Eine kurze Einführung von speziell zu APTs ENTDECKEN SIE FEINDE IN IHREM NETZWERK Wie schwer ist der Kampf gegen APTs?
Was sind APTs bzw. gezielte Angriffe? Schwachstelle Mensch: Immer wieder haben Social-Engineering- Tricks Erfolg ob dabei nun der vermeintliche Stromableser hereingelassen oder ein E-Mail- Anhang geöffnet wird. Komplexe, hartnäckige Bedrohungen (die sogenannten Advanced Persistent Threats, APTs) sind eine Bedrohungskategorie, bei der entsprechende Akteure versuchen, in Computer einzudringen, um ausgewählte Zielobjekte aggressiv zu verfolgen und zu infizieren. APTs werden häufig als Kampagnen durchgeführt, also als eine Reihe fehlgeschlagener und erfolgreicher Versuche, immer tiefer in das Netzwerk eines Zielobjekts einzudringen. Es handelt sich hier also nicht um isolierte Vorfälle. Auch wird zwar üblicherweise Malware als Angriffsinstrument eingesetzt die eigentliche Bedrohung geht jedoch von den menschlichen Akteuren aus, die ihre Methoden den Verteidigungsmechanismen des Opfers entsprechend ausrichten, anpassen und optimieren. Angesichts der massiven Folgen für frühere Opfer gelten gezielte Angriffe für Unternehmen als eine Bedrohung mit hoher Priorität. Das Risiko, einem Angriff dieser Art zum Opfer zu fallen, bleibt jedoch bestehen, da menschliches Versagen 1 und System schwachstellen 2, die das Eindringen in Netzwerke erst möglich machen, niemals vollständig ausgeschlossen werden können. Heutzutage vergrößert sich die Angriffsfläche schon allein durch normale Geschäftstätigkeiten sowie die Nutzung neuer Technologien und Plattformen. Bedrohungsakteure haben zudem den handfesten Wert von Unternehmensdaten erkannt, wie sich an den massiven Datenschutzverletzungen des Jahres 2011 ablesen lässt. Mit weiteren gezielten Angriffen und Cyberspionage ist also auch künftig zu rechnen. Durch mehr Wissen zu gezielten Angriffen sind die Sicherheitsteams in Unternehmen für den Umgang mit diesen Bedrohungen besser gerüstet. Wie werden gezielte Angriffe durchgeführt? Informationsbeschaffung: Ganz ähnlich wie bei einem militärischen Aufklärungseinsatz sollen in dieser ersten Phase strategische Informationen gesammelt werden, und zwar nicht nur zur IT-Umgebung des Zielobjekts, sondern auch zu dessen Organisations struktur. Dabei kann es sich um die unterschiedlichsten Informationen handeln von den in einem Unternehmen eingesetzten Geschäftsanwendungen und Software programmen bis hin zu den betrieblichen Strukturen mit ihren Rollen und Beziehungen. Schwachstelle System: Sicherheitslücken oder Designfehler in Software können ausgenutzt werden, um sich Zugang zur IT-Umgebung eines Unternehmens zu verschaffen. Social Engineering * : Der Faktor Mensch wird ausgenutzt. E-Mail, die vermeintlich aus dem sozialen Netzwerk einer Zielperson stammt E-Mail, die von einem echten E-Mail-Konto stammt, das der Zielperson bekannt ist und ihr Vertrauen genießt (infizierte Konten) * Dies sind nur einige wenige Beispiele für Social-Engineering-Techniken. Die Angriffe können sich auch aktuelle Ereignisse, geschäftliche Angelegenheiten sowie sonstige Interessen der Zielperson zunutze machen. Protokoll res:// : Erstellt ein Profil der Softwareumgebung des Zielobjekts. Auf diese Weise können u. a. File-Sharing-Programme, Webbrowser, E-Mail- Clients, Download-Manager und Fernwartungstools identifiziert werden. Eintrittspunkt: Da sich die Angriffe üblicherweise gegen Unternehmen richten, werden als Verbreitungsmechanismus E-Mails als die gängigste Form der geschäftlichen Kommunikation eingesetzt. Allerdings können auch Instant Messaging und soziale Netzwerke genutzt werden, um die Zielperson zu verleiten, auf einen Link zu klicken oder Malware herunterzuladen. So gelingt es letztlich, eine Verbindung zum Zielobjekt herzustellen. Nutzung privater E-Mail-Konten oder Einsatz fingierter E-Mail-Adressen, beispiels weise von Behörden E-Mails mit einer PDF-, Microsoft Word-, Microsoft Excel- oder Microsoft PowerPoint-Datei als Anhang Right-to-Left Override mit Unicode (RTLO) Ausführbare Dateien mit der Endung.exe werden als einfache DOC-Datei oder Ordnersymbol getarnt. Drive-by -Exploits E-Mails mit Links zu Webseiten, die Schwachstellen in Webbrowsern oder Browser-Plug-ins ausnutzen 1 http://ctoinsights.trendmicro.com/2011/06/the-human-factor-of-targetted-attacks/ 2 http://ctoinsights.trendmicro.com/2010/11/zero-day-vulnerabilities-risk-overblown/ ENTDECKEN SIE FEINDE IN IHREM NETZWERK 1
Praxisbeispiele für Schäden, die Unternehmen durch APTs entstanden sind Datendiebstahl Beschädigung des Markenimage Sachschäden Infektion: Ausgestattet mit dem Wissen aus der Informationsbeschaffungsphase und zusätzlichen Erkenntnissen aus vorherigen Angriffen auf eine Unternehmensumgebung können Bedrohungsakteure die Exploits, die beim jeweiligen Zielobjekt zum Einsatz kommen sollen, auswählen und definieren. Diese Phase endet, wenn es gelungen ist, in das Netzwerk eines Unternehmens einzudringen. Exploits Sicherheitslücken in häufig verwendeten Geschäftsanwendungen wie Adobe Reader und Flash Player sowie Microsoft Office Zero-Day-Angriffe oder Exploit-Codes für noch ungepatchte Schwachstellen Schwachstellen verbreiteter Webmail-Dienste, auf die vom Arbeitsplatz aus zugegriffen wird Exploits für Schwachstellen im MHTML-Protokoll, bei denen ein Konto schon durch einfache Vorschau einer Mitteilung 3 infiziert werden kann C&C-Kommunikation: Wenn es gelungen ist, die Außengrenzen eines Unternehmens zu durchbrechen, muss die Kommunikation zwischen dem infizierten Host und dem C&C-Server kontinuierlich aufrechterhalten bleiben. Bedrohungsakteure setzen dazu Techniken ein, mit denen sie die C&C-Kommunikation so mit dem regulären Datenverkehr mitlaufen lassen, dass sie nicht auffällt, oder sie lassen die Kommunikation gänzlich über eine zwischengeschaltete Ebene laufen. Cloudbasiertes C&C-System Bedrohungsakteure nutzen möglicherweise Webmail als Element ihrer C&C-Kommunikation. Da diese Art der Kommunikation in der Regel mittels SSL-Verschlüsselung geschützt ist, lässt sich nur schwer feststellen, ob bestimmte Datenströme bösartiger Natur sind. Auch seriöse Websites können infiziert und zu C&C-Servern gemacht werden. So werden Ermittler in die Irre geführt, denn der erkannte bösartige Datenstrom führt bei eingehenderer Prüfung nur zu einer seriösen Website. Laterale Ausbreitung: Sobald der ständige Zugang zum infiltrierten Netzwerk sichergestellt ist, wird dieses von den Bedrohungsakteuren auf der Suche nach wertvollen Hosts mit sensiblen Informationen systematisch durchkämmt. Pass-The-Hash : Mit dieser Technik kann sich ein Angreifer Administrator rechte verschaffen. Brute-Force -Angriffe: Mit dieser Methode kann sich ein Angreifer Zugriff auf Datenbankserver, Microsoft Exchange E-Mail-Server oder VPN-Anmeldeinformationen verschaffen. Mithilfe der so erbeuteten Daten ist der Zugang auch dann weiterhin sichergestellt, wenn das Angriffstool entdeckt wird. Erkennen von Werten/Daten: Interessante Daten in der Infrastruktur werden identifiziert und zum späteren Herausschleusen isoliert. Anhand von Dateilisten der verschiedenen Verzeichnisse können Angreifer lohnenswerte Daten identifizieren. E-Mail-Server werden identifiziert, damit die Angreifer wichtige E-Mails lesen und wertvolle Informationen aufspüren können. Herausschleusen von Daten: Ziel des Angriffs ist es letztlich, Informationen aus dem Netzwerk der Zielorganisation an einen Standort zu übermitteln, der der Kontrolle der Bedrohungsakteure unterliegt. Die Daten können sofort oder auch nach und nach übertragen werden dazu werden sie zunächst in einen Staging-Bereich verlagert und zum Herausschleusen vorbereitet. Integrierte Dateiübertragung: Manche Tools, beispielsweise Remote- Access-Trojaner (RATs), bieten diese Möglichkeit. Per FTP oder HTTP Über das Anonymisierungsnetzwerk Tor: Dieses Netzwerk, über das sich Standort und Datenverkehr verschleiern lassen, bietet Angreifern einen geschützteren Übertragungsweg. 3 http://blog.trendmicro.com/targeted-attacks-on-popular-web-mail-services-signal-future-attacks/ ENTDECKEN SIE FEINDE IN IHREM NETZWERK 2
INFORMATIONS BESCHAFFUNG EINTRITTSPUNKT LATERALE AUSBREITUNG WERTE/DATEN ERKENNEN C&C-KOMMUNIKATION DATEN HERAUSSCHLEUSEN Abbildung 1: Schematische Darstellung eines gezielten Angriffs Was können Unternehmen gegen APTs tun? Durch ihren Aufbau lassen sich mit APTs herkömmliche Sicherheitsmaßnahmen am Netzwerkrand und an Endpunkten umgehen. Branchenanalysten und Experten haben eindeutige Argumente dafür geliefert, dass über das herkömmliche Sicherheitsmanagement hinaus ein erweiterter mehrschichtiger Schutz für die meisten Unternehmen und Behörden unverzichtbar ist. Trend Micro bietet zahlreiche Lösungen an, mit denen Unternehmen diesen neuen Anforderungen gerecht werden und APTs mit den besten Schutz- sowie proaktiven Erkennungstechnologien bekämpfen können. Spam-/ Phishing-Schutz Schutz von Webanwendungen Anwendungssteuerung/ Whitelists Cloudbasierte Netzwerk- und Endpunktsicherheit Patch-Verwaltung Bedrohungserkennung auf Netzwerkebene Virenschutz/Anti-Malware Firewall und Systeme zur Erkennung/Abwehr von Eindringlingen Protokollprüfung Integritätsüberwachung Schutz vor Datenverlust Sandboxing Abbildung 2: Schematische Darstellung des Managements von Sicherheitsrisiken ENTDECKEN SIE FEINDE IN IHREM NETZWERK 3
Grundlegende Abwehr Herkömmliche Sicherheitsmaßnahmen am Netzwerkrand und Endpunkt-Sicherheitstechnologien sind unerlässlich, um die meisten Angriffe abzuwehren, und können in manchen Fällen sogar bestimmte Aspekte von APTs oder gezielten Angriffen erkennen oder sperren. Die Hauptfaktoren für die Wirksamkeit dieser Produkte liegen in der Fähigkeit des Anbieters, neue Informationen über Bedrohungen ausfindig zu machen, sowie in der Schnelligkeit, mit der diese Informationen dann für die verteilten Sicherheitsprodukte bereitgestellt werden können. Das Trend Micro Smart Protection Network beispielsweise versorgt Trend Micro Produkte mit den umfassendsten und topaktuellen Funktionen zur Erkennung von Bedrohungen. 4 Das Smart Protection Network verarbeitet täglich über 4 TB an Daten, inklusive täglichen Analysen von über 8 Milliarden URLs, 50 Millionen E-Mail- Stichproben, 430.000 Dateistichproben und 200.000 IP-Adressen. InterScan Messaging Security kombiniert den Datenschutz und die Kontrolle einer leistungsstarken, lokal installierten virtuellen Softwareappliance am Gateway mit dem proaktiven Schutz eines optionalen cloudbasierten Vorfilters, der den Großteil der Bedrohungen und Spam-Mails bereits in der Cloud stoppt. InterScan Web Security vereint mehrfach ausgezeichnete Malware-Suche, Echtzeit-Web-Reputation, flexible URL-Filter und integrierte Zwischenspeicherung und sorgt so für eine vereinfachte Administration und niedrigere Gesamt betriebskosten. OfficeScan maximiert die Sicherheit und Leistung auf physischen und virtuellen Desktops und bietet so den branchenweit stärksten Daten- und Bedrohungsschutz integriert in einen einzigen Endpunkt-Agent, der über eine zentrale Konsole installiert und verwaltet werden kann. Fortschrittlicher Schutz Über die grundlegende Abwehr hinaus müssen zusätzliche Schutzmechanismen für sensible physische und virtuelle Ressourcen und Daten implementiert werden im Unternehmensnetzwerk, im Rechenzentrum oder in der Cloud gleichermaßen. Mit Trend Micro können Sie den Schutz vor gezielten Angriffen für Server und Daten optimieren. Deep Security bietet eine zentrale Plattform für Serversicherheit, um physische, virtuelle und cloudbasierte Server sowie virtuelle Desktops zu schützen. Die Plattform kann mit hervorragend aufeinander abgestimmten Modulen erweitert werden, um umfangreiche Abwehrmechanismen bereitzustellen, einschließlich Anti-Malware, Integritätsüberwachung, Erkennung und Abwehr von Eindringlingen, Schutz und Steuerung von Webanwendungen, Firewall und Protokoll prüfung. SecureCloud verschlüsselt und schützt Daten in öffentlichen, privaten und hybriden Clouds. Dabei werden auch Daten geschützt, die auf physischen und virtuellen Servern gespeichert sind. Eine benutzerfreundliche und richtlinienbasierte Schlüsselverwaltung authentifiziert die Identität und Integrität der Server, die Kodierungsschlüssel anfragen, und legt fest, wann und wo der Zugriff auf Ihre sicheren Daten erfolgen darf. Die meisten erfolgreichen gezielten Angriffen sind in der Tat hartnäckig, bauen jedoch immer noch auf das übliche schwache Glied in der Sicherheits kette, nämlich auf Menschen, die mithilfe von Social-Engineering-Techniken überlistet werden können. Paul Ferguson, Trend Micro Senior Threat Researcher Echtzeit-Bedrohungsmanagement Proaktive Erkennung, die über den herkömmlichen Schutz hinausgeht, ist die ultimative Maßnahme zur Bekämpfung von APTs und gezielten Angriffen. Mit speziellen Technologien zur Bedrohungserkennung lassen sich unsichtbare Malware und Aktivitäten menschlicher Angreifer erkennen. Dazu werden die Inhalte, die Kommunikation und das Verhalten des gesamten Netzwerkverkehrs untersucht und aussagekräftige Informationen bereitgestellt, die bei der sofortigen Eindämmung und Beseitigung von Bedrohungen helfen. 4 http://www.trendmicro.de/de/technologie-innovationen/technologie/smart-protection-network/ index.html ENTDECKEN SIE FEINDE IN IHREM NETZWERK 4
Sicherheitslücken bilden den zentralen Angriffspunkt. Daher ist eine proaktive Strategie zur Erkennung von Schwachstellen und rechtzeitigen Bereitstellung von Patches von entscheidender Bedeutung. Durch eine systematische Herangehensweise an die Schwachstellenbewältigung und proaktives Patchen oder Abschirmen von Schwachstellen lassen sich die Angriffsmöglichkeiten minimieren. Die folgenden Trend Micro Lösungen ermöglichen einen ultimativen proaktiven Schutz vor APTs und gezielten Angriffen: Deep Discovery bietet Kunden die erforderliche netzwerkweite Transparenz und Kontrolle, um das Risiko komplexer, hartnäckiger Bedrohungen und gezielter Angriffe zu verringern. Deep Discovery erkennt und identifiziert versteckte Bedrohungen individuell und in Echtzeit. Anschließend liefert es eine ausführliche Analyse und wichtige Informationen, um Angriffe auf Unternehmensdaten zu verhindern, zu entdecken und einzudämmen. Vulnerability Management Services sorgen bedarfsgerecht für Netzwerkerkennung, Priorisierung von Ressourcen, Bewertung von Anwendungs- und Systemschwachstellen sowie Nachverfolgung von Gegenmaßnahmen alles in einer einzigen Lösung, die als Software-as-a-Service (SaaS) angeboten wird. Deep Security mit Deep Packet Inspection und dem Intrusion Prevention System (IPS) schließt Sicherheitslücken und senkt die Patching-Kosten, da Schwachstellen durch virtuelles Patching ohne Beeinträchtigungen der standard mäßigen Patch-Zyklen schnell abgeschirmt werden können, noch bevor die Patches der Hersteller verfügbar sind. ENTDECKEN SIE FEINDE IN IHREM NETZWERK 5
TREND MICRO Trend Micro, einer der international führenden Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloudbasierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und cloudbasierten Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienst leistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheitsexperten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. TRENDLABS SM TrendLabs ist ein multinationales Forschungs-, Entwicklungs- und Support-Zentrum mit einer flächendeckenden regionalen Präsenz. TrendLabs überwacht rund um die Uhr Bedrohungen, verhindert Angriffe und stellt erforderliche Lösungen zeitnah und lückenlos bereit. In den Laboren arbeiten weltweit mehr als 1.000 Bedrohungsexperten und Support-Techniker. Dadurch kann Trend Micro die Bedrohungslandschaft auf der ganzen Welt kontinuierlich überwachen; Echtzeitdaten zur Erkennung, Prävention und Abwehr von Angriffen liefern; Technologien zur Bekämpfung neuer Bedrohungen erforschen und analysieren; gezielte Bedrohungen in Echtzeit abwehren und Kunden weltweit darin unterstützen, Schäden auf ein Minimum zu begrenzen, Kosten zu reduzieren und Betriebsabläufe zu stabilisieren. 2012 Trend Micro, Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken ihrer jeweiligen Eigentümer.