Advanced Persistent Threats

Wenn man den Pressenachrichten glaubt, wird ein Thema gerade von kleinen und mittleren Unternehmen gerne unterschätzt: Spionage, Softwaresicherheit, und Know-How-Verlust.

Generell gehen wohl noch viele der kleinen Unternehmen sorglos bei der Sicherung des eigenen Know Hows vor, teilweise auch aus Gutgläubigkeit, teilweise weil sie das Thema unterschätzen.

Da es inzwischen zu jedem Softwareentwicklungsprojekt gehören sollte, auf die Sicherheit der Anwendung zu achten, werde ich mich heute mit dem Thema „Advanced Persistent Threats“ befassen, und Möglichkeiten aufzählen, gegen diese Bedrohungen vorzugehen.

Hierzu gab es heute in der Network-World eine interessante Artikelserie zu lesen (siehe Weiterführende Informationen), die weitere Informationen hierzu enthalten.

ATS-Advanced Persistent Threats-Definition

Wie der unten angegebene Artikel darlegt, gibt es keine eindeutige Definition des Begriffes. In der Definition der Firma McAfee, die ich beispielhaft verwende, handelt es sich um gezielte Spionage oder Sabotageakte im Internet, die mit Unterstützung eines anderen Staates durchgeführt wird aus Gründen, außer finanzellen Gründen, kriminellen Motiven, oder politischem Protest:

McAfee subscribes to the idea of APT as a „targeted cyberespionage or cybersabotage attack that is carried out under the sponsorship or direction of a nation-state for something other than a pure financial/criminal reason or political protest.“

Für McAfee handelt es sich um eine reale Bedrohung. Demnach sollte jedes Unternehmen, das sicherheitsrelevante Themen bearbeitet, oder das global tätig ist, früher oder später damit zu rechnen, zu einem Angriffsziel zu werden, das der Spionage dient:

McAfee concludes, „Companies of all sizes that have any involvement in national security or major global economic activities“ should expect „to come under pervasive and continuous APT attacks that go after archives, document stores, intellectual property repositories, and other databases.“
„What makes an attack an APT is that the group behind the attack is sponsored or directed by a nation-state and thus has got completely different goals from the average cyber criminal,“ says Toralv Dirro, McAfee security strategist for McAfee Labs.

Wie weiter gesagt wird, liegen inzwischen Forschungsergebnisse vor, die zeigen, daß derzeit professionell durchgeführte, gezielte und umfassend finanzierte Angriffe gegen einzelne Firmen auf dem Vormarsch sind.

Hierbei verwenden die Angreifer soweit möglich Angriffsmethoden, die den Angriff und die Herkunft verschleiern. Das Scenario wird also zunehmend real:

The overall sense, according to the report, is that an APT is a „cyberattack that is highly targeted, thoroughly researched, amply funded, and tailored to a particular organization — employing multiple vectors and using ‚low and slow‘ techniques to evade detection.“ This stealthy attack infiltration to steal important data has become widespread, with several companies and government agencies

Schutzmaßnahmen

Die Artikelserie, die ich erwähnt habe, schlägt einige Gegenmaßnahmen vor, wie z.B. Monitoring, Zugangssteuerung, oder auch Training:

The council report makes seven recommendations for improving defense posture that range from „up-level intelligence gathering and analysis,“ „activate smart monitoring “ and „reclaim access control,“ as well as „get serious about effective user training.“

Wenn Sie eine Serverlandschaft einsetzten, weil Sie zum Beispiel Dienste im Internet anbieten, haben die die folgenden weiteren Möglichkeiten, um Ihr Know How zu schützen:

• Serverschutz: Digitale Unternehmen sollten grundsätzlich allen Netzwerken misstrauen, an die sie angeschlossen sind.
• Sie sollten sich bereits beim Anschliessen eines neuen Servers Gedanken über Hacker machen, die das System kompromittieren wollen, und sich eine Strategie überlegen. Gerade, wenn Sie Diente im Internet anbieten, könnte es sich sogar lohnen, daß Sie ihre Site von Profis prüfen lassen.
• Ein Nebeneffekt einer Attacke ist oft, daß die Staatsanwaltschaft auf Sie aufmerksam wird. Sie sollten daher darauf achten, daß Sie die Protokolldateien regelmäßig sichern (da dort Einbruchsversuche verzeichnet werden)
• Sie sollten verhindern, daß Hacker an die Daten Ihrer User, oder sogar an die Passworte kommen, insbesondere dann, wenn Sie mit Cloud Services arbeiten.
• Regelmäßige Systemaudits sollten bei Ihnen zur Standardvorgehensweise werden.
• Sie sollten Server trennen, indem Sie z.B. mehrere interne und externe Firewalls einsetzen, die Internetverkehr abblocken, dem Sie nicht trauen.
• Sie sollten sich in die Lage versetzen, Alarmmuster erkennen zu können, und die Möglichkeit haben, darauf zu reagieren. Beispiele für zwielichtige Aktionen ist das Anmelden von unbekannten IP Adressen, oder, wenn Sie mit der gleichen IP aus unterschiedlichen Ländern angesprochen werden (IP-Adresse = die eindeutige Adresse des Computers, mit der er im Netz angemeldet ist)
• Durchführen von Autorisierungskontrollen auf Systemebene
• In Ihrem Autorisierungskonzept sollten Sie sicherstellen, daß es dem Administrator stets möglich ist, Autorisierungen zu erweitern oder zu entziehen. Desweiteren sollten Sie möglichst eingeschränkte Rechte vergeben (aufgabenbezogen)
• Sie sollten verlässliche Betriebssysteme einsetzen. So ist zum Beispiel das Betriebssystem „Virtual Vault“ von HP, oder das Sun „Trusted Solaris“ sogar in militärischen Systemumgebungen einsetzbar.
• Sie sollten bei Ihren Mitarbeitern in die Awareness zu Sicherheitsfragen investieren, und Training vorsehen

Weiterführende Informationen

… im Internet

In der NetWorkWorld finden Sie zwei weiterführende Artikel, in denen Sie mehr Informationen über die Thematik „Advanced Persistent Threats“ erhalten.

• →What is an ‚Advanced Persistent Threat,‘ anyway?
• →Advanced persistent threats force IT to rethink security priorities

Das folgende Buch ist für Firmen im Internetsektor vielversprechend: →The E-Business (R)Evolution: Living and Working in an Interconnected World (Hewlett Packard). Dort werden die Themen abgedeckt, die für internetbasierte Unternehmen relevant sind, angefangen bei den Grundlagen des e-Business, über die Technologischen Aspekte, Marketing Strategien im Netz, Sicherheit,…. um nur einige zu nennen

…www.Produkt-Manager.net

In meinen älteren Artikeln finden Sie weiterführende Informationen zum heutigen Thema:

• →Sicherheit und Datenschutz
• →Technikfolgenabschätzung und Versagenswahrscheinlichkeiten
• →FedEx-Tour

Kontakt

Das Original dieses Artikels ist auf →Der Produktmanager erschienen (©Andreas Rudolph). Regelmäßige Artikel gibt es über die (→Mailingliste), oder indem Sie →mir auf Twitter folgen. In der Online Version finden Sie hier die versprochenen weiterführenden Links:

This entry was posted on Mittwoch, August 3rd, 2011 at 8:07 pm. It is filed under Innovation, PM-Themen, Thema des Tages and tagged with Development, Globalization, Innovation, Internationalisierung, security, Stabilität. You can follow any responses to this entry through the RSS 2.0 feed.