Datakom offeriert APT-Assessment-Service

Eine hundertprozentige IT-Sicherheit kann und wird es nicht geben. Zu rasant ist die Entwicklung immer komplexerer Cyberangriffe, und zu einfach ist die Beschaffung von Personal und Hilfsmitteln, um auf kriminelle „Cyber-Art-und-Weise“ an Patente und andere Aktivposten von Firmen heranzukommen. Insbesondere ausgefeilte Angriffe wie Advanced-Persistent-Threats (APT) sind extrem schwer aufzudecken. Deshalb müssen Unternehmen bereit sein, das IT-Netz inklusive Infrastruktur regelmäßig, bestenfalls in kurzen Intervallen, auf den Prüfstand zu stellen. Das APT-Assessment des deutschen Systemintegrators Datakom adressiert diese Thematik.

„Die Zeitspanne zwischen Infektion und Entdeckung eines APT-Angriffs beträgt in den meisten Fällen mehrere Monate. Viel Zeit, in der sich Angreifer ungehindert in den Netzen des Opfers bewegen und Informationen ausspionieren können.“ So beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht 2015 die momentane Gefahrensituation. Unternehmen dürften gut daran tun, ihre IT noch aufmerksamer zu prüfen. Ein herkömmlicher Security-Audit reicht nicht aus. Um im Ernstfall auch ein unübersichtliches Advanced-Persistent-Threat-Puzzle zu entschlüsseln, gibt es praktischere Ansätze. Besonders wirksam ist eine Verbindung von IT-Expertise, Security-Intelligence und einem stabilen Tool, das Schadsoftware zuverlässig erkennt. Genauso setzt sich das „Advanced Persistent Threat-Assessment“ von Systemintegrator Datakom zusammen.

Wie läuft ein APT-Assessment ab?
monitor-1307227_1920Datakom bietet das APT-Assessment als praktischen Service an. Dabei decken die IT-Experten alle Arten von Schadsoftware auf, insbesondere aber die für APTs typischen Angriffsmuster: Eine Erstinfektion infiziert einzelne Arbeitsplatzrechner mit Malware. Über die Malware können Kriminelle Dateien hoch- und herunterladen. Zusätzlich lassen sich auf diese Weise weitere Tools auf den infizierten Rechner nachladen,  beispielsweise Software, die die Zugangsdaten eines Systemkontos für Software-Verteilung oder gar die Zugangsdaten des Systemadministrators herausfindet. Kurze Zeit später ist der Cyberkriminelle meist auch in der Lage, sensible Dokumente über zuvor geschaffene Backdoors zu stehlen.

Solche kriminellen Eingriffe in die IT lassen sich mit einem professionellen APT-Assessment verhindern. Es sollte mindestens vier Wochen dauern. In dieser Zeit wird der Datenverkehr im Netz, auch in Proxy-Umgebungen, über alle Protokolle (auch Tunnelprotokolle) und Anwendungen hinweg auf allen TCP-Ports untersucht. Zur Analyse eignet sich die patentierte Deep-Session-Inspection-Technologie. Sie wertet die Daten mit einer Kombination aus regelbasierten, statischen und dynamischen Analysen aus. Dabei werden selbst verschleierte, komprimierte oder enkapsulierte Angriffsmuster erkannt, die tief in verschachtelten Filesystemen versteckt sind. Unternehmen profitieren bei der Deep-Session-Inspection von einer besonders hohen Erkennungsrate.

Neben ihrer tiefgehenden Analyse emuliert die Technologie auch verdächtige Files im System in Echtzeit, um so unnötige Blockaden zu vermeiden und das Ausschleusen von Daten zu stoppen. Zudem werden während der Untersuchung des Datenverkehrs Metadaten erzeugt und gespeichert. Die Metadaten enthalten unter anderem Informationen über Protokolle, Applikationen und Anwenderdaten, was eine retrospektive Korrelation von Advanced-Persistent-Threat-Puzzleteilen erlaubt. Dadurch ist es möglich, im Zuge des Assessments zum Beispiel die mit Command-and- Control-Servern in Verbindung stehenden Sessions aufzulisten.

Kein Eingriff in bestehenden Netz- und SOC-Betrieb
„Unser APT-Assessment unterstützt Firmen dabei, kriminellen Cyber-Profis jeden Tag die Stirn zu bieten und so langfristig die Geschäftsbasis zu schützen“, fasst Lydia Krowka, Geschäftsführerin von Datakom , zusammen. „Beim Assessment ermitteln wir jegliche Malware-Infektionen. Zudem enthalten die tagesaktuellen Security-Feeds die neuesten Angriffsmuster aus allen Branchen, was die Erkennungsrate beträchtlich steigert. Eine zusätzliche Sicherheit bringt die sofortige Alarmierung bei Anomalien in der IT, zum Beispiel, wenn ein FTP-Download oder Speicherzugriff von einem Client aus registriert wird, der normalerweise diese Daten nicht abrufen würde. Während unseres Assessments kommt es bei Kunden bzw. Unternehmen zu keinen Einschränkungen: Netz- und SOC-Betrieb laufen wie gewohnt weiter. Darüber hinaus stehen wir jederzeit für alle Fragen rund um das Assessment Rede und Antwort.“