THOR findet Tools, die sowohl Hacker als auch Administratoren einsetzen. Diese werden von Virenscannern oft nicht erkannt.
IT-forensisches Know-how und die Korrelation verschiedener Indikatoren sind für die Erkennung eines komplexen Advanced Persistent Threats entscheidend. Ein fehlender Patch in einem Webserver löst keinen Alarm aus. Admin-Tools auf einem Webserver sind nicht ungewöhnlich. Aber Admin-Tools auf einem Webserver in einem untypischen Verzeichnis, kombiniert mit einem fehlenden Patch und Eventlogs, die auf die Deaktivierung von Sicherheitsdiensten hinweisen: Diese Korrelation lässt auf einen Hackerangriff schließen. Erkannt wird er vom APT Scanner THOR.
THOR findet Tools, die sowohl Hacker als auch Administratoren einsetzen. Diese werden von Virenscannern oft nicht erkannt.
THOR erkennt auch Verbindungen zu risikobehafteten Webadressen in Logdteien.
THOR registriert Anomalien in Benutzerkonten, beispielsweise Anmeldungen zu ungewöhnlichen Zeiten.
THOR erkennt Versuche, Anwendungen zu installieren, Virenscanner zu deaktivieren und die Löschung von Protokollen.
Eine zeitgemäße Security Strategie geht heute davon aus, dass Cyber Angreifer in jedes Unternehmensnetz gelangen. Es gibt immer eine Schwachstelle in der Software oder einen unzureichend gesicherten Server. Oder Anwender, die ihre PCs über bösartige E-Mail Anhänge oder schadhafte Inhalte auf USB-Sticks infizieren. Haben sie erst einmal einen Zugang gefunden, bewegen sich professionelle APT Angreifer geschickt unter dem Radar herkömmlicher Sicherheitssysteme. Virenscanner können APTs nur schwer erkennen, weil die Hacker beispielsweise dieselben Tools wie Administratoren verwenden. Auch Intrusion Detection Systeme schlagen oftmals nicht an, weil die Angreifer keine Anomalien erzeugen.
Mit einer Defense-in-Depth-Strategie können Sie Ihr Unternehmen besser vor Advanced Persistent Threats schützen. Getreu dem Paradigma “Assume Compromise” bauen Sie in Ihrem Unternehmen einen Schutzwall mit mehreren Verteidigungslinien auf. Die Schutzmaßnahmen beziehen Menschen, Prozesse und Technologien mit ein. Die Defense-in-Depth-Strategie erstreckt sich über drei Phasen:
Zu diesen Maßnahmen zählen Themen wie Antivirus, UTM-Firewalls, Netzwerksegmentierung, Härtung von Systemen und Anwendungen sowie die Sensibilisierung von Anwendern, Administratoren und Entwicklern mit Hilfe von Security Awareness Trainings.
Die Früherkennung von Cyber-Angriffen (Advanced Persistent Threat Detection) ist ein entscheidender Faktor. Hier helfen Ihnen unter anderem Intrusion Prevention Systeme (IPS), Security Information and Event Management Systeme (SIEM) für das Monitoring sowie der APT THORScanner.
In diese Phase fallen IT-forensische Analysen, die Einleitung von Sofortmaßnahmen, sowie die Bereinigung kompromittierter Systeme.