Meta-Daten verraten verdächtige Kommunikation
Projekt "APT-Sweeper": Wirksamer Schutz gegen gezielte Angriffe
APT-Angriffe unterscheiden sich deutlich von anderen Hacker-Attacken
(08.12.15) - Gegen Advanced Persistent Threats (APT) gibt es bis heute kein wirksames Mittel. Dabei verursachen diese professionell ausgeführten, gezielten Cyber-Angriffe große Schäden, beispielsweise können sensible Daten und Know-how unbemerkt abfließen, kritische Infrastrukturen sabotiert oder Firmen erpresst werden. Im Forschungsprojekt APT-Sweeper werden gegen diese Bedrohung neuartige Abwehrmaßnahmen entwickelt. Ansatzpunkt ist die Analyse von Meta-Informationen, durch die APT-Angriffe frühzeitig erkannt und abgewehrt werden können. Projektbeteiligte sind die Friedrich-Alexander-Universität Erlangen, die Georg-August-Universität Göttingen und die deutsche IT-Sicherheitsspezialistin genua, als assoziierte Partnerin das Bundesamt für Sicherheit in der Informationstechnik und Siemens. Das Projekt APT-Sweeper läuft bis Juli 2017 und wird vom Bundesministerium für Bildung und Forschung gefördert.
APT-Angriffe unterscheiden sich deutlich von anderen Hacker-Attacken: Täter sind zumeist gut ausgestattete und kompetente staatliche Dienste oder kriminelle Organisationen, das Ziel ist ein bestimmtes IT-System in den Bereichen Wirtschaft, Forschung, Politik oder Militär. Durch eine sorgfältige Aufklärung wird der Angriff so angelegt, dass erkannte Sicherheitsmaßnahmen wie Virenscanner und Intrusion Detection-Systeme getäuscht oder umgangen werden. Ist das Ziel infiziert, wird der Angriff weiterhin mit großem Aufwand verheimlicht, um den erlangten Zugriff möglichst lange nutzen und somit maximalen Schaden anrichten zu können.
Im Projekt APT-Sweeper werden Verfahren entwickelt, um solche Angriffe bereits in der Anfangsphase erkennen zu können. Der Schlüssel dazu sind Meta-Informationen aus der Mail- und Web-Kommunikation. Denn um das Zielsystem zu erreichen, muss der Angreifer Malware in das anvisierte Netzwerk einschleusen. Dazu werden häufig E-Mails mit infizierten Anhängen und gefälschten Absenderadressen oder auch mit Malware versehene Webseiten eingesetzt, die von Mitarbeitern im Ziel-Netzwerk aufgerufen werden.
Werden jetzt die Meta-Daten dieser Kommunikation mit zuvor angelegten Profilen verglichen, ergeben sich Abweichungen: Die E-Mail eines bekannten Absender wird erstmals von einem anderen Mail-Server versandt, oder eine Website wird mit Flash ausgeliefert, die bisher stets ohne diesen Content auskam. Diese Indizien deuten auf eine APT-Attacke hin. Im Projekt APT-Sweeper werden Methoden erarbeitet, um Abweichungen von der gewohnten Kommunikation erkennen, bewerten und somit Angriffe abwehren zu können. Der IT-Sicherheitsspezialist genua beschäftigt sich in dem Projekt mit der Entwicklung von Indikatoren zur APT-Erkennung in Datenströmen. (genua: ra)
genua: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.