Gezielte Angriffe
Gezielter Angriff bezeichnet eine Art von Angriff, bei dem die Angreifer aktiv, leise, aber nicht unbedingt schnell, die Sicherheit, Vertraulichkeit und Integrität der Informationen des Ziels gefährden wollen. Angreifer, die derartige Aktionen durchführen, sind in der Regel Experten – sie verfügen über das notwendige Wissen, die Erfahrung und die finanziellen Mittel, um weiterzumachen – bis sie die Abwehrmaßnahmen vollständig aufgelöst und ihre Ziele erreicht haben.
Kampagnenorientiert
Gezielte Angriffe sind in der Regel fortlaufende Kampagnen. Viele von ihnen sind erfolglos, aber die Angreifer machen so lange weiter, bis sie eine Methode finden, die ihnen einen garantierten Einstiegspunkt bietet.
Ständige Verbesserung
Mit der Zeit verbessern Angreifer ihre Tools, Taktiken und Techniken. In den meisten Fällen werden Benutzer (oder Mitarbeiter) angegriffen – nicht Geräte.
Ganze Branchen stehen unter dem Radar
Normalerweise ist es nicht nur ein Unternehmen oder eine Firma, sondern die gesamte Branche, die ins Visier genommen wird. Angreifer verfolgen langfristige Ziele und sind in der Regel finanziell oder politisch motiviert.
Die Bühnen
-
1. Informationsbeschaffung (Forschung)
Auch als Aufklärungsphase bekannt. Angreifer untersuchen die IT-Umgebung (verwendete Software), die Organisationsstruktur und das Management. In einigen Fällen überwachen sie möglicherweise die Interessen der Mitarbeiter in sozialen Medien. Durch übermäßiges Teilen von Informationen können sich Bedrohungsakteure häufig über aktuelle Themen, aktuelle Ereignisse, arbeitsbezogene Probleme und Sorgen usw. informieren. Diese Informationen sind nützlich, um die Angriffe anzupassen.Listenelement 1 -
2. Erster ZugriffListenelement 2Die anfängliche Kompromittierung variiert, umfasst aber normalerweise Spear-Phishing, Zero-Day-Exploits und andere Formen des Social Engineering, bei denen Mitarbeiter dazu verleitet werden, Schadcode auszuführen. Dieser Code ermöglicht es Angreifern, zu den weiteren Phasen überzugehen. Normalerweise ist ein RAT (Remote Access Tool) für die im Folgenden beschriebene Phase 3 am nützlichsten und kann mit Berechtigungen auf Kernel-Ebene kombiniert werden, da dies böswilligen Akteuren ermöglicht, die Abwehrmaßnahmen vollständig zu zerstören.
-
3. Befehl und Kontrolle (c&c)Listenelement 3Angreifer werden eine permanente Verbindung zu den Tools aufbauen, die sie platziert haben, und ihr Bestes tun, um diese Verbindung zu verbergen. Sie werden den kompromittierten Host eingehend untersuchen und diese Informationen werden für die im Folgenden beschriebene Phase 4 nützlich sein.
-
4. Seitliche BewegungListenelement 4Mithilfe verschiedener Techniken zum Auffinden und Speichern von Anmeldeinformationen können Angreifer weitere Hosts kompromittieren. Die in den vorherigen Phasen beschriebenen bösartigen Routinen werden für jeden Host wiederholt. Dadurch können sie mit der als Nächstes beschriebenen Phase 5 fortfahren.
-
5. Asset-Erkennung und ExfiltrationDies geschieht normalerweise durch das Durchsuchen von Dateien und Ordnern. Angreifer finden Rechner, die möglicherweise wertvolle Informationen enthalten – normalerweise Informationen zu Kunden und internen Projekten. Informationen werden auf die Rechner der Angreifer heruntergeladen, und das Geschäft ist nun vollständig gefährdet und den Angreifern ausgeliefert.
Was können Unternehmensinhaber tun, um sicherzustellen, dass ihre Informationen vor gezielten Angriffen geschützt sind?
Trainieren, trainieren, nochmal trainieren
Stellen Sie sicher, dass Ihre Mitarbeiter darin geschult sind, Phishing und andere Formen des Social Engineering zu erkennen.
Bewache die Türen
Investieren Sie in Sicherheit, die alle Türen (Web und E-Mail) schützt. Normalerweise empfiehlt es sich, Lösungen eines einzigen Anbieters zu verwenden, die nahtlos integriert und einfach zu verwalten sind.
Investieren Sie in umfassende Netzwerksicherheit
Umfassende Netzwerksicherheit, die C&C-Blockierung und Intrusion Prevention umfasst, begrenzt das Risiko eines erfolgreichen Angriffs erheblich.
Weitere bewährte Methoden
- Halten Sie Betriebssystem und Software auf dem neuesten Stand. Stellen Sie sicher, dass Mitarbeitern nicht mehr Berechtigungen erteilt werden, als sie für ihre Arbeit benötigen. Vermeiden Sie die Wiederverwendung von Unternehmenskennwörtern. Verwenden Sie immer sichere Kennwörter und eine Zwei-Faktor-Authentifizierung. Stellen Sie sicher, dass Mitarbeiter auf Unternehmensgeräten keine nicht arbeitsbezogenen Aktivitäten durchführen. Stellen Sie sicher, dass Sie über einen Wiederherstellungsplan nach einem Angriff verfügen, falls alle Abwehrmaßnahmen versagen.
Zusätzliche Ressourcen
Um Angriffe im Detail zu verstehen, empfiehlt es sich immer, die Mitre-Website zu besuchen. Das ATT&CK-Framework ist zwar nicht das ABC, aber sicherlich das D der Cybersicherheit. Es beschreibt die verschiedenen Taktiken und Techniken sowie APT-Gruppen (Advanced Persistent Threat).