Advanced Persistent Threats entgegentreten I WatchGuard Blog

Sogenannte APT (Advanced Persistent Threats), also gezielte und besonders ausgefeilte Cyberattacken, haben häufig schwerwiegendere Folgen als herkömmliche Angriffe. Die Erklärung hierfür ist simpel: Die Täter wenden wesentlich mehr Zeit und Mühe auf (wobei sie nicht selten von Regierungsorganisationen gefördert werden) und die Opfer sind häufig von ganz spezieller Relevanz oder Größenordnung. So beschuldigen etwa die US-Regierung, die Europäische Union und die NATO immer wieder offen die chinesische Regierung, hinter Cyberangriffen nach diesem Muster zu stecken. Auch die Attacke auf Microsoft Exchange im vergangenen Januar wird auf Hacker mit Kontakten zur Volksrepublik zurückgeführt.

Im Zuge dessen wurden schätzungsweise mehr als 250.000 Exchange-Server weltweit kompromittiert, allein in den Vereinigten Staaten verschafften sich die Angreifer Zugang zu rund 30.000 Organisationen. Bei der Attacke auf den Microsoft-Dienst wurde eine Schwachstelle ähnlich der bereits bekannten ProxyLogon-Lücke ausgenutzt. Sie ermöglicht es dem Hacker, sich als Administrator in das System einzuloggen und von dort aus auf E-Mails zuzugreifen. Die Hackergruppe Hafnium, die nachweislich von chinesischen Behörden finanziert wird, wurde schnell als Übeltäter identifiziert.

Die von APT ausgehende Gefahr

Bei diesem speziellen Vorfall nutzten die Hacker eine Zero-Day-Sicherheitslücke in Microsoft Exchange aus. Die ernsten Gefahren, die von APT-Angriffen ausgehen, rückten im Zuge dessen noch einmal deutlich in den Fokus. Zudem wurde das öffentliche Bewusstsein dafür geschärft, dass solche fortschrittlichen und extrem aufwendigen Attacken oft von Regierungsorganisationen gesponsert werden.

Im Fall des Microsoft Exchange-Hacks sah die US-Regierung die Schuld schnell beim chinesischen Staat. „Das chinesische Ministerium für Staatssicherheit beauftragt routinemäßig Hacker mit der Durchführung von Angriffen auf der ganzen Welt, die in keiner Weise geahndet werden“, ließ das Weiße Haus in einer offiziellen Erklärung verlautbaren. Nicht nur die USA sehen China in der Verantwortung. Auch die Europäische Union prangert die Volksrepublik auf ähnliche Weise an und forderte die chinesische Regierung im Juli 2021 dazu auf, bösartige Cyber-Aktivitäten zu unterbinden.

Wie können sich Unternehmen gegen derartige Bedrohungen schützen?

Unternehmen wie auch Managed Service Provider (MSP) müssen sich im Klaren darüber sein, dass diese Art von Cyberangriffen grundsätzlich jeden treffen kann. Deshalb sollten sie unbedingt adäquate Sicherheitsmaßnahmen für sich und ihre Kunden ergreifen. Proaktiver Schutz für Endpunkte ist hierbei absolut entscheidend – die Gefahr muss unter allen Umständen erkannt und neutralisiert werden, bevor es zu spät ist. Glücklicherweise ist dies dank spezialisierter Lösungen wie dem APT Blocker von WatchGuard heute kein Problem. Das System verwendet eine isolierte Sandbox in der Cloud, die die Eigenschaften physischer Hardware simuliert und dabei sämtliche ausführbare Dateien und Dokumente analysiert. Einem Ransomware-Angriff oder Zero-Day-Bedrohungen kann somit ohne Risiko Einhalt geboten werden.

Das Schutzschild gegenüber APT-Attacken wird durch Lösungen wie WatchGuard EPDR (Endpoint Protection, Detection and Response), die Endpunkte vor Cyberangriffen der nächsten Generation schützen, nachhaltig verstärkt. WatchGuard EPDR setzt auf die Zero-Trust-Strategie und einen integrierten Threat Hunting Service, um die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs zu minimieren. Der Zero-Trust-Ansatz bedeutet konkret, dass jede einzelne Aktivität systematisch analysiert wird. Hackern werden so konsequent mögliche Angriffspunkte verwehrt. Der Threat Hunting Service basiert wiederum auf einer Reihe von Regeln zur Bedrohungserkennung, die von Security-Spezialisten definiert wurden. In Kombination ermöglicht die Cybersicherheitslösung die effektive Analyse anomaler Verhaltensmuster. Anwender können hierdurch ihre Reaktionszeiten drastisch verkürzen und jederzeit spezifische Regeln für einzelne Endpunkte definieren oder Anpassungen für alle übernehmen – für maximale Sicherheit.