verfahren zur Ausnutzung von Schwachstellen sind Pufferüberläufe und SQL-Injection-Angriffe. Ein Pufferüberlauf ist ein Cyber-Angriff, bei dem der Hacker mehr Daten in den Puffer eines Speichers schreibt, als dieser aufnehmen kann. Ein Teil dieser Daten läuft in den angren-

19 8 Ultimativer Leitfaden zu Next-Generation Threat Protection zenden Speicher über, sodass die Desktop- oder webgestützte Anwendung jeglichen Code mit erweiterten Rechten ausführt oder das System zum Absturz bringt. Pufferüberläufe werden in der Regel durch Eingaben von Hackern oder schädliche Dateien bzw. Webobjekte verursacht, die Code ausführen oder die Funktionsweise eines Programms verändern. Mit einer SQL Injection werden über eine Website oder webgestützte Anwendung Datenbanken angegriffen. In einem Webformular gibt der Angreifer SQL-Befehle ein, damit die Webanwendung die bösartige SQL-Anweisung an die Datenbank überträgt. Ist der SQL-Injection-Angriff erfolgreich, kann der Angreifer auf Datenbankinhalte wie Kreditkartendaten, Kennwörter, Adressen und vieles mehr zugreifen. TIPP MERKEN Next-Generation Threats Traditionelle, signaturabhängige Abwehrmaßnahmen wie IPS, NGFW und Antivirusprodukte sind insbesondere zur Erkennung bekannter Bedrohungen geeignet. Heute sind es jedoch meist unbekannte Bedrohungen, die besonders großen Schaden anrichten. In diesem Abschnitt lernen Sie die gefährlichsten Cyber- Angriffe kennen, denen Unternehmen und Behörden heute ausgesetzt sind. In Kapitel 2 wird beschreiben, warum traditionelle Abwehrmaßnahmen zur Erkennung und Abwehr von Bedrohungen der nächsten Generation ungeeignet sind. Zero-Day Exploits Ein Zero-Day Exploit ist ein Cyber-Angriff auf eine unbekannte Schwachstelle in Betriebssystemen oder Anwendungen. Der Angriff erfolgt am Tag null (bzw. immer häufiger davor), also bevor die Schwachstelle öffentlich bekannt wird. Zum Teil wissen nicht einmal die Hersteller, dass eine Sicherheitslücke vorhanden ist. (Genauso ist es möglich, dass Hersteller die Schwachstelle zwar kennen, sie jedoch nicht öffentlich gemacht haben, da bislang kein Patch verfügbar ist.) Zero-Day-Angriffe sind äußerst effektiv, da sie lange Zeit unentdeckt bleiben können (oft mehrere Monate oder gar Jahre). Wenn sie endlich erkannt werden, kann es noch Tage oder Wochen dauern, bis ein entsprechender Patch entwickelt worden ist.

20 Kapitel 1 : Bedrohungen der nächsten Generation Eine Definition 9 TIPP Advanced Persistent Threats Advanced Persistent Threats (APTs, auch Advanced Targeted Attacks oder ATAs genannt) sind ausgeklügelte Netzwerkangriffe, mit denen sich eine nicht autorisierte Person Zugriff auf ein Netzwerk verschaffen und dabei lange Zeit unerkannt bleiben kann. Das Ziel von APT-Angriffen besteht hauptsächlich darin, Daten zu stehlen. APT-Angriffe richten sich an Unternehmen in Branchen, in denen hochsensible Informationen verarbeitet werden. Hierzu gehören Zahlungsdienstleister, staatliche Behörden und Unternehmen aus der Finanzindustrie. Oft nutzen Angreifer Spear-Phishing-Methoden, um sich Zugang zum gewünschten Netzwerk zu verschaffen (siehe vorherigen Abschnitt zu Phishing und Baiting). Sobald der Angreifer den ersten Host infiziert hat, wendet er eine langfristige und versteckte Strategie an, um eine Erkennung zu verhindern. Kapitel 3 beschäftigt sich näher mit APT-Angriffen und der Frage, wie intelligente Cyber-Kriminelle langfristige und versteckte Taktiken für besonders schwere Sicherheitsverletzungen verwendet haben. In der IT-Sicherheitsbranche gibt es verschiedene Definitionen für APT-Angriffe. Manche Experten sind der Ansicht, dass APT-Angriffe ausschließlich von Staaten (wie China oder Russland) für politische Zwecke eingesetzt werden, während sie den Begriff ATA für finanziell motivierte Angriffe reservieren. Andere Branchenexperten verwenden den Begriff, um von einem beliebigen komplexen Cyber-Angriff zu sprechen (unabhängig von den verwendeten Methoden). Ich glaube jedoch, dass meine Definition in diesem Leitfaden der Mehrheitsansicht entspricht. Polymorphe Bedrohungen Eine polymorphe Bedrohung ist ein Cyber-Angriff (zum Beispiel ein Virus, Wurm, Trojaner oder Spyware), der kontinuierlich seine Gestalt verändert, um signaturabhängige Abwehrmaßnahmen zu umgehen. Die Verwandlung polymorpher Bedrohungen kann auf verschiedene Weise erfolgen, zum Beispiel durch Änderung des Dateinamens oder Komprimierung (Dateigröße).