Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Popup zu aktuellen Hinweisen nicht mehr anzeigen
Statistik & Tracking
Endgeräteerkennung
Google Analytics
Partnerprogramm

Was ist Advanced Persistent Threat (APT)?

apt
Advanced Persistent Threat (APT) Ein Advanced Persistent Threat ist ein gezielter Angriff durch Personen, die sowohl über die Zeit als auch die Mittel verfügen, über einen
langen Zeitraum hinweg die Infiltration eines Netzwerks zu planen und umzusetzen.

Die Angreifer dringen zunächst in das Netzwerk ein und steuern danach ihren Angriff ganz gezielt. Meist suchen sie nicht bloß einfache Finanzdaten, sondern geschützte oder wirtschaftliche Informationen. APTs sind beharrlich (englisch: persistent), da die Angreifer in der Regel längere Zeit in einem Netzwerk verharren. Diese Art Bedrohung darf nicht mit Botnets verwechselt werden. Über Botnets laufen meist wahllose Angriffe ab, die einfach eine Gelegenheit nutzen und auf beliebige Opfer abzielen. APTs hingegen suchen zielstrebig nach ganz spezifischen Informationen.

APTs zeichnen sich im Allgemeinen durch folgende Eigenschaften aus:

Gezielt
Die Angriffe richten sich meist gezielt an eine bestimmte Firma, Gruppe oder Branche. Vor dem eigentlichen Angriff müssen die Angreifer unter Umständen umfassende Recherchearbeit leisten, um Informationen über ihr Ziel einzuholen. Solche Gruppen von Angreifern sind meist kapitalkräftig und gut organisiert.

Zielorientiert
Die Angreifer wissen meist relativ genau, was sie erreichen oder auf welche Bereiche sie zugreifen möchten, bevor sie sich Zugang zum Netzwerk verschaffen. Geschickten Angreifern bieten sich zahlreiche Möglichkeiten, um in Netzwerke einzudringen und an die gewünschten Informationen und Systeme zu gelangen.

Andauernd
Nach einem erfolgreichen Einbruch ins Netzwerk ist der erste infizierte Computer nicht zwangsläufig von großem Interesse, sondern vielmehr Mittel zum Zweck. Sobald die Angreifer ins Netzwerk gelangt sind, arbeiten sie sich aller Wahrscheinlichkeit nach weiter im Netzwerk vor und versuchen auf Systeme zuzugreifen, auf denen wertvollere Daten gespeichert sind, z. B. Computer von IT-Administratoren oder Führungskräften mit Zugangsdaten für hochwertigere Systeme.

Geduldig
Viele Cyberangriffe sind darauf ausgelegt, Schaden anzurichten, indem sie den Zugriff auf Systeme sperren und Daten extrahieren. Nicht so APTs. Sie verhalten sich am Anfang meist ruhig. Denn der Angriff soll unbemerkt vonstatten gehen. Um das zu erreichen, ist es am besten, von Anfang an so wenig Aufmerksamkeit wie möglich zu erregen. Diese Nicht-Aktivität kann über Tage, Wochen, Monate oder sogar Jahre hinweg andauern.

Es erfolgen Call-Home-Versuche
Kein Angriff läuft ohne Kommunikation zur Außenwelt ab, auch ein APT nicht. Früher oder später starten die Angreifer Call-Home-Versuche. Entweder nach Infektion des ersten Systems oder nachdem sie die gewünschten Daten gefunden und zusammengetragen haben bzw. die infizierten Systeme hinreichenden Zugriff auf diese Daten besitzen. Die Kommunikation mit dem Command and Control (C&C) Host wird meist über einen längeren Zeitraum aufrechterhalten, um weitere Anweisungen entgegenzunehmen oder Daten in „mundgerechten“ Stücken zu extrahieren.

Schützen Sie Ihr Netzwerk - Technologien für Advanced Threat Protection

Was auch immer Anbieter von Speziallösungen uns glauben machen wollen: Gegen APTAngriffe gibt es keine Wunderwaffe. Intelligente Sicherheitsvorkehrungen, die auch eine End-to-End-Strategie umfassen, stellen immer noch die wirksamste Methode zum Schutz vor herkömmlichen und modernen Cyberangriffen dar.

sophosadvancedpersistentthreatswp-7
  • Firewall
  • Intrusion Prevention Systems (IPS)
  • Erkennung von Command and Control / Botnets
  • Sandboxing
  • Web Protection
  • Email Protection
  • Web Application Firewall
  • Antivirus
  • Sichere WLAN- und Remoteverbindungen

 

Firewall

Die erste Verteidigungslinie Ihres Netzwerks sollte eine Paketfilter-Firewall sein. Sie ist eine praktische Methode, die häufigsten Sicherheitslücken (oder Ports) zu schließen.

Sophos XG Firewall

Unübertroffen einfache Bedienung, noch besserer Schutz und alle Informationen auf einen Blick
  Blockiert unbekannte Bedrohungen: mit einem umfassenden Paket leistungsstarker Schutzfunktionen wie IPS, ATP, Sandboxing, Dual AV, Web und App Control, Anti-Phishing und einer funktionsstarken Web Application Firewall.
  Reagiert automatisch auf Vorfälle: Infizierte Systeme werden sofort erkannt und bis zu ihrer Bereinigung isoliert
  Deckt verdeckte Risiken in Ihrem Netzwerk auf: Sie werden über unbekannte Anwendungen, Benutzer mit größtem Risikopotenzial, komplexe Bedrohungen, verdächtige Payloads u.v.m. informiert

Demo Login: demo - Passwort: demo

Kostenlos testen Demo testen

SG-UTM

Das ultimative Paket für Netzwerksicherheit.
  Einfache, intuitive Benutzeroberfläche zur schnellen Erledigung täglicher Verwaltungsaufgaben
  Leistungsstarke und blitzschnelle UTM-Performance
  Next-Gen Firewall Protection, die Sie bei anderen Anbietern vergeblich suchen
  Sandstorm Sandboxing zur Abwehr invasiver Bedrohungen
  Detaillierte integrierte Protokollierungs- und Reporting-Funktionen

Kostenlos testen

Intrusion Prevention Systems (IPS)

Netzwerkbasierte IPS prüfen den Netzwerkverkehr genauer und fungieren als zusätzliche Schutzschicht an der Netzwerkgrenze. Host Intrusion Prevention Systems, oder kurz HIPS, sind meist in Antivirus-Lösungen enthalten. Durch konstante Überprüfungen können IPS eine Vielzahl von Schwachstellen erkennen. Es lohnt sich immer, darauf zu achten, wie viele Signaturen ein Anbieter verwendet und wie flexibel die Einstellungen sind. Schließlich möchten Sie keine Signaturen für Betriebssysteme prüfen müssen, die Sie gar nicht verwenden, oder unnötige Prüfungen vornehmen, die Ihre Performance beeinträchtigen.

Erkennung von Command and Control/Botnets

Wie bereits erwähnt halten APTs die Kommunikation zu ihrem Host aufrecht, um neue Befehle und Updates entgegenzunehmen. Durch Scans auf schädliche Hosts können Sie ausgehenden Datenverkehr sperren und so die Kommunikation mit dem C&C Host unterbinden. Anbieter, deren Lösungen eine C&C-Erkennung beinhalten, benötigen eine eigene oder eine durch einen OEM-Partner bereitgestellte professionelle Laborinfrastruktur, um die Aktualität der Sicherheitsdaten zu gewährleisten. Die meisten Lösungen setzen auf eine Kombination aus Mechanismen zur Datenverkehrsanalyse auf Basis von DNS-Suchen, IP-Tabellen und Engines zur Anwendungskontrolle.

Sandboxing

Im Zusammenhang mit APT-Schutz wird immer wieder Sandboxing genannt. Eine Sandbox ist entweder eine physische oder eine virtuelle Umgebung, die dazu dient, Code und Programme zweifelhafter Herkunft unter abgesicherten Bedingungen auszuführen und zu testen. Die Sandbox ist von allen Produktionsumgebungen getrennt, in denen sie Schaden anrichten könnte, und kann daher auch zum Testen und Analysieren von Schadcode verwendet werden. Es gibt verschieden Arten von Sandboxing mit jeweils sehr unterschiedlichen Verwaltungs- und Performance-Anforderungen.

• Selektives Sandboxing
Selektives Sandboxing dient dazu, unbekannte Dateien zur Analyse auszuwählen und zu identifizieren. Stellt sich die Datei als schädlich heraus, wird eine neue Definition erstellt und verteilt, um zukünftige Infektionen zu verhindern. Analysen dieser Art stützen sich normalerweise auf eine bestehende Laborinfrastruktur wie die SophosLabs. Innerhalb der Sophos UTM kann die Übermittlung von Dateien an die SophosLabs deaktiviert werden. Ein Austausch anonymisierter Daten zur Optimierung des Bedrohungsschutzes kann jedoch der gesamten Sicherheitscommunity zu Gute kommen. Selektives Sandboxing als Teil einer bestehenden Next-Generation Firewall-Lösung kann den Schutz erheblich erhöhen, wenn die Implementierung einfach ist und das Sandboxing vollständig mit anderen Sicherheitssystemen integriert werden kann. Viele der führenden Netzwerksicherheitsanbieter haben solche Sandboxing-Verfahren im Angebot und nutzen in den meisten Fällen eine cloudbasierte Infrastruktur, mit der die Systemperformance nur minimal beeinträchtigt wird.

• Vollständiges Sandboxing
Einige Systeme setzen den Schwerpunkt auf elektronische Beweise und analysieren alle Daten in einer Sandbox. Die Funktionsweise der einzelnen Systeme ist sehr unterschiedlich, weshalb es nicht sinnvoll ist, sie alle gemeinsam zu beurteilen. Meist bestehen Lösungen für vollständiges Sandboxing aus dedizierten Appliances, die lokal gehostet werden und keine weiteren Sicherheitslösungen beinhalten. Bei der Auswahl einer solchen Lösung sollten Sie sich folgende Fragen stellen:

- Wiel viel Training ist für die Einrichtung der Lösung erforderlich?
- Ist die Lösung auf meine Unternehmensgröße und Anforderungen skalierbar?
- Verfüge ich über die notwendigen Ressourcen und Kenntnisse, um eine solche Lösung erfolgreich zu implementieren?
- Welche anderen Sicherheitsfunktionen bietet die Lösung?
- Wie beeinträchtigt die Lösung die übergreifende Performance meines Netzwerks?

Im Normalfall ist eine Sandboxing-Lösung nicht darauf ausgelegt, eine Next-Generation Firewall zu ersetzen. Um umfassenden Schutz zu erhalten, müssen Sie also nach wie vor eine weitere Netzwerksicherheits-Appliance implementieren.

Web Protection

Das regelmäßige Einspielen von Patches ist unverzichtbar. Genauso wichtig ist es zu prüfen, ob Internetrichtlinien wirksam sind – und zwar auch dann, wenn Mitarbeiter sich außerhalb des Unternehmensnetzwerks befinden. Die hohe Anzahl mobiler Mitarbeiter stellt ITAbteilungen heutzutage vor neue Herausforderungen. Es gibt jedoch einfache Methoden, mit denen Sie Benutzer immer und überall schützen können – unabhängig davon, wie diese auf das Netzwerk zugreifen.
Webfunktionen können je nach Lösung stark variieren. Webfilter und Application Control können Benutzer vor Schad-URLs und Exploit-Code schützen. Zur Abwehr neuester Bedrohungen sind moderne Lösungen zum Schutz vor Web-Malware mit leistungsstarken Emulationsfunktionen erhältlich.

Email Protection

E-Mails sind für viele Angreifer immer noch der beliebteste Übertragungsweg für Malware. Denn die Menschheit ist von Natur aus neugierig und kann der Versuchung, auf Links zu klicken oder Anhänge zu öffnen, vielfach nicht widerstehen. Moderne Phishing-E-Mails sind zudem immer schwieriger als solche zu erkennen – die Zeiten schlecht gefälschter Logos und Rechtschreibfehler sind definitiv vorbei.
Selbst Sicherheitsanbieter sind bereits Opfer solcher Angriffe geworden. Eine Sicherheitspanne vor einigen Jahren bei RSA begann z. B. mit Phishing-E-Mails, die schädliche Anhänge enthielten. Ein wirksame Email Protection sollte neben Funktionen zur Spam- und Malware-Erkennung auch Optionen zur E-Mail-Verschlüsselung und Data Loss Prevention (DLP) beinhalten. Das Thema E-Mail-Verschlüsselung wurde in der Vergangenheit allzu oft vernachlässigt, weil die bei herkömmlichen Lösungen am Absenderund Empfängerstandort erforderliche Public-Key-Infrastruktur (PKI) gescheut wurde. Es gibt jedoch Lösungen, die ohne den Einsatz spezieller Schlüsselmanagementsysteme eine einfache, nahtlose und sichere Kommunikation ermöglichen und darüber hinaus eine richtlinienbasierte DLP beinhalten, mit der vertrauliche E-Mails automatisch verschlüsselt oder blockiert werden können.

Web Application Firewall

Websites gehören zu den häufigsten Malware-Quellen und viele Unternehmen vernachlässigen die Sicherheit ihrer eigenen Website. Systeme, die in einer Demilitarized Zone, kurz DMZ, ausgeführt werden, müssen hinreichend geschützt werden. Ansonsten drohen Angriffe auf Ihre Website, bei denen nicht nur Ihre eigenen Computer, sondern auch die Computer von Besuchern Ihrer Website infiziert werden könnten. Da viele Unternehmen außerdem webbasierte Anwendungen wie SharePoint, Outlook Web Access und Saleforce nutzen, greifen Benutzer nun auf Systeme zu, die sich jenseits der Netzwerkgrenze befinden.
SQL-Injection-Angriffe wurden in den vergangenen Jahren häufig mit bedeutenden Datenpannen in Verbindung gebracht. Durch die Ergänzung einer weiteren Schutzschicht zwischen Webservern und dem Internet (z. B. Reverseproxy-Authentifizierung) lassen sich wichtige Unternehmenssysteme noch besser absichern. Auch durch den Einsatz einer Zwei- Faktor-Authentifizierung mit Einmalpasswort kann verhindert werden, dass sich formularoder browserbasierte Anmeldungen auf Webservern zum Sicherheitsschwachpunkt entwickeln.

Antivirus

Host- und Client-Antivirussysteme sind nach wie vor entscheidende Komponenten in Sicherheitsstrategien aller Art und können bei entsprechender Aktualisierung viele Angriffe bereits im Keim ersticken. Hier ist es äußerst wichtig, zwischen den verschiedenen Lösungsarten zu unterscheiden.
Rein signaturbasierte Lösungen können lediglich schon bekannte Malware erkennen. Daher ist eine Lösung erforderlich, die auch das Verhalten des Datenverkehrs beobachtet, auf Echtzeit-Daten zur Erkennung neuerer Bedrohungen zugreift und die Möglichkeit bietet, potenziell schädliche Inhalte zu analysieren.
Es sollte auch darauf hingewiesen werden, dass Anbieter in vielen UTMs und Next- Generation Firewalls zur Bereitstellung der Antivirus-Funktion fluss- oder strombasierte Scanverfahren anwenden. Solche Lösungen sind zwar ressourcenschonender, prüfen jedoch nur die ersten paar Bytes eines Datenpakets und können bestimmte Arten von Malware demzufolge nicht erkennen. Außerdem können sie keine verschlüsselten Dateien prüfen und scannen nur ausgewählte Archivdateitypen. Eine höhere Performance ist also verglichen mit proxybasierten Antiviruslösungen, die Pakete vollständig prüfen und verschlüsselte oder komprimierte Dateien scannen können, mit sicherheitstechnischen Nachteilen verbunden.

Sichere WLAN- und Remoteverbindungen

Unabhängig davon, welche anderen Technologien implementiert sind, kann die Sicherheit durch ein unsicheres WLAN oder eine unsichere Verbindung zu Unternehmensdaten beeinträchtigt werden. Da mobile Mitarbeiter heutzutage von überall und mit verschiedenen Geräten auf Daten zugreifen, ist der Schutz Ihrer Daten sowieso schon eine Herausforderung. Daher sollten Sie als Allererstes dafür sorgen, dass Ihr eigenes WLAN über eine sichere Verschlüsselung verfügt und Besuchern und Gästen Internetzugriff gewährt, ohne Ihre Sicherheit zu gefährden. Mitarbeiter im Homeoffice und in kleinen Außenstellen sollten nicht zum Schwachpunkt Ihres Sicherheitskonzepts werden. Mit einer sicheren Standortzu- Standort-VPN-Lösung müssen Sie keine sicherheitstechnischen Kompromisse eingehen, wenn Mitarbeiter außerhalb der Unternehmenszentrale arbeiten.

Quelle: Sophos

Tags: APT, Advanced, Persistent, Threat, APT, Advanced, Persistent, Threat
Schnelle Lieferung
PayPal Express
Qualifizierter Support
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung
Ablehnen Alle akzeptieren Konfigurieren