APT und gezielte Angriffe
Absicherung von Netzwerken gegen gezielte Angriffe
Ein neues Whitepaper gibt konkrete Sicherheitsempfehlungen, um gezielte Angriffe zu vermeiden und Netzwerke zu schützen.
Save to Folio
Originalartikel von Trend Micro
Gezielte Angriffe bleiben trotz der Entwicklung fortschrittlicher Sicherheitstechnologien auch weiterhin eine ernst zu nehmende Bedrohung für Unternehmen. Viele Unternehmen werden immer noch Opfer dieser Angriffe, da auch Cyberkriminelle ihre Taktiken und Werkzeuge für Einbrüche in den Perimeter des Netzwerks weiter verfeinern. Eine 2019 von Accenture und dem Ponemon Institute durchgeführte Studie zeigt, dass die durchschnittlichen Kosten der ausgeklügelten Angriffe pro Unternehmen von 11,7 Millionen Dollar 2017 auf 13 Millionen Dollar 2018 gestiegen sind. Doch lässt sich die Verteidigungsstrategie verbessern, wenn Unternehmen ihre Cybersicherheitslösungen mit Best Practices ergänzen.
Die folgenden drei Sicherheitsempfehlungen können dazu beitragen, gezielte Angriffe zu vermeiden und das Netzwerk zu schützen.
1. Netzwerksegmentierung einführen
Eine Netzwerkinfrastruktur ist normalerweise komplex, denn sie umfasst Schichten von Nutzern, Workstations, Servern und weiteren vernetzten Geräten. Diese sehr komplexen Netzwerke stellen die Sicherheit vor Herausforderungen bezüglich der Übersichtlichkeit und dem Zugriffsmanagement. Es ist also dringend zu empfehlen, einzelne Komponenten in übersichtliche Segmente aufzuteilen, die nach Abteilung, Standort oder Sicherheitsstufe gegliedert sein können.
Netzwerksegmentierung verhindert auch, dass Mitarbeiter auf Teile des Netzwerks, und damit auf Ressourcen zugreifen, für die sie keine Berechtigung haben. So lässt sich vermeiden, dass Hacker oder Innentäter bei einem Vorfall auf alle Teile des Netzwerks zugreifen.
Zum Prozess der Netzwerksegmentierung gehört es auch, kritische Datenbestände zu identifizieren, also solche, die dem Unternehmen im Fall einer Kompromittierung schweren Schaden zufügen können. Organisationen müssen festlegen, welche ihrer kritischen Datenbestände am anfälligsten sind, und diese müssen dann mit ein entsprechend hohes Sicherheitslevel versehen werden.
2. Analyse möglichst vieler Netzwerk-Logs
Das Sammeln und Analysieren von Logs hilft Unternehmen beim Erkennen von gezielten Angriffen. IT- und Sicherheitsprofis ziehen daraus wertvolle Informationen über die Angreifer, etwa wie sie ins Netzwerk eingedrungen sind wie ihre Angriffsstrategie aussieht.
Logs bieten auch Einsichten in die allgemeinen Aktivitäten im Netzwerk. Sicherheitsfachleute, die sich mit dem Traffic-Monitoring im Netzwerk auskennen, können sehen, ob gerade ein gezielter Angriff bevorsteht. Dies lässt sich über das Scannen verdächtiger Aktivitäten im Netzwerk feststellen, sodass der Angriff noch verhindert werden kann. Doch der Wert von Logs zeigt sich nur, wenn diese auch analysiert werden und zwar in hoher Zahl. Dann allerdings kann ein Sicherheitsfachmann daraus die gesamte Story lesen. Loganalyse liefert nicht nur neues Bedrohungswissen, sondern ermöglicht auch das Erkennen von Sicherheitsvorfällen im Netz.
3. Aufstellen eines Cybersecurity Incident Response Teams
Idealerweise sollte ein Unternehmen über ein Incident Response Team verfügen, das aus funktionsübergreifenden Mitgliedern verschiedener Abteilungen besteht, die im Fall eines gezielten Angriffs mit unterschiedlichen Problemen umgehen können. Das Cybersicherheitsteam sollte vom regulären IT-Team getrennt sein und für den Umgang mit komplexen Angriffen geschult werden.
Doch wird es immer schwieriger, ein internes Cybersecurity Incident Response Team zusammenzustellen, weil der Cybersecurity-Wissensdefizit immer größer wird. Zwar sind einige Mitglieder des Inhouse IT-Teams und Sicherheitsprofis darauf geschult, das Netzwerk zu verwalten und zu kontrollieren, doch haben sie meist nur wenig Erfahrung mit gezielten Angriffen. Darüber hinaus kann der Mangel an Cybersicherheitsmitarbeitern Unternehmen überfordern, insbesondere weil die Anzahl der täglich generierten Alarme zu hoch geworden ist.
Um diese Herausforderung zu bewältigen, sollten Unternehmen die Bereitstellung eines externen Incident Response Teams für ihre Sicherheitsanforderungen in Erwägung ziehen. Dienstleistungen von Sicherheitsexperten mit Erfahrung in den Bereichen der fortschrittlichen Bedrohungserkennung, Bedrohungssuche, Analyse und Reaktion sind mittlerweile verfügbar. Einen solchen Service bietet Managed Detection and Response (MDR), wobei Cybersicherheitsexperten zur Verfügung stehen, die für die Überwachung von Netzwerken, die Analyse von Vorfällen und die Reaktion auf Angriffe verantwortlich sind.
Trend Micro™ Managed XDR stellt einen solchen Service zur Verfügung, der ein breites Spektrum an Übersichten und Sicherheitsanalysen liefert, indem er Detection & Response-Funktionen über Netzwerke, Endpoints, Email, Server und Cloud-Workloads mit einbezieht. Mithilfe fortschrittlicher Analyse- und KI-Techniken überwacht das MDR-Team rund um die Uhr die IT-Infrastruktur des Unternehmens, um Warnmeldungen entsprechend ihrem Schweregrad zu korrelieren und zu priorisieren. Unternehmen können auf erfahrene Cybersicherheitsexperten zurückgreifen, die fachkundig eine Ursachenanalyse durchführen können, um zu verstehen, wie Angriffe initiiert werden, wie weit sie sich im Netzwerk ausbreiten und welche Abhilfemaßnahmen zu ergreifen sind.
Mehr Informationen zu möglichen Verteidigungsmaßnahmen gegen gezielte Angriffe finden Interessierte im Whitepaper „Understanding Targeted Attacks: Defensive Measures“.