Was ist Advanced Threat Protection?
Was ist Advanced Threat Protection – der Schutz vor komplexen Bedrohungen?
Cyberkriminelle entwickeln kontinuierlich immer komplexere Strategien, die sie zum Angriff auf Unternehmen, Regierungen und andere Organisationen nutzen. Gleichermaßen versuchen Experten für Cybersicherheit, mit den immer neuen potenziellen Bedrohungen und Angriffen Schritt zu halten oder sie sogar zu antizipieren. Doch selbst wenn die Sicherheitstechnologie die Aktionen der Angreifer voraussagen kann, sind neue, unbekannte Angriffe nie ausgeschlossen – besonders, wenn die betroffene Organisation nicht über die geeigneten modernen Sicherheitskontrollen verfügt.
Advanced Threat Protection (ATP) bezeichnet eine Kategorie von Sicherheitslösungen zur Abwehr von komplexer Malware und Cyberangriffen, die auf sensible Daten abzielen. Mithilfe von ATP können sich Organisationen schneller auf die ständig wechselnden Strategien der Cyberkriminellen einstellen und so kostspieligen Sicherheitsverletzungen vorbeugen.
Ab wann gilt eine Bedrohung als „komplex“?
Bedrohungen und Angriffe können unter anderem anhand der folgenden Merkmale als komplex eingestuft werden: Die Angreifer verfügen über unbegrenzten Zugang zu den nötigen Ressourcen bzw. Tools, um ein Netzwerk anzugreifen und den Zugriff darauf aufrechtzuerhalten; die Angriffe können dank kontinuierlicher Finanzierung im Bedarfsfall angepasst werden; der Angriff ist eigens auf eine bestimmte Organisation zugeschnitten.
Um eine erfolgreiche Abwehr gegen komplexe Bedrohungen einrichten zu können, muss man die Gefahr verstehen und die möglichen Folgen für die eigene Organisation einschätzen können.
Der Begriff „Advanced Persistent Threat“ (APT) steht für einen Angriff einer unberechtigten Person oder Gruppe, die unbemerkt in ein Organisationsnetzwerk gelangt und sich dort längere Zeit unerkannt aufhält. APT-Angriffe sind oft akribisch geplant und speziell auf einzelne Unternehmen zugeschnitten, deren Schutzmechanismen mithilfe von Malware unterlaufen werden. Derartige schädliche Angriffe lassen sich nur mit einer ebenso ausgefeilten Sicherheitstechnologie abwehren und eindämmen.
Nach dem erfolgreichen Eindringen ins Netzwerk (üblicherweise durch Phishing oder Malware) können die Angreifer Dateien, Konversationen, Daten und andere sensible Inhalte aus dem Unternehmen einsehen. Dabei bleiben sie mitunter wochen-, monate- oder gar jahrelang unerkannt und erfassen in dieser Zeit beträchtliche Mengen an Unternehmensdaten, die dann für die verschiedensten Zwecke missbraucht werden.
In welchen Formaten treten komplexe Bedrohungen am häufigsten auf?
- Phishing stellt die beliebteste Einfallstür für APT-Angreifer auf dem Weg in interne Netzwerke dar. Bei dieser Methode werden Links von scheinbar vertrauenswürdigen Absendern verschickt, um an Unternehmens- oder Anmeldedaten zu gelangen.
- Malware erlaubt es Cyberangreifern, sich in das Netzwerk einzuschleusen, Aktivitäten zu überwachen und Unternehmensdaten zu sammeln.
- Geknackte Passwörter verschaffen den Angreifern Zugriff auf Administratorebene, sodass sie sich frei im Netzwerk bewegen können.
- Hintertüren, die von Angreifern in die Systeme eingebaut werden, ermöglichen ihnen jederzeit erneuten Zugriff auf das Netzwerk.
Wie funktioniert der Schutz vor komplexen Bedrohungen?
Zwar ist das Risiko, das von komplexen Bedrohungen ausgeht, für bestimmte Unternehmen und Branchen besonders groß, grundsätzlich sollten jedoch alle Unternehmen wissen, welche präventiven Maßnahmen sie gegen diese immer häufiger auftretenden Angriffe ergreifen können.
Angesichts der immer aufwendigeren Cyberangriffe entwickeln sich auch die Lösungen auf dem Gebiet des ATP weiter. Ein wichtiger Baustein hierbei ist das Sandboxing zum Überprüfen von verdächtigen Dateien. Diese Methode ist jedoch üblicherweise auf die Verwendung von Legacy-Hardware in einem Rechenzentrum ausgerichtet und kann der zunehmenden Zahl an Remote-Mitarbeitern nicht gerecht werden.
Darüber hinaus werden verdächtige Dateien in der Regel im TAP-Modus geprüft, wobei die Datei zur Prüfung auf dem Weg zum Empfänger durch die Sandbox läuft. Entdeckt die Sandbox schädliche Inhalte, wird eine Warnmeldung ausgegeben. Diese Warnung kann jedoch zu spät kommen, sodass ein Schaden nicht mehr rechtzeitig abgewendet werden kann. Hinzu kommt, dass heute mehr als die Hälfte der Malware über verschlüsselte SSL-Kanäle bereitgestellt wird – eine Schwachstelle, die viele Organisationen aufgrund von mangelnden finanziellen Mittel und technischen Kapazitäten viel zu spät erkennen.
Mit Cloud-basierter Sicherheitstechnologie lassen sich zusätzliche ATP-Ebenen einführen, indem sämtliche Mitarbeiter geschützt werden – egal ob sie im Büro oder remote arbeiten. Dabei funktioniert die Zscaler Cloud Sandbox im Gegensatz zur Lösung mit TAP-Modus inline: Der gesamte Datenverkehr wird innerhalb des Unternehmensnetzwerks auf verdächtige Dateien geprüft, die im Fall einer Kompromittierung aus dem Verkehr gezogen werden. Diese Vorgehensweise wird ebenso auf den SSL-Traffic angewendet.
Zusätzliche Sicherheit wird durch den permanent aktiven Zero-Day-Schutz, eine Ransomware-Abwehr sowie detailliertere Echtzeit-Sichtbarkeit von Malware-Verhalten erreicht. Eine umfassende Sicherheitslösung muss bekannte Bedrohungen aufhalten, Zero-Day-Angriffe in Echtzeit verhindern bzw. neue und sich weiterentwickelnde Bedrohungen vorhersehen und Organisationen davor schützen.
Zscaler bewahrt mit seinem Schutz vor komplexen Bedrohungen Organisationen vor Cyberangriffen.