Egal, ob sofortiger Absturz oder heimliche, lange unerkannte Aktivitäten in fremden Netzen – die Möglichkeiten, Schwachstellen in IT-Systemen auszunutzen, sind vielfältig. Sie zu kennen und das Vorgehen von Hackern systematisch zu analysieren, ist im Sinne der Detektion ein entscheidendes Maßnahmenbündel, um IT-Systeme gegen Angriffe von außen fit zu machen.
Die 14 Stufen des APT
Mittlerweile konnten weltweit viele Fälle von Angriffen auf fremde IT-Systeme und -Netze studiert und analysiert werden. Die Mitre-Organisation hat in den vergangenen Jahren aus diesen Beobachtungen ein Ordnungsschema destilliert, welches sich zunehmender Beliebtheit in der Cybersecurity-Szene erfreut und das auch der HZD – unter anderem in der Zusammenarbeit mit dem Kunden Hessen3C – als wichtige Grundlage für die Analyse von Cyberangriffen dient: Dieses „Att&ck Framework“ beschreibt in 14 Phasen, welche Techniken und Methoden von Angreifern häufig verwendet werden, um in fremde Netze einzudringen und dort ihr Unwesen zu treiben – der sogenannte „Advanced Persistent Threat“ (APT). sich auf Enterprise-Umgebungen mit typischen Rechenzentren und lokalen Anwendernetzen – also IT-Infrastrukturen, wie sie auch in der hessischen Landesverwaltung existieren. Sie zeigt die 14 Phasen eines typischen Cyberangriffs und beschreibt die jeweilige Zielsetzung der Angreifenden (siehe nebenstehende Tabelle).
Zu all diesen Techniken und Subtechniken bietet die Mitre-Organisation eine Beschreibung des Ablaufs sowie Möglichkeiten der Erkennung und Schadensbegrenzung. Somit ist das Framework eine große Wissensdatenbank zum Thema Cyberbedrohungen und den Möglichkeiten, sich als angegriffene Organisation zur Wehr zu setzen. Zahlreiche einschlägige Software-Lösungen zur Abwehr von Cyberbedrohungen nutzen mittlerweile die Terminologie des „Att&ck Framework“, um das beobachtbare Geschehen in verständlicher und definierter Form zu beschreiben.