Advanced Persistent Threat

aus SecuPedia, der Plattform für Sicherheits-Informationen

(Weitergeleitet von ATP)
Anzeige
Wechseln zu: Navigation, Suche

Mit Advanced Persistent Threat (APT, zu deutsch etwa "fortgeschrittene, andauernde Bedrohung") bezeichnet man eine meist komplexe und zielgerichtete Cyber-Attacke. Im Gegensatz zu klassischen Hacker-Angriffen (beispielsweise mittels Viren oder Botnetzen), bei welchen die Auswahl der Opfer nicht eingegrenzt ist, wird bei ATP lediglich ein bestimmtes Opfer bzw. bestimmte Opfergruppe attackiert.

Merkmale

Im Zuge eines solchen Angriffes wird oft mit hohem Aufwand sukzessive in die IT-Infrastruktur des Opfers eingedrungen, um über einen längeren Zeitraum möglichst sensible Informationen auszuspähen und dabei so lange wie möglich unentdeckt zu bleiben.

Beginnend mit Stuxnet und Duqu, die man noch getrost als "normale" Computerwürmer bezeichnen konnte, setze sich die Angriffsspezialisierung über Flame und Gauss weiter fort, bis hin zu aktuellen Fällen gezielter Computerspionage (Fall Roter Oktober, NetTraveler). Ein quasi staatliches Beispiel wäre der Bundestrojaner. Dabei werden vorzugsweise Zero-Day Exploit und modernste Malware eingesetzt (z.B. Ebury oder Rootkit Uroburos, Spear-Phishing- und Longlining-Mails), gepaart mit Methoden des Social Engineering oder Wasserloch-Attacken.

Über die für solche APT-Angriffe notwendigen Ressourchen verfügen meist nur staatliche Stellen (PRISM und Tempora) und größere kriminelle Organisationen, deren Cybersöldner (wie die Icefog-Gruppe) dann die Angriffe durchführen.


Abwehr

Die Abwehr von ATP-Angriffen ist naturgemäß schwierig. Nur über das Sammeln von Sicherheitsinformation aus unterschiedlichsten Quellen (Log-Informationen, Benutzermeldungen, Vernetzung mit anderen CERTs) und deren gemeinsame Auswertung (SIEM) kann man überhaupt APT-Angriffe erkennen. Wenn allerdings eine informelle Zusammenarbeit der Verwaltungs-CERTs mit den Sicherheitsbehörden eingerichtet wird, kann die Verwaltung hier enorme Vorteile gegenüber anderen Bereichen erzielen. Dies ist deshalb in der Leitlinie Informationssicherheit in der öffentlichen Verwaltung auch so vorgesehen.

Eine Empfehlung mit Schutzmaßnahmen gegen APT und Spear-Phishing hat das BSI erarbeitet und zur Verfügung gestellt[1].


ATT&AK

Beispiel ATT&AK Navigator: ATP28

MITRE, eine Abspaltung des berühmten MIT und bekannt für die Verwaltung der CVE-Nummern, hat mit ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) eine systematische Kategorisierung von Angriffs-Verhaltensmustern erstellt, die sich, neben vielen weiteren Möglichkeiten, auch für die praktische ATP-Abwehr eignet.

Beispiel ATT&AK Navigator: Emotet

ATT&CK besteht aus verschiedene Matrizen: Enterprise, Mobile, PRE-ATT&CK und neu ICS. Aktuell wird (zusammen u.a. mit Microsoft, IBM, Nivida) eine weitere neue Matrize im Bereich Künstliche Intelligenz/Machine Learning erarbeitet[2].

Jede dieser Matrizen enthält verschiedene Taktiken und Techniken zum Thema der jeweiligen Matrix. Per ATT&AK Navigator als Werkzeug können die Matrizen zudem flexibel bearbeitet werden. Für ATP sind insbesondere die Sichten (Views) nach ATP-Gruppen (z.B. ATP28) oder nach Schadsoftware (z.B. Emotet) geeignet. Im Angriffsfall können mögliche Gegenspieler-Verhaltensmuster auf der Grundlage von direkten Beobachtungen beschrieben werden und ermöglichen so eine schnelle und flexible Reaktion.

Darüber hinaus kann MITRE ATT&CK bei Anwendung generischer Begriffe (wie Web oder Mail) dazu verwendet werden, Checklisten gegenüber aktuellen Bedrohungen und Angriffen zu erstellen. So können starre Sicherheitskonzepte (z.B. nach IT-Grundschutz oder auf der Basis der ISO 27001) um eine agile Betrachtung auf aktuellstem Stand ergänzt/teilweise sogar ersetzt werden.


Ein weiteres verbreitetes Framework mit ähnlicher Zielrichtung ist die Cyber Kill Chain von Lockheed Martin.


Einzelnachweis

  1. SecuPedia Aktuell: BSI: Empfehlungen gegen professionelle gezielte Cyber-Angriffe
  2. Beitrag "Machine Learning: Microsoft, MITRE, IBM, Nivida & Co erstellen Bedrohungsmatrix" vom 23.10.2020 von Heise-Online


Weblinks


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 23. Oktober 2020 um 14:35 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl.