+43 699 / 18199463
office@itexperst.at

7 Ratschläge: Wie überstehe ich einen Zero-Day-Angriff

Im Juli 2011 wurde das Pacific-Northwest-National-Laboratory Opfer eines Online-Angriffs durch einen bisher noch nicht bekannten Exploit, einen sog. Zero-Day-Exploit. In einem Vortrag auf einer Konferenz in Kalifornien hat nun der technische Leiter, Jerry Johnson, über seine Erfahrungen bei dem Angriff  berichtet.

Wer für den Angriff verantwortlich ist, wollte Johnson nicht sagen, jedoch ist bekannt, dass das Energieministerium, dem die Forschungsabteilung unterstellt ist, schon bisher Opfer der Angriffswelle Shady RAT wurde. Dessen Ursprung wird in China vermutet.

Hergang: Auf einem öffentlich erreichbaren Webserver der Forschungseinrichtung wurde ein „Drive-By“-Download von Angreifern installiert. Die darauf folgenden Wochen wurde die Netzwerkumgebung von der Hackergruppe nach installierter Malware auf Computern gescannt. Gleichzeitig wurden bestimmten Personen mit erweiterten Rechten Phishing-Mails (Spear-Phishing) gesandt. Die Gruppe konnte so den Zugang zu einem privilegierten Konto erlangen und verschaffte sich Zugriff auf den Domain Controller. Bei der Ausführung eines Exploits, der ihnen erhöhte Rechte am Domain Controller einräumen sollte, wurde ein Alarm ausgelöst. Das Cybersecurity-Team entschloss sich, die Netzverbindung zu unterbrechen, um den Schaden zu minimieren und die Angreifer auszusperren.

Im Rückblick empfiehlt Johnson sieben Maßnahmen, die – rechtzeitig etabliert – sehr helfen:

  1. Sicherheitsumgebungen mit mehreren Schutzebenen sind eine Gefahr. Die Einrichtung hatte einen guten Perimeterschutz. Hingegen empfiehlt Johnson, den Schutz der Daten selber in den Blickpunkt zu stellen.
  2. Trennen Sie sich von Altlasten. Der Webserver, der im ersten Angriff infiziert wurde, basierte auf einer wenig benutzten Technologie: Adobe Coldfusion. Kaum benutzte Technologien bekommen einen aus-dem-Blick, aus-dem-Sinn Status, was schnell gefährlich wird, denn diese Software wird oft nicht mit der gleichen Aufmerksamkeit betreut.
  3. Überwachen Sie die IT-Sicherheit rund um die Uhr. Andauernde fortgeschrittene Bedrohungen müssen rund um die Uhr überwacht werden. Ziel soll sein, dass der Zustand der Sicherheit des Computers beinahe in Realzeit abgelesen werden kann.
  4. Sorgen Sie für forensisches Know-How. Bei einem Sicherheitsvorfall ist das Wissen von geschulten Personen gefragt, die in IT-Forensik kundig sind und geeignete Maßnahmen treffen können.
  5. Stellen Sie dem Notfall-Team einen Senior-Projektmanager zur Seite. Das Reporting und die Entscheidungsdelegation an das Top-Management sind wichtige Maßnahmen.
  6. Bitten Sie bei Bedarf um Hilfe und zögern Sie nicht. Es kann sein, dass Sie Sicherheitsexperten, Geschäftspartner und Strafverfolgungsbehörden um Hilfe bitten müssen. Seien Sie darauf vorbereitet.
  7. Haben Sie einen Notfallkommunikations- und einen Geschäftsfortführungsplan. Wird das Netzwerk abgeschaltet, besteht keine elektronische Kommunikation mehr. Nehmen Sie auch die Handynummern in die Telefonliste mit auf und speichern Sie alternative E-Mail-Adressen.

Artikel in informationweek.com, 19.02.2011: 7 Lessons: Surviving A Zero-Day Attack

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen