Cyber Attacken – so funktionieren sie

07.07.2016 |  Von  |  News, Web
Keine Beiträge mehr verpassen? Hier zum Newsletter anmelden!
Jetzt bewerten!

Die Analyse und Abwehr von Cyber-Attacken ist ein Geschäftsfeld, das angesichts stark zunehmender digitaler Angriffe zunehmend wichtiger wird. Die Angriffsmethoden werden dabei immer ausgeklügelter, herkömmliche Abwehrmethoden haben sich vielfach als unzulänglich erwiesen. Die Analyse von Angriffsmustern zielgerichteter Attacken zeigt nach Auffassung des Spezialisten CyberArk, welche neuen Lösungen benötigt werden.

Experten der CyberArk Research Labs in Newton bei Boston (Massachusetts) haben zahlreiche Cyber-Angriffe detailliert analysiert. Bei den untersuchten Sicherheitsvorfällen hat sich ein typisches Angriffsszenario in vier Schritten herauskristallisiert.

  1. Diebstahl und Nutzung von Zugangsdaten
    Prinzipiell sind zunächst zwei Angriffsarten zu unterscheiden: der Insider- und der externe Angriff. Der Unterschied liegt darin, dass sich der Insider bereits innerhalb des Unternehmensnetzes befindet und über einen Account-Zugriff mit Zugangsdaten verfügt. Der externe Angreifer hingegen hat keinen Account und muss erst den Perimeter-Schutzwall überwinden.Hierfür gibt es mehrere Möglichkeiten, weit verbreitet sind zum Beispiel Phishing-Attacken. Die weiteren Schritte in der Fortsetzung des Angriffs sind identisch – gleichgültig, ob ein Insider oder Externer der Akteur ist: immer geht es dann um die missbräuchliche Nutzung von Zugangsdaten.
  1. Erweiterung der Privilegien
    Gelangt der Angreifer in den Besitz von Zugangsdaten von Usern, die nur eingeschränkte Rechte besitzen, bestehen zwei Möglichkeiten. Erstens kann er versuchen, die mit einem bestimmten Account verbundenen Privilegien zu erweitern, indem er Schwachstellen des Betriebssystems ausnutzt.Zweitens kann er auch versuchen, auf einen anderen Account mit erweiterten Rechten zuzugreifen. Ein beliebtes Angriffsziel sind dabei lokale Administrator-Konten. Oft wird dabei ein identisches Passwort für alle Geräte der jeweiligen Plattform verwendet. Ein derart weitverbreitetes Passwort bietet ein einfaches Ziel für fortschrittliche Angriffe.
  1. Zugriff aus Zielsysteme
    Dieser Schritt lässt sich in drei Stufen untergliedern. Zunächst testet der Angreifer, auf welche Systeme er mit den privilegierten Zugangsdaten zugreifen kann. Anschliessend verschafft er sich Zugriff auf weitere Accounts, indem er zum Beispiel Passwort-Hashes entwendet. In einem letzten Schritt versucht der Angreifer dann, auf das Zielsystem zuzugreifen.Ist dies nicht möglich, wiederholt er die Stufen 2 und 3. Es ist dabei durchaus keine Seltenheit, dass der Angreifer diesen Vorgang mehrfach wiederholt, um letztendlich Zugang zum Zielsystem zu erhalten.
  1. Vollendung des Angriffs
    Im letzten Schritt erreicht der Angreifer sein Ziel. Beispiele sind der Diebstahl vertraulicher Daten oder geistigen Eigentums oder die Unterbrechung des Geschäftsbetriebs durch Lahmlegen unternehmenskritischer Systeme und Applikationen.

Sobald Schritt 4 vollzogen ist, ist für Unternehmen der Schadensfall eingetreten. Selbst wenn sie einen Sicherheitsvorfall auf dieser Stufe bemerken – zum Beispiel einen laufenden Datenabfluss –, kann es zu spät sein, um einen Schaden vollständig auszuschliessen. Deshalb ist es zwingend erforderlich, einen Angriff so früh wie möglich aufzuspüren und zu stoppen.


Cyber Attacken werden immer dramatischer. (Bild: © Rawpixel.com - shutterstock.com)

Cyber Attacken werden immer dramatischer. (Bild: © Rawpixel.com – shutterstock.com)


CyberArk nennt folgende Best Practices für die erfolgreiche Abwehr zielgerichteter Attacken:

  • Sichere Speicherung privilegierter Zugangsdaten: Alle privilegierten Zugangsdaten, einschliesslich Passwörter und SSH-Keys, müssen sicher gespeichert werden und eine Zugriffsmöglichkeit sollte nur mit Multifaktor-Authentifizierung bestehen.
  • Automatische Änderung privilegierter Zugangsdaten: Alle privilegierten Zugangsdaten müssen regelmässig geändert werden.
  • Isolierung und Überwachung privilegierter Account-Sessions: Privilegierte Sessions von Administratoren sollten in einer vollständig isolierten und überwachten Umgebung erfolgen, um eine mögliche Ausbreitung von Malware zu verhindern.
  • Richtlinienbasierte Einschränkung von Administratorrechten und Endpunkt-Sicherung: Administratorrechte sollten aufgabenbezogen nur granular vergeben werden, und auch an Endpunkten müssen flexible Least-Privilege-Richtlinien für Business- und administrative Anwender umgesetzt werden.

 

Artikel von: CyberArk/PR-COM GmbH
Artikelbild: © GlebStock – shutterstock.com

Über belmedia redaktion

belmedia hat als Verlag ein ganzes Portfolio digitaler Publikums- und Fachmagazine aus unterschiedlichsten Themenbereichen aufgebaut und entwickelt es kontinuierlich weiter. Getreu unserem Motto „am Puls der Zeit“ werden unsere Leserinnen und Leser mit den aktuellsten Nachrichten direkt aus unserer Redaktion versorgt. So ist die Leserschaft dank belmedia immer bestens informiert über Trends und aktuelles Geschehen.


Ihr Kommentar zu:

Cyber Attacken – so funktionieren sie

Für die Kommentare gilt die Netiquette! Erwünscht sind weder diskriminierende bzw. beleidigende Kommentare noch solche, die zur Platzierung von Werbelinks dienen. Die belmedia AG behält sich vor, Kommentare ggf. nicht zu veröffentlichen.