- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Detailliertes Profil der Angreifer entscheidend


Angriffspläne von Hackern kreuzen - Die CyberKill Chain
Noch immer investiert die Mehrheit der Unternehmen in Threat Intelligence-Lösungen, die lediglich aktuelle, sogenannte "in-the-wild" Aktivitäten und Malware-Bedrohungen beobachten



Autor Alastair Paterson
Autor Alastair Paterson Der Vorteil des Kill-Chain-Prinzips liegt dabei in der ganzheitlichen Betrachtung von Bedrohungen und Sicherheitsrisiken, Bild: Digital Shadows

Autor: Alastair Paterson, CEO und Mitgründer Digital Shadows

"Kill Chain" – dieser Begriff stammt eigentlich aus dem Militärjargon und bezeichnet ein Modell, das alle Phasen eines Angriffs beschreibt. Im Umkehrschluss zeigt es Wege auf, mit denen sich diese Angriffe vermeiden oder zumindest abschwächen lassen – eine Taktik, die auch hinsichtlich digitaler Bedrohungen und Hackangriffe interessant ist. Die Kill Chain digitaler Bedrohungen lässt sich in sieben verschiedene Phasen unterteilen:

• >> Auskundschaften: das Sammeln von Informationen des Angriffsziels wie Email, Unternehmensstruktur
• >> Bewaffnen: Auswahl der passenden Angriffsrouten und Tools
• >> Zustellen: Verbreiten schädlicher Inhalte
• >> Zugreifen: Exploit von Schwachstellen
• >> Installieren: Aktivieren der Malware
• >> Rückkopplung: Austausch zwischen Malware und Command-and-Control-Server, um Zugang ins Zielsystem zu erhalten)
• >> Zielerreichen: Umsetzen des ursprünglichen Plans

Aus jeder dieser Phasen können Sicherheitsexperten wichtige Informationen ziehen und damit die Schutzmaßnahmen erhöhen. Der Vorteil des Kill-Chain-Prinzips liegt dabei in der ganzheitlichen Betrachtung von Bedrohungen und Sicherheitsrisiken. Konzentrierten sich Abwehrmaßnahmen früher nur auf Netzwerk und Perimeter, verlangen die raffinierten und immer häufiger durchgeführten Cyberattacken heute einen umfassenderen Ansatz.

Entscheidend ist ein detailliertes Profil der Angreifer. Noch immer investiert die Mehrheit der Unternehmen in Threat Intelligence-Lösungen, die lediglich aktuelle, sogenannte "in-the-wild" Aktivitäten und Malware-Bedrohungen beobachten. Sinnvoller ist jedoch, ein grundlegendes Verständnis für den digitalen Fußabdruck seines Unternehmens zu entwickeln und einen Überblick der Taktiken, Techniken und Prozeduren (TTPs) des Gegners zu verschaffen. So können Sicherheitslücken frühzeitig geschlossen, Angriffe abgewehrt und Schaden auf ein Minimum reduziert werden.

Auskundschaften
Dieser genaue Blick auf Angreifer beginnt mit der ersten Phase der Kill Chain – dem Auskundschaften. Der Gegner inspiziert sein Ziel und untersucht es auf Schwachstellen, potentielle Vektoren oder andere, angriffsrelevante Informationen. Zum Schutz vor solch einem Ausspähen, setzen Unternehmen gewöhnlich auf verschiedene Maßnahmen, zum Beispiel Firewall- und Proxy-Logs, Honeypots oder Netzwerk-basierte Intrusion Detection Systeme (NIDS).

Leider adressieren diese Maßnahmen nur Bedrohungen, welche direkt auf das Umkreisnetzwerk abzielen und lassen andere Risiken außen vor. Geleakte Daten können so auf unterschiedlichen Wegen an die Öffentlichkeit gelangen.

Dazu gehören:
• >> Gestohlene Zugangsdaten, die auf Seiten wie Pastebin angeboten werden
• >> Vertrauliche Dokumente, die über fehlerhaft konfigurierte Speichermedien oder öffentliche Ordner von Anbietern wie Dropbox innerhalb des Netzwerk zugänglich sind
• >> Proprietären Source Code und Admin-Passwörter, die ihren Weg auf unbekannterweise auf Code Sharing-Sites wie GitHub finden
• >> Social Media-Plattformen, die für Angreifer auf der Such nach Informationen für Spear Phishing-Kampagnen als wahre Goldgrube darstellen

Seine eigene Angreifbarkeit zu kennen ist ein erster Schritt. Darüber hinaus sollten Unternehmen auch die allgemeine Bedrohungslage im Auge behalten und einen Überblick der Akteure besitzen, die eventuelle Angriffspläne gegen ein Unternehmen schmieden. Hacktivisten tun das zumeist öffentlich. Kriminelle und staatlich gesteuerte Angreifer arbeiten deutlich anonymer.

Bewaffnen
In der nächsten Phase der Kill Chain geht es darum, die unterschiedlichen "Angriffs-Waffen" festzulegen. Diese können je nach Art der Bedrohung, unterschiedlich ausfallen und reichen von einem leicht zugänglichen und einfachen Exploit bis zur Entwicklung und dem Einsatz einer Zero-Day-Sicherheitslücke. Honeypots, Sandboxes und NIDS dienen hier häufig zur Verteidigung. Sie befassen sich mit den Bedrohungen jedoch erst bei einem direkten Angriff auf das Unternehmen – oft ist das zu spät und hilft nur wenig. Ein unternehmensspezifisches Risikoprofil kann die TTPs potentieller Angreifer gezielter identifizieren. Dabei ist es egal, ob sie bereits zum Einsatz kommen, im Netz darüber debattiert wird oder sie bereits zum Verkauf angeboten sind. Wer hier einen guten Überblick behält, ist besser auf potentielle Angriffe vorbereitet und kann frühzeitig Maßnahmen einleiten, um Schaden zu begrenzen und kurzfristig zu reagieren.

Von der Zustellung bis zum Ziel
Nach dieser Vorbereitung erfolgt in der Kill Chain der eigentliche Angriff des Ziels, der in den Phasen Zustellen, Zugreifen, Installieren und Rückkopplung gegliedert ist. Doch auch wenn der Angriff bereits erfolgt und das Netzwerk infiltriert ist, lassen sich zahlreiche nützliche Sicherheitskontrolle und Maßnahmen durchführen. Um ihre Wirksamkeit sicherzustellen, sollten sie jedoch immer auf Basis zusätzlicher Informationen, die von außerhalb des Unternehmens stammen, eingesetzt werden.

Geht es zum Beispiel um eine Lösung für Data Loss Prevention (DLP) – egal ob über Firewall oder Proxy – ist diese objektive Bewertung von außen ein Muss. Nur so lässt sich feststellen, ob die Daten, die mit den entsprechenden Tools geschützt werden sollen, nicht bereits kompromittiert wurden. Mit diesem Verfahren lassen sich Anhaltspunkte finden, ob vertrauliche Daten inkriminellen Foren bereits zum Verkauf angeboten sind oder über Paste Sites zugänglich sind. Gleichzeitig schafft eine solche Untersuchung oft Klarheit in Bezug auf die Glaubwürdigkeit derjenigen, die Haftungsansprüche geltend machen wollen.

Das Ende der Kette
Aus der Sicht des Angreifers ist der Angriff mit der letzten Phase - dem Erreichen des Ziels und der Umsetzung des ursprünglichen Plans – beendet. Unternehmen stehen jedoch wieder am Anfang. Die Kill Chain sollte als eine Kreislauf verstanden werden, wobei die letzte Phase bereits den Beginneiner neuen Kill Chain markiert. Im Klartext heißt das: Unternehmen können aus bisherigen Angriffen (und ihren Fehlern) lernen und sich in Sachen Sicherheit neu aufstellen. Ziel sollte es dabei sein, die Angriffsfläche kontinuierlich auf ein Minimum zu beschränken und beispielsweise frei zugängliche Informationen Stück für Stück zu eliminieren. So gesehen ist jeder Angriff auch eine Chance, beim nächsten Mal effektiver, schneller und erfolgreicher gegen die Angreifer vorzugehen.

Der Autor
Alastair Paterson ist CEO und Mitgründer von Digital Shadows. Das Unternehmen unterstützt seit 2011 FTS-100-Kunden und Behörden sich besser vor Cyberangriffen zu schützen. Paterson blickt auf über ein Jahrzehnt Erfahrung in der Analyse von umfangreichen Datenmengen für ThreatIntelligence zurück. Zuvor war er als International Propositions Manager bei BAE Systems Detica tätig und arbeitete mit Kunden in Europa, Asien, Australien und den Golfstaaten. Seinen Master of Engineering (M.Eng.) in Computer Science schloss er an der University of Bristol ab.
(Digital Shadows: ra)

eingetragen: 11.07.17
Home & Newsletterlauf: 14.08.17


Digital Shadows: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.