09. Dezember 2020 | Forschung
  • Beitrag teilen:

APT: Strategische Angriffe erfordern strategische Tests

Mit wachsender Bedrohungslage erweitern Unternehmen ihre IT-Sicherheit zunehmend durch spezialisierte Verteidigungsmechanismen zur Abwehr von strategischen und zielgerichteten Angriffen. Parallel dazu werden weiterführende Strategien zur Gefahrenabwehr entwickelt. Doch wie gut ist die Abwehrleistung neuer Produkte im Bereich Endpoint Protection und Endpoint Detection & Response gegen APT-Angriffe? Das AV-TEST Institut gibt Einblick in neue Testverfahren zur professionellen Beurteilung solcher Lösungen.

Wachsende Bedrohungslage für Unternehmen:

Unternehmen benötigen für ihre IT-Sicherheit zunehmend spezialisierte Verteidigungsmechanismen zur Abwehr zielgerichteter Angriffe.

zoom

Verschärfte Bedrohungslage für Unternehmen und staatliche Institutionen

Für Unternehmen und staatliche Organisationen ist es mit der Abwehr von Massen-Malware längst nicht getan. Denn im Unterschied zu Privatnutzern droht ihnen neben der stetig steigenden Flut an Massen-Malware auch die zunehmende Gefahr taktischer Cyberangriffe. Diese zielen auf die Sabotage laufender Produktionen oder im Rahmen digitaler Industriespionage auf den Abfluss von marktentscheidendem Knowhow und damit teurer Forschungs- und Entwicklungsarbeit. Wie Angriffe gegen sieben Forschungseinrichtungen und Hersteller von COVID-19-Impfstoffen durch mutmaßlich russische und koreanische Angreifer in den letzten Monaten belegen. Ein weiteres Ziel der Angreifer sind Kunden- und andere wichtige Geschäftsdaten. Ohne entsprechende Abwehrstrategien gefährden Unternehmen nicht nur den Betriebsablauf und ihre Wettbewerbsfähigkeit, sondern im Falle eines erfolgreichen Angriffs oft auch ihre Reputation.

Wie prekär die IT-Sicherheitslage von Unternehmensseite eingeschätzt wird, unterstreicht das aktuelle Allianz Risk Barometer 2020: In der 9. Ausgabe der Studie befragte Allianz Global Corporate & Specialty (AGCS) mehr als 2.700 Risikoexperten von Unternehmen aus über hundert Ländern zu den aus ihrer Sicht größten Unternehmensrisiken. Im Ranking der Top-Bedrohungen identifizierten die Experten Cyberangriffe auf ihre Unternehmen mit 39 Prozent als größte Gefahr, deutlich vor der Sorge vor Handelskriegen, steigenden Zöllen, Naturkatastrophen oder dem Klimawandel.

APT – strategisch-taktische Angriffe abseits der Massen-Malware

Im Unterschied zu breit gestreuten Angriffen über Massen-Malware kommen bei taktischen Angriffen auf Unternehmen und staatliche Organisationen hochentwickelte Schadprogramme und langfristige Strategien zum Einsatz. Es handelt sich hierbei um Advanced Persistent Threats, kurz APT, die genaue Informationen der technischen Infrastruktur der Angegriffenen voraussetzen. Ziel solch taktischer Cyber-Attacken ist es, sich möglichst lange unerkannt und tief im angegriffenen Netzwerk zu bewegen, um maximale Schadwirkung zu entfalten.

Betrachtet man bisher aufgedeckte und analysierte APT-Attacken, wird schnell deren Gefährlichkeit als auch die Notwendigkeit erweiterter Abwehrmaßnahmen deutlich. APT-Angriffe erfolgen zielgerichtet, nicht selten nach monate- oder sogar jahrelanger Planung, und zeichnen sich durch einen hohen Einsatz finanzieller und technischer Mittel sowie die Beteiligung hochspezialisierter Teams aus. Solche Prämissen schränken zumindest die Zahl möglicher Angreifer deutlich ein: oft handelt es sich um Expertenteams im Dienste von Drittstaaten oder militärischen Organisationen. Einen imposanten Überblick über aufgedeckte Angriffe sowie deren mutmaßliche Urheber liefert die Auflistung „Significant Cyber Incidents“ des Center for Strategic & International Studies (CSIS). Zudem decken Analysen bekannter Angriffe bereits bekannte Verfahrensmuster und Taktiken auf, die ihrerseits regelmäßig eine Kombination mehrerer Angriffstechniken aufweisen. Die MITRE ATT&CK Matrix stellt den anerkannten Standard der jeweiligen Taktiken und Techniken von APT-Angriffen dar.

Gezielte Kombination von Angriffstechniken

Insbesondere das Fehlen typischer Angriffsmuster und die ständig neue Kombination unterschiedlicher Angriffsverfahren und Vektoren machen APT-Angriffe unberechenbar und extrem schwer feststellbar. Gemeinsam ist diesen Attacken allerdings der Einsatz einer kombinierten Angriffsweise und die Verwendung unterschiedlichster Angriffsverfahren, die in der Regel eine bestimmte Abfolge einhalten, also eine Art APT Life-Cycle durchlaufen. 

In der ersten Phase von APT-Attacken erfolgt zumeist das Auskundschaften der Opfer über Social-Engineering-Angriffe sowie durch technische Analyse der anzugreifenden IT-Infrastruktur (Reconnaissance). Danach folgt die Auswahl entsprechender Angriffs-Tools und Techniken (Weaponization) und das Einbringen der ausgewählten Angriffswerkzeuge in das fremde Netzwerk (Delivery). Nach erfolgreichem Entern (Exploit) sind die nächsten Schritte die Installation und das feste Verankern der Angriffs-Tools im gekaperten System sowie die Ausbreitung im Netzwerk. Sind die Tools entsprechend platziert, eingerichtet und fernadministrierbar (Command & Control), haben die Angreifer ihr Ziel erreicht und können die gewünschte Angriffswirkung entfalten (Action). 

Was den Einsatz unterschiedlicher Angriffstechniken angeht, führen die Täter in der Reconnaissance-Phase oft Social-Engineering-Angriffe durch, bei denen sie die Opfer mittels Spear-Phishing gezielt attackieren. Im Anschluss kommt neben Standard-Tools, die ständig verändert und an die Angriffslage angepasst werden, auch High-End-Malware zum Einsatz. Diese nutzt nicht selten teure Zero-Day-Lücken in bisher nicht gepatchten Anwendungen und ist dementsprechend schwer zu detektieren. APT-Angriffe zu erkennen oder bestenfalls abzuwehren, setzt dementsprechend umfassende Detektions- und Abwehrwerkzeuge sowie umfangreiche Strategien und Trainings voraus. Denn nur so lassen sich verdächtige Aktivitäten von Angreifern im massiven Grundrauschen von Log-Dateien erkennen.

Tests und Trainings: Red Team versus Blue Team

Tests und Trainings von Sicherheitslösungen gegen APT-Angriffe erfolgen optimal in zwei gegeneinander arbeiteten Teams, eingeteilt in „Red“ und „Blue“. Dabei bedient sich das „Red Team“ der Taktiken und Techniken, wie sie auch von Angreifern eingesetzt werden. Dies setzt allerdings die Verfügbarkeit entsprechender Tools, etwa Zero-Day-Malware, als auch einschlägige Kenntnisse über deren Umgang und entsprechende Angriffstaktiken voraus.
 
Im Gegenzug versucht das „Blue Team“ einen solchen APT-Angriff zu erkennen, zu analysieren und im Idealfall abzuwehren oder zu unterbinden. Die Waffen des Blue Teams bestehen in der Regel aus dem Zusammenspiel von Endpoint Protection Platforms (EPP) und Endpoint Detection & Response (EDR) Plattformen. Bei diesen Testszenarien müssen sich die eingesetzten Schutzlösungen, deren Konfiguration und nicht zuletzt die Administratoren sowie die Sicherheitsstrukturen eines angegriffenen Unternehmens beweisen. 

APT-Angriffe sind extrem schwer zu orten.

Gemeinsam ist diesen Attacken aber eine kombinierte Angriffsweise, die in der Regel eine bestimmte Abfolge einhält (APT Life-Cycle).

zoom ico
Die Zertifikate A2EPP und A2EDR von AV-TEST

garantieren Herstellern von EPP- und EDR-Lösungen den Nachweis für die Wirksamkeit ihrer Produkte gegen APT-Angriffe.

zoom ico

1

APT-Angriffe sind extrem schwer zu orten.

2

Die Zertifikate A2EPP und A2EDR von AV-TEST

Was leisten EPPs und EDRs?

Der Einsatz von Endpoint Protection Platforms soll das Eindringen von Malware und weiteren in APT-Attacken eingesetzten Angriffswerkzeugen erkennen und abwehren. Idealerweise managen und kontrollieren solche Plattformen alle im Netzwerk genutzten Endgeräte und versorgen diese mit einer Vielzahl verfügbarer Sicherheitstechniken, darunter Virenscanner, Firewalls, Intrusion Prevention Systeme (IPS) und Data Loss Prevention (DLP) Systeme. Inwieweit EPPs in der Lage sind, Zero-Day-Malware sowie ausgefeilte APT-Angriffe abzuwehren, hängt unter anderem von den eingesetzten Erkennungsverfahren ab. Je nach Anbieter setzen EPPs auf statische und dynamische Analyseverfahren sowie Verhaltensanalyse und den Einsatz künstlicher Intelligenz.

Insbesondere die Erkennung von Angriffs-Tools, die sich bereits im System befinden, stellt für EPPs oft ein unlösbares Problem dar. Darum werden sie zur Erkennung von APT-Angriffen idealerweise durch Endpoint Detection & Response Plattformen unterstützt. Die Aufgabe solcher Systeme liegt in der Erfassung der Aktivitäten aller im Netzwerk agierenden Endgeräte und der Analyse der durch sie ausgelösten Ereignisse. Das können etwa Nutzer-Logins, Datenabrufe, Registry- und Speicherzugriffe, genutzte Netzwerkverbindungen sowie eine Vielzahl anderer Aktivitäten sein. EDRs gleichen diese Aktivitäten mit Vorgehensweisen ab, die aufgrund bereits analysierter APT-Angriffe entsprechend bekannt sind. Dabei nutzen sie umfangreiche und ständig aktualisierte Datenbanken, in denen bekannte Schwachstellen und bisherige Angriffsmuster abgelegt und kombiniert werden und auch im Rahmen einer Verhaltensmusteranalyse auf Abnormalitäten und potentielle Angriffe hinweisen. Auf Basis dieser Daten werden Sicherheitsverantwortliche von Unternehmen letztlich in die Lage versetzt, entsprechende Gegenmaßnahmen im Fall erkannter Angriffe einzuleiten.

Advanced EPP- & EDR-Tests von AV-TEST ermitteln die Leistung Ihrer APT-Abwehr

Das AV-TEST Institut stellt realistische Angriffe nach dem Vorbild verschiedener APT-Gruppen oder anhand aktueller Szenarien nach, etwa durch gezielte Ransomware-Angriffe, und bedient sich dabei der Taktikten und Techniken, wie sie in der MITRE ATT&CK Matrix beschrieben werden. Mit solch realistischen Red-Team-Tests ermitteln die Sicherheitsexperten des AV-TEST Instituts die Stärken und Schwächen der zur Verteidigung eingesetzten Lösungen in Ihrem Unternehmen. Mittels kombinierter Angriffe entsprechend der MITRE ATT&CK Matrix gewährleisten die Tests, die ständig verändert und der aktuellen Bedrohungssituation angepasst werden, nicht nur die bestmögliche Einschätzung der Abwehrleistung, sondern bieten auch die Möglichkeit der Optimierung von EPP- und EDR-Systemen. Dabei sind die von AV-TEST entwickelten Teststrukturen immer nachvollziehbar und jederzeit reproduzierbar. 

Im Rahmen der Tests erhalten Sie detaillierte Informationen zur Abwehr- und Erkennungsleistung von EPP- und EDR-Lösungen mit genauer Aufschlüsselung der Widerstandsfähigkeit gegenüber APT-Angriffen entsprechend der MITRE ATT&CK Matrix. Bei Bestehen der jeweiligen Tests verleiht das AV-TEST Institut das A2EPP-Zertifikat (APPROVED ADVANCED ENDPOINT PROTECTION) und auch das A2EDR-Zertifikat (APPROVED ADVANCED ENDPOINT DETECTION AND RESPONSE) zusammen mit einem entsprechenden Prüfbericht für erfolgreich getestete Lösungen. Zertifizierte Sicherheitsprodukte erhalten so den Nachweis ihrer Widerstandsfähigkeit gegen fortgeschrittene und gezielte Angriffe, welche sich Taktiken und Techniken zunutze machen, die bei aktuellen APT-Angriffen möglich sind. Die Zertifikate A2EPP und A2EDR von AV-TEST garantieren Herstellern von EPP- und EDR-Lösungen den Nachweis für die Wirksamkeit ihrer Produkte und liefern ihnen damit einen entscheidenden Wettbewerbsvorteil.

Aktuell stellen sich mehrere Endpoint Protection Platforms und Endpoint Detection & Response Lösungen dem ersten Advanced Test, den das AV-TEST Institut durchführt. Dieser Test simuliert zielgerichtete Ransomware-Angriffe auf ein durch die zu überprüfenden EPP- und EDR-Systeme gesichertes Unternehmensnetzwerk, und zwar nach erfolgreichem Entern mit Hilfe von aktuell angewandter APT-Techniken und -Taktiken. Weitere Informationen zum derzeit laufenden Test werden in Kürze durch AV-TEST veröffentlicht. 

Social Media

Wir wollen mit Ihnen in Kontakt bleiben! Erhalten Sie unkompliziert und regelmäßig die aktuellsten News und Testveröffentlichungen.