Wie funktioniert die "Advanced Threat Detection" (ATD)?

Die Basis für ATD bilden Gemeinsamkeiten und Methoden von Advanced Persistent Threats (APTs). Im Gegensatz zu weit verbreiteter Malware, sind APTs deutlich komplexere und zielgerichtetere Angriffe auf Organisationen und haben in der Regel einen hohen Aufwand für den Angreifer sowie einen wochen-,monate- oder sogar jahrelangen Zeithorizont.

ATD verwendet verschiedene Arten an Analysen. Zu diesen zählen:

  • Erkennung von versteckten Kanälen zur Steuerung der Malware sowie zur Datenexfiltration
  • Blacklisting und Domain Generation Algorithm (DGA)
  • Virtuelle Tunnel (Verkapselungen, VPN, etc.)
  • Häufigkeits- und Verhaltensanalysen sowie signaturbasierte Detektion
  • Erkennung von verbotenen verschlüsselten Kommunikationsverbindungen
  • Analyse von Standardprotokollen auf versteckten Kanälen

APTs folgen einem bestimmten Muster. Im Folgenden wird gezeigt, an welchen Stellen dieses Musters die ATD und weitere Module eingreifen bzw. Auffälligkeiten erkennen:

  1. Informationsbeschaffung (Scans, Social Engineering) → Anomalie-Erkennung
  2. Infektion (Schwachstellen, Fehlkonfiguration) → Automatisierte Lageberichte
  3. Versteckte Kommunikation → ATD
  4. Laterale Ausbreitung → ATD, Anomalie-Erkennung
  5. Datenzugriff am Ziel / Datenexfiltration → ATD, Anomalie-Erkennung

Zurück