Der Lebenszyklus eines Cyberangriffs – und wie Sie ihn unterbrechen können

Kennen Sie den Lebenszyklus einer Cyberattacke? Wissen Sie, wie in den einzelnen Phasen gegenzusteuern ist? Wir erläutern es Ihnen. – Inklusive konkreter Handlungsempfehlungen in Bezug auf technische und soziale Aspekte.

IT-Security-Spezialisten teilen den Lebenszyklus eines Hackerangriffs in 6 Phasen ein. Mit entsprechendem Know-How können Unternehmen gezielt während jedem Schritt gegensteuern. Wie das geht, erfahren Sie hier.

1. Ausspionieren & Infizieren: Spam, Phishing & Malware

Cyberkriminelle setzen bevorzugt Spam & Phishing-Methoden ein oder nutzen einfach zugängliche Daten aus Social-Media-Profilen von Mitarbeitern bzw. von der Website des Ziel-Unternehmens. Mit den extrahierten Infos versenden sie vermeintlich legitime E-Mails, in welchen der Mitarbeiter auf bösartige Links klicken oder einen infizierten Anhang öffnen soll, hinter den sich Malware versteckt. Damit suchen Hacker dann nach ausnutzbaren Schwachstellen in der IT-Infrastruktur des Unternehmens.

Ziel der Hacker: Alle nützlichen Informationen finden und sammeln.

Experten-Tipp: Unternehmen sollten diese Phase im Lebenszyklus einer Cyberattacke so durchbrechen:

• Sie können URL-Filter verwenden, um Hacker daran zu hintern, Social-Media- und Website-Infos zu manipulieren.
• Kontrollieren Sie den Netzwerk-Verkehrsfluss mithilfe von Intrusion-Detection-Systemen (IDS); verwenden Sie am besten innovative, hoch entwickelte NDR (Network Detection and Response) Systeme.
• Stoppen Sie die Attacke manuell oder automatisiert mit Intrusion-Prevention-Technologien, wie NDR, EDR, XDR, um Bedrohungen nicht nur zu erkennen, sondern z.B. Port-Scans und Host-Sweeps zu verhindern.

Lernen Sie die GATEWATCHER Lösungen für dieses Stadium kennen.

2. Vorbereitung & Auslieferung

In Phase 2 kommt z.B. Intruder-Code in Dateien und E-Mails zum Einsatz.

Ziel der Hacker: Auf Basis der in Phase 1, beim Auskundschaften, gewonnen Informationen Angriffsvektoren nutzen.

Experten-Tipp: Unternehmen sollten diese Phase im Lebenszyklus einer Cyberattacke wie folgt durchbrechen:

• Nutzen Sie eine Firewall, die Einblick in den gesamten Datenverkehr gibt und alle Hochrisiko-Anwendungen abblockt.
• Kombinierte Maßnahmen zur Bedrohungsabwehr wie IPS, DNS-Überwachung, -Sinkhole sind in der Lage, bekannte Exploits, Malware und eingehende Command-and-Control-Kommunikation abzuwehren.
• Ergänzen Sie diese Maßnahmen durch eine cloudbasierte Malware-Analyse im Netzwerk und einer Sandbox.

Erfahren Sie mehr über die GATEWATCHER Lösungen für dieses Stadium:

• CTI – Cyber Threat Intelligence
• Sandbox – AIONBYTES

3. Exploitation

Sobald Hacker auf das Netzwerk zugreifen können, sind sie in der Lage, weitere Expoits zu aktivieren und die Zielsysteme unter ihre Kontrolle zu bringen.

Ziel der Hacker: Bösartigen Schadcode in das IT-System schleusen.

Experten-Tipp: Unternehmen sollten diese Phase im Lebenszyklus einer Cyberattacke wie folgt durchbrechen:

• Nutzen Sie Endpoint-Technologien (EDR), um bekannte & unbekannte Schwachstellen-Exploits zu blocken.
• Nutzen Sie Sandboxing. Über diese Bedrohungserkennung (automatisch & global) verhindern Sie so Folgeangriffe auf andere Organisationen.
• Außerdem kann der Zugriff auf eine dynamische Malware-Analyse-Cloud sinnvoll sein.

Erfahren Sie mehr über die GATEWATCHER Lösungen für dieses Stadium.

4. Installation

In dieser Phase im Lebenszyklus eines Cyberangriffs führt der Angreifer privilegierte Operationen durch, etabliert Rootkits und nistet sich dauerhaft im IT-Infrastruktur der Organisation ein.

Ziel der Hacker: Erlangen der privilegierten Rechte auf das System.

Experten-Tipp: Unternehmen sollten diese Phase im Lebenszyklus einer Cyberattacke wie folgt durchbrechen:

• Greifen Sie auf Endpoint-Protection-Technologien zurück, um lokale Exploits zu verhindern, die zu Privilege Escalations und Passwortdiebstahl führen können.
• Nutzen Sie eine State-of-the-Art Firewall, mit aktiver Mikro-Segementierung und strikter Benutzer-Zugriffskontrolle und kontinuierlicher Überwachung des Datenverkehrs zwischen den segmentierten Zonen, um das seitliche (laterale) ausbreiten von Schadcode oder Angreifern stark einzugrenzen und kontrollieren zu können.

5. Command & Control

Jetzt sorgen Hacker dafür, dass es einen Back Channel zum Server gibt. So können Daten zwischen infizierten Geräten und diesem ausgetauscht und das Zielsystem kontrolliert werden.

Ziel der Hacker: Sicherung des Zugangs und Fernsteuerung des IT-Systems.

Experten-Tipp: Unternehmen sollten diese Phase im Lebenszyklus einer Cyberattacke wie folgt durchbrechen:

• Blocken Sie ausgehende Command-and-Control-Kommunikation.
• URL-Filterung ist in der Lage, die Kommunikation mit bekannten bösartigen URLs zu verhindern.
• Leiten Sie Outbound-Kommunikation zu internen Honeypots um, damit kompromittierte Hosts erkannt und blockiert werden können.

Erfahren Sie mehr über die GATEWATCHER Lösungen für dieses Stadium.

6. Aktivitäten am Angriffsziel

Ziel der Hacker: Geplante weitere Aktivitäten ausführen.

In der letzten Stufe im Lebenszyklus einer Cyberattacke manipulieren und übernehmen Cyberkriminelle das unternehmenseigene Netzwerk. – Beispielsweise zur Datenextraktion, zur Zerstörung kritischer IT-Infrastrukturen, um Spam E-Mails zu versenden oder schlicht, um das Unternehmen zu erpressen.

Experten-Tipp: Unternehmen können diese Phase im Lebenszyklus einer Cyberattacke wie folgt durchbrechen:

Unternehmen, die eine feingliedrige Anwendungs- und Benutzerüberwachung haben, können Dateiübertragungs-Richtlinien durchsetzen. Dies verhindert bekannte Archivierungs- und Übertragungstaktiken und begrenzt die Freiheit der Hacker, sich mit Tools und Skripten seitlich im Netzwerk zu bewegen.

Und wenn es doch zu einem Hackerangriff gekommen ist oder Sie vermuten, dass sich Angreifer in Ihren Netzwerken befinden?

Wenden Sie sich an GATEWATCHER. Wir begleiten Sie zielgerichtet durch die einzelnen Phasen, geben Ihnen dezidiertes Wissen und die notwendigen Werkzeuge an die Hand, mit denen sie pro-aktiv vorsorgen und souverän reagieren können. Vor, während und nach einem Angriff.