Funktionsweise von Endpoint-Attacken analysieren

Bei Cyber-Attacken führen die Angreifer meistens verschiedene Schritte durch, um an ihr Ziel zu kommen. Al Gegenmaßnahme hat sich eine umfassende Verteidigungsstrategie mit überlappenden Schutzschichten als bester Ansatz für die Cybersicherheit erwiesen. Bei der Angriffskette lassen sich sieben Stufen identifizieren, über die man Klarheit haben sollte: Aufklärung, Art des Angriffs, Weg der Infizierung, Art des Schadprogramms, Installation, Command & Control und letztlich die Aktion oder Ausführung. Diese komplexe und sich teils überschneidende Standardkette ist oftmals komplizierter als nötig. Daher reicht es tatsächlich, mit einer einfacheren, endpunktspezifischen Angriffskette zu beginnen, die nur aus drei wesentlichen Schritten besteht.

• Die Art der Zustellung: Auf dieser Stufe versucht der Angreifer, mit Schadprogrammen und entsprechenden Ausführungsanweisungen in eine Umgebung einzudringen. Als Abwehr hat man zu diesem Zeitpunkt mehrere Möglichkeiten den Angriff via Phishing-, Netzwerk- und E-Mail-Schutz zu stoppen, ohne dass die Endpoint Security genutzt werden muss. Hat der Angreifer diese Ebenen der Verteidigung überwunden, kommt die Endpoint Security zum Einsatz, um Exploits zu blockieren, bösartige URLs zu erkennen und schadhafte Dokumente zu verhindern. Es besteht auch die Möglichkeit, die Kommunikation von Command- und Control-Servern zu erkennen.
• Exploits und Ausführung: Im nächsten Schritt versucht der Angreifer, Endpoints zu nutzen, um bösartigen Code auszuführen. Die Abwehr auf Endpoints ist oft stark darauf ausgerichtet, bösartige ausführbare Dateien zu stoppen, entweder durch grundlegende Ansätze wie Signaturen oder neuere Ansätze wie maschinelles Lernen. In dieser Phase sollten jedoch auch andere, komplementäre Techniken eingesetzt werden, einschließlich der Anti-Exploit-Technologie zur Verhinderung von Identitätsdiebstahl, Rechteausweitung (Privilege Escalation) und Anwendungsmissbrauch.
• Der „Boom“: Schließlich kommt es zum „Knall", auch bekannt als Aktions- oder Post-Exekutions-Phase, in der Angreifer Schaden anrichten. Selbst wenn ein Angreifer es bis hierhin schafft, gibt wirkungsvolle Verteidigungsschichten. So kann beispielsweise Data Loss Prevention (DLP) die Exfiltration sensibler Daten stoppen. Darüber hinaus können Verhaltenstechniken, wie der Schutz vor Lösegeldern oder bösartige Aktivitäten in Aktion erkannt werden und den Angreifer stoppen, bevor er seine Ziele erreicht. Auch kann eine Analyse nach der Ausführung angewendet werden, um die Details der spezifischen Angriffskette zu verstehen. Häufig konzentriert sich Endpoint-Security in erster Linie darauf, ausführbare Dateien zu stoppen. Es gibt jedoch viele andere Möglichkeiten entlang der Angriffskette, eine Attacke zu unterbrechen. Wenn eine mehrschichtige Verteidigung einen Angriff irgendwo entlang der Angriffskette unterbricht, wird der gesamte Angriff vereitelt.

„Es gibt eigentlich nur einen sinnvollen Weg, der Kreativität von Angreifern vorzubeugen und das sind ausgefeilte Schutzmechanismen. Wir wissen, dass nach wie vor sehr viele traditionelle Angriffe tagtäglich auf unsere IT abzielen. Diese sind zuverlässig durch traditionelle, signaturbasierte Mechanismen zu erkennen und aufzuhalten. Für moderne Angriffe braucht es schon etwas mehr. Schutzmechanismen auf Basis von Machine und/oder Deep Learning schützen intuitiv und auf verhaltensbasierten Schemata. Wir benötigen also nach wie vor beide Arten an Schutztechnologie und idealerweise sind diese in einer intelligent arbeitenden Security-Lösung integriert“.

Michael Veit, Security Experte bei Sophos.