Lebenszyklus einer Cyberattacke
Die IT-Security-Spezialisten von Palo Alto Networks haben den Lebenszyklus eines Hackerangriffs analysiert. In jeder der sechs Phasen kann ein Unternehmen noch gezielt gegensteuern.
1. Ausspionieren: Hacker verwenden oft Phishing-Taktiken oder extrahieren öffentliche Informationen aus dem Social-Media-Profil eines Mitarbeiters oder von Unternehmenswebsites. Diese Informationen verwenden die Cyberkriminellen, um gezielt scheinbar legitime Anfragen zu versenden, die den Mitarbeiter auf bösartige Links locken oder dazu verleiten sollen, einen infizierten Anhang zu öffnen. Die anschließend heruntergeladene Malware sucht nach Schwachstellen im Netz. Um gegenzusteuern, können Unternehmen URL-Filter verwenden. Zudem sollten Unternehmen den Netzwerkverkehr mithilfe von Intrusion-Prevention-Technologien kontrollieren, um Bedrohungen zu erkennen und Port-Scans und Host-Sweeps zu verhindern.
2. Vorbereitung & Auslieferung: Angreifer betten Intruder-Code in Dateien und E-Mails ein. Hier hilft eine Firewall. Diese gewährt Einblick in den gesamten Datenverkehr und blockiert alle Hochrisiko-Anwendungen. Kombinierte Maßnahmen zur Bedrohungsabwehr wie IPS, Anti-Malware, Anti-CnC, DNS-Überwachung und Sink Holing sowie Datei- und Content-Blockierung können bekannte Exploits, Malware und eingehende Command-and-Control-Kommunikation abwehren. Auch eine cloudbasierte Malware-Analyse im Netzwerk hilft weiter.
3. Ausbeutung: Mit dem Zugriff auf das Netzwerk können Angreifer den Schad
Code aktivieren und die Zielmaschine unter ihre Kontrolle bringen. Endpoint-SecurityTechniken können bekannte wie auch unbekannte Schwachstellen-Exploits blockieren. Sandboxing-Technologie stellt automatisch eine globale Bedrohungserkennung bereit, um Folgeangriffe auf andere Unternehmen zu verhindern. Auch hier lohnt der Zugriff auf eine dynamische Malware-Analyse-Cloud.
4. Installation: Angreifer etablieren privilegierte Operationen und Rootkits und nisten sich dauerhaft im Netzwerk des Unternehmens ein. Endpoint-Security kann lokale Exploits verhindern, die zu Privileg-Eskalation und Passwortdiebstahl führen. Mit einer modernen Firewall lassen sich sichere Zonen mit strikter Benutzerzugriffskontrolle und fortlaufender Überwachung des Datenverkehrs zwischen den Zonen einrichten. 5. Command & Control: Angreifer richten einen Rückkanal zum Server ein. Auf diese Weise können Daten zwischen infizierten Geräten und dem Server ausgetauscht werden. Es gibt verschiedene Möglichkeiten, um den Angriffszyklus an diesem Punkt zu durchbrechen. Unternehmen können ausgehende Command-and-ControlKommunikation durch Anti-CnC-Signaturen blockieren. URL-Filterung kann die Kommunikation mit bekannten bösartigen URLs verhindern. Outbound-Kommunikation kann zu internen Honey Pots umgeleitet werden, um kompromittierte Hosts zu erkennen und zu blockieren. 6. Aktivitäten am Angriffsziel: Angreifer manipulieren das Netzwerk für ihre eigenen Zwecke. Es gibt viele Motive für Cyberangriffe, wie etwa Datenextraktion, Zerstörung von kritischen Infrastrukturen oder Erpressung. Unternehmen mit feingliedriger Anwendungs- und Benutzerüberwachung können Dateiübertragungs-Richtlinien durchsetzen, um bekannte Archivierungs- und Übertragungstaktiken von Hackern zu verhindern. Dies begrenzt die Freiheit der Angreifer, sich mit Tools und Skripten seitlich im Netzwerk zu bewegen.