Es ist keine leichte Aufgabe, seine Cyber-Verteidigungsstrategien stets auf dem neuesten Stand zu halten, vor allem, wenn Organisationen fortlaufend mit der Verbreitung von pemanent neuartigen Cyber-Angriffen konfrontiert sind. Persistente Bedrohungen (Advanced Persistent Threats, APTs) sind für Cyber-Sicherheitsexperten besonders besorgniserregend, da die Malware, sobald sie einmal in die Organisation eingedrungen ist, auf "niedrigem und langsamem Niveau" operiert und im Laufe der Zeit Aufgaben ausführt, um einer Entdeckung zu entgehen und das oft mit schwerwiegenden Konsequenzen.
Information ist das A und O
Die Beweggründe für APT-Angriffe sind vielfältig. Staatlich organisierte Wirtschaftsspionage und gezielte Angriffe sind in erster Linie nicht darauf ausgerichtet, Störungen zu verursachen, sondern Informationen zu stehlen. In einer Welt der digitalen Zusammenarbeit verfügen Unternehmen und die von ihnen verwendeten Anwendungen über riesige Datenmengen, von denen sich einige leicht monetarisieren lassen (geistiges Eigentum oder Finanzdaten) oder zur Unterstützung eines Cyber-Angriffs verwendet werden können (detaillierte Unternehmensinformationen).
Kein Unternehmen ist vor den Risiken, die APTs mit sich bringen, gefeit, obwohl diejenigen mit sehr sebsiblen Daten, wie z.B. große Organisationen, die im Verteidigungs-, Regierungs-, Gesundheits- und Finanzdienstleistungssektor tätig sind, häufig ins Visier genommen werden. Kleinere Organisationen, die in der Versorgungskette für diese Branchen tätig sind, sind ebenfalls häufig Ziel von Angriffen. Da sie als weniger gut verteidigt gelten, werden Cyberkriminelle diese kleineren Organisationen als Sprungbrett zu ihrem eigentlichen Ziel benutzen.
E-Mail-basierte erweiterte persistente Bedrohungen
E-Mail ist eine weit verbreitete Zustellungsmethode für fortgeschrittene Malware und Cyberkriminelle verwenden Spear-Phishing und Social Engineering-Techniken, um die Cyberabwehr zu durchbrechen. Spear-Phishing-E-Mails werden entwickelt und so gestaltet, dass sie aussehen, als käme sie von jemandem, der dem Empfänger bekannt ist - das kann ein Kollege, Kunde oder Lieferant sein. Sie enthalten Anhänge (versteckt in einem Dokument oder Bild) oder bösartige URLs, die, wenn sie geöffnet oder angeklickt werden, die Malware in das Netzwerk freisetzen.
Ein Beispiel ist die Dridex-Malware, die speziell für den Angriff auf Finanzdienstleistungsunternehmen und Banken entwickelt wurde. Sie kommt als Anhang einer Phishing-E-Mail an. Bei dem Anhang handelt es sich um einen vertrauenswürdigen Dateityp mit einem eingebetteten Makro oder Skript, das beim Öffnen aktiviert wird. Dridex ist für den Diebstahl von Hunderten von Millionen Dollar in Form von betrügerischen Transaktionen verantwortlich.
Bedrohungen durch APTs
APTs sind fast unmöglich zu erkennen, da sie entwickelt wurden, um herkömmliche E-Mail-Sicherheitsabwehrmechanismen wie Antiviren-Lösungen zu umgehen. Leider gibt es keine "Wunderwaffe", mit der sich Organisationen schützen können, jedoch kann eine Kombination aus mehrschichtigen Maßnahmen ergriffen werden, um die Bedrohung durch APTs zu minimieren.
Menschen können eine aktive Rolle dabei spielen, das Risiko des Erfolgs von APTs zu reduzieren. Allerdings reicht es allein nicht aus, die Benutzer darüber aufzuklären, wie sie eine verdächtige E-Mail erkennen können und was zu tun ist, wenn sie den Verdacht haben, dass eine E-Mail betrügerisch ist. Es ist nur eine Person erforderlich, die versehentlich ein Dokument öffnet oder auf eine URL klickt, damit Malware Zutritt erhält. Für die nächste Sicherungsebene müssen Unternehmen ihre E-Mail-Sicherheitstechnologie erweitern, um infizierte Dateien zu entfernen und URLs zu neutralisieren, bevor sie die Posteingänge der Benutzer erreichen.
Die Clearswift-Lösung
Mithilfe der Deep Content Inspection-Technologie analysiert die E-Mail-Sicherheitslösung von Clearswift alle eingehenden und ausgehenden E-Mails gründlich und prüft den Inhalt bis hin zu den einzelnen Bestandteilen. Sie verifiziert die Konformität der Dateistrukturen und prüft, ob Daten auf andere Dateien übertragen werden. Die Message Sanitization erkennt und redigiert automatisch bösartige URLs, Anhänge und HTML. Structural Sanitization erkennt und entfernt alle aktiven Inhalte innerhalb von Dateien, wie z. B. eingebettete Makros und Skripte, die beim Öffnen eines Dokuments aktiviert würden. Eine sichere, saubere Version des Inhalts wird dann neu erstellt und auf den Weg geschickt. Dieser Prozess erfolgt in Echtzeit, so dass es keine Verzögerung bei der Kommunikation gibt.
Die Technologie kann so konfiguriert werden, dass sie mit Sandbox-Lösungen zusammenarbeitet und nur aktive Inhalte zur weiteren Analyse sendet. Dies reduziert die Overhead-Kosten der Sandbox, die sonst alle Dateien kontinuierlich scannen würde.
Content Analyse anwenden
Um das Risiko zu verringern, dass Lösegeld-, Spyware- und andere hochentwickelte Malware durch Phishing-E-Mails verbreitet wird, können Unternehmen Deep Content Insepction und Sanitization anwenden, um bestehende E-Mail-Sicherheitslösungen zu erweitern.