Aufrufe
vor 1 Jahr

Netzwoche 7/2019

  • Text
  • Apps
  • Schweiz
  • Rubrik
  • Schweizer
  • Digital
  • Urteil
  • Pwas
  • Netzmedien
  • Swiss
  • Unternehmen

16 DOSSIER Thema In

16 DOSSIER Thema In Kooperation mit xxxxxxx Grafik: erhui1979 / iStock.com Dossier Cybersecurity In Kooperation mit Swisscom Advanced Persistent Threats jor. Cyberangriffe wie Advanced Persistent Threats lassen sich meist nicht verhindern. Unternehmen können allerdings Techniken einsetzen, um Angriffe schnell zu erkennen und den Schaden zu minimieren. Aber zunächst muss man verstehen, wie solche Cyberattacken funktionieren. Die sogenannte Cyber Kill Chain läuft in der Regel in sieben Schritten ab, wie Ladina Camenisch, Senior Communication Manager, Swisscom, im Fachbeitrag schreibt. Sie erklärt auch, was Unternehmen tun können, um sich vor solchen Angriffen zu schützen. Klassische Massnahmen wie der Perimeter-Schutz allein reichen nicht aus. Deswegen fordert sie ein Umdenken in der Cybersecurity: «Unternehmen müssten ihre Cybersecurity verstärkt auf Angreifer ausrichten.» Wer sind die häufigsten Opfer und wie kann man solche Angriffe erkennen? Auf diese Fragen antwortet Lorenz Inglin, Leiter Cyber Defense, Swisscom, im Interview. Er spricht auch darüber, was man aus dem Ruag-Hack lernen kann. Weil Sicherheitsmassnahmen immer eine Frage des Aufwands seien, sollten Unternehmen ihren Fokus auf Erkennungsmethoden verschieben. Eine vorschnelle Reaktion, die den Zugriff des Angreifers sperrt, sollte man vermeiden. 07 / 2019 www.netzwoche.ch © netzmedien ag

In Kooperation mit Swisscom Cybersecurity DOSSIER17 Paradigmenwechsel in der Cybersecurity Cyberangriffe auf Unternehmen werden immer raffinierter. Malware kann sich jahrelang in der Infrastruktur verstecken, ohne dass sie entlarvt wird. Entsprechend hoch ist der Schaden, den sie anrichtet. Die gezielten Advanced Persistent Threats verlangen deshalb nach neuen Abwehrmassnahmen. DIE AUTORIN Ladina Camenisch Senior Communication Manager, Swisscom In der Welt der Cyberangriffe sind Advanced Persistent Threats, oder kurz APT genannt, gerade besonders beliebt. Zu diesem Schluss kommt der «Cyber Security Report 2019» von Swisscom. Bei APT- Angriffen geht es nicht um einen Diebstahl, sondern darum, das Unternehmen über lange Zeit hinweg auszuspionieren. Mal ware kann sich über Monate oder sogar Jahre im Netzwerk verstecken, ohne dass die Firma davon weiss. Besonders interessant für Hacker sind Unternehmen, die wertvolle Assets in Form von Daten besitzen. Das können etwa Finanzinformationen sein, aber auch persönliche Kundendaten, Gesundheitsdaten, geistiges Eigentum oder sogar Regierungsgeheimnisse. Der Security-Anbieter Kaspersky Lab beobachtet derzeit über hundert APT-Gruppen, die gezielt Angriffe vornehmen. Sie tragen schönfärberische Namen wie «LuckyMouse», «OceanLotus» oder «Comment Crew» und agieren mutmasslich zumindest teilweise mit der Unterstützung von Regierungen. Beweggründe sind Spionage, Datenklau oder Sabotage. «Die Hacker investieren viel Zeit, um ihre Opfer kennenzulernen. Die Angriffe sind auf das Unternehmen massgeschneidert, sodass unentdeckt möglichst viele Informationen abfliessen», sagt Panos Zarkadakis, Head of Security Framework & Governance bei Swisscom. 5. Installation: Die Malware installiert sich auf dem Zielsystem. 6. Verbindungsaufbau: Die schädliche Software nimmt Kontakt zum Command-and-Control-Server des Hackers auf, um ihm die Kontrolle über das Zielsystem zu ermöglichen. 7. Zielerreichung: Der Angreifer führt seinen ursprünglichen Plan durch. Er kann beispielsweise Administratorenrechte erlangen, um ungehindert sensible Daten zu kopieren. Nach dem erfolgreichen Ausspionieren versucht ein APT-Angreifer in der Regel, seine Spuren zu verwischen. Die einmal geöffnete Hintertüre auf das Zielsystem bleibt aber bestehen, damit er immer wieder darauf zugreifen kann – natürlich ohne entdeckt zu werden. Ein APT-Angriff läuft in der Regel in sieben Schritten ab – die sogenannte Cyber Kill Chain, entwickelt vom US-amerikanischen Rüstungskonzern Lockheed Martin. Die Cyber Kill Chain Ein APT-Angriff läuft in der Regel in sieben Schritten ab. Die sogenannte Cyber Kill Chain wurde vom US-amerikanischen Rüstungskonzern Lockheed Martin entwickelt und dient heute sowohl den Angreifern wie auch den Cybersecurity-Spezialisten als Orientierung. 1. Auskundschaftung: Die Angreifer wählen ihr Ziel und sammeln Informationen zum Zielobjekt wie E-Mail-Adressen, Arbeitsroutinen oder Organisationsstrukturen. Sie informieren sich auch über die Verhältnisse zu Kunden und Partnern, denn auch sie könnten eine Eintrittsschleuse sein. Die Eindringlinge suchen dabei nach Schwachstellen und Lücken technischer wie auch menschlicher Natur. Diese erste Phase kann mehrere Wochen oder sogar Monate dauern. 2. Bewaffnung: Die passende Angriffsroute und das geeignete Werkzeug werden bestimmt. Häufig wird bereits existierende Malware auf die Zielinfrastruktur zugeschnitten. Dadurch können traditionelle Sicherheitslösungen den Angriff häufig nicht erkennen. 3. Zustellung: Die Malware wird oft durch eine Spearphishing- Attacke ans Ziel geliefert. Schädliche Inhalte werden also über E-Mail, Web oder sogar USB-Stick verteilt. 4. Zugriff: Sobald das Opfer auf den Betrug hereingefallen ist, wird die technische Schwachstelle ausgenutzt. Ein Umdenken in der Cybersecurity Klassische Massnahmen wie der Perimeter-Schutz alleine reichen nicht aus, um APT-Angriffe abzuwehren. Unternehmen müssten ihre Cybersecurity verstärkt auf Angreifer ausrichten, die bereits ins Firmennetz eingedrungen seien, sagt Costin Raiu im Interview im «Swisscom Cyber Security Report». Der Leiter des Forschungsund Analyseteams «Kaspersky GReAT» spricht sich damit für einen Paradigmenwechsel aus. Da Angreifer die meiste Zeit damit verbrächten, sich im Firmennetz auszubreiten und Daten abzusaugen, sollten Firmen ihre Schutzmassnahmen darauf ausrichten. Ein Unternehmen sollte folglich in gute Alarmsysteme investieren. Diese sind in der Lage, selbst Angreifer zu identifizieren, die bereits im System sind. Dazu müssen laufende Prozesse, Dateioperationen und Log-ins überwacht werden. Natürlich ist es ratsam, mehrere Verteidigungslinien zu etablieren – so ist es für die Hacker viel schwieriger, sich frei im Netz zu bewegen. Das Monitoring ermöglicht, verdächtige Vorgänge aufzudecken. Die Informationen aus Threat Intelligence helfen zudem, typische Muster und Internetadressen von Cyberattacken zu erkennen. Die Kehrseite: Solche Überwachungsmassnahmen sind aufwändiger und ressourcenintensiver in der Umsetzung als klassische Perimeter-Security. www.netzwoche.ch © netzmedien ag 07 / 2019

Archiv