Gezielte Angriffe verstehen: Von den sieben Mauern von Minas Tirith lernen

Originalartikel von Martin Roesler, Director for Threat Research

Bei gezielten Attacken befinden sich die Angreifer im Vorteil, und Anwender sind gut beraten, dies zu akzeptieren, um gegen die Angriffe vorgehen zu können. Wie bereits in einem früheren Beitrag aufgezeigt, haben die Kriminellen zwar die bessere Kontrolle über das Geschehen, doch heißt das nicht, dass Unternehmen keine Handhabe dagegen besitzen.

Kontrolle des Perimeters

Kontrollieren kann man selbstverständlich nur das, wovon man Kenntnis hat. Das bedeutet vom Sicherheitsstandpunkt, dass Organisationen genau kontrollieren müssen, wer und was auf das Netzwerk zugreift sowie auf welche Art der Zugang erfolgt. Diese strenge Zugangskontrolle mag auf Kosten der Bequemlichkeit der Nutzer gehen, doch angesichts der Gefahren, die von gezielten Angriffen ausgehen, müssen sie dies in Kauf nehmen.

Zur genauen Kenntnis des eigenen Netzwerks gehört auch, den Betrieb, die Prozesse, Ereignisse und das normale Verhalten zu verstehen. Das Wissen um das, was tatsächlich normal ist, hilft dabei, Anomalien besser und schneller zu erkennen.

Sobald das Netzwerk klar definiert ist, bedarf es eines Mittels, um es zu überwachen und damit die nötige Transparenz für alles, was ein- und ausgeht im Netzwerk, zu erlangen. Eine dafür gut geeignete Technologie ist etwa DNS Response Policy Zone. Sie liefert die Möglichkeit, Verbindungen von und zum Netzwerk zu managen. Kommt noch eine Blacklist mit Domänennamen hinzu, so entsteht eine bedeutend sicherere Netzwerkumgebung.

Schutz von innen nach außen

 Herkömmliche Abwehransätze konzentrieren sich darauf, Firewalls zu verstärken und „böse Komponenten“ von außen über Blacklists auszusperren. Eine solche Strategie ist dann effizient, wenn es sich um den Schutz vor direkten Angriffen handelt, doch nicht bei gezielten Attacken. Der traditionelle Schutz greift bei Angriffsformen, deren Form und Quelle sich leicht ausmachen lässt. Das trifft aber für gezielte Angriffe nicht zu.


Herkömmliche Abwehr

Ein gutes Beispiel für eine effektivere Art des Schutzes ist die in Minas Tirith aus „Der Herr der Ringe“. Die Stadt ist so angelegt, dass die Burg in der Mitte von sieben Mauern umgeben ist, wobei die äußerste am niedrigsten ist und jede weitere höher. Die Stadttore in jeder Mauer sind versetzt an unterschiedlichen Punkten der Festung angelegt. Eine solche Strategie, in der Kriegsführung „Tiefenverteidigung“ (Defense-in-Depth) genannt, funktioniert deshalb gut, weil sie nicht nur Schutz vor Angriffen von außen bietet, sondern auch vor solchen innerhalb des Perimeters. Für den Netzwerkschutz bedeutet das die Einführung einer mehrschichtigen Abwehr und der Verschlüsselung von kritischen Daten.

Tiefenverteidigung

Die hohen Mauern stehen auch für eine weitere wichtige Strategie. Für die Angreifer wird es immer schwieriger weiter vorzudringen, gleichzeitig aber können Bogenschützen auf den hohen Mauern aus der Vogelperspektive das Geschehen überblicken – und zwar nicht nur das außerhalb der Mauer, sondern auch das innerhalb. Für das Netzwerk-Monitoring heißt das, dass Einsicht sowohl in den ein- als auch ausgehenden Verkehr möglich ist.

Die äußere Mauer von Minas Tirith galt als uneinnehmbar, und wurde dennoch von dem Rammbock Grond und der Magie des Hexenkönigs zerstört. Unternehmen müssen sich die Frage stellen, auf welchen Schutz sie setzen können, sollten die herkömmlichen Mittel gegen gezielte Angriffe versagen. Die klügste Haltung dazu ist, davon auszugehen, dass ein Angriff bereits innerhalb des Netzwerks erfolgt ist. Damit aber sind die Organisationen gezwungen, darüber nachzudenken, wie nun der Schutz aufzusetzen ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*