Advanced Persistent Threats: Verteidigung von

WHITE PAPER
Zielgerichtete Angriffe | Juli 2012
Advanced
Persistent Threats:
Verteidigung
von Innen gegen
Angriffe von Außen
Russell Miller
CA Technologies, Security Management
agility
made possible™
Zielgerichtete Angriffe
Inhaltsverzeichnis
Kurzfassung
3
Abschnitt 1: Ausgangssituation
4
Advanced Persistent Threats:
Kein „Business as usual“
ABSCHNITT 2: Chancen
7
Defense-in-Depth
Abschnitt 3: Nutzen
14
Risiken mindern
ABSCHNITT 4: Schlussbemerkungen
14
ABSCHNITT 5: Literaturhinweise
15
ABSCHNITT 6: Informationen
über den Autor
16
Zielgerichtete Angriffe
Kurzdarstellung
Ausgangssituation
Eine Organisation zu schützen wird zunehmend schwieriger. Die Angriffe werden immer komplexer und
durch das Aufkommen der Advanced Persistent Threats (APTs), einer Art zielgerichteter Angriffe, sind
sich mehr Organisationen über ihre Schwachstellen im Klaren. Unternehmen wie RSA Security, Google
oder Northrup Grumman waren Ziel von APT-Angriffen. Für Unternehmen, die bisher nicht Ziel
derartiger Angriffe waren, gibt es ebenfalls keine Garantien für die Zukunft, da Organisationen im Visier
von APTs Herausforderungen zu bewältigen haben, denen Sicherheitsadministratoren normalerweise
nicht gegenüberstehen, etwa das Sperren von Aktionen über einen Zeitraum von Monaten oder Jahren,
um eine Erkennung zu vermeiden. Die durch Angriffe verursachten Schäden stellen immer handfestere
Herausforderungen für Führungskräfte dar.
Chancen
Gegen APTs gibt es keine Wunderwaffe. Mehrstufige Schutzmaßnahmen müssen implementiert werden,
um sowohl die potenzielle Gefahr eines Sicherheitsverstoßes zu verringern als auch den Schaden zu
mindern, falls es zu einem Angriff kommt.
Ursprünglich war der Ansatz gegen gezielte Angriffe das Sichern des Perimeters mit Hilfe von Firewalls
und Intrusion Detection-Systemen, mit denen anomales Verhalten erkannt und unterbunden werden
sollte. Dieser Ansatz bietet Schutz gegen bestimmte Angriffe, hilft aber nicht im Falle aller
Angriffsvektoren wie Spear Phishing und Social Engineering.
Kein punktuell ansetzendes Sicherheitsprodukt, ob nun technologiebasiert oder nicht, bietet einer
Organisation umfassenden Schutz vor APTs, aber die modernen domainübergreifenden Sicherheitslösungen
helfen Organisationen dabei, sich besser denn je zu schützen. Privileged Identity Management, Schutzund Kontrollmechanismen für Informationen und Sicherheit der internen Infrastruktur sind Bereiche,
die traditionell in Silos gesehen wurden, nun aber kombiniert werden, um Organisationen in die Lage zu
versetzen, ihre IT-Infrastruktur und Rechenzentren ergänzend zu schützen. CA Technologies bezeichnet
dies als „Identity and Data Intelligence“.
Nutzen
Durch die Kenntnisse zu und den Schutz vor Advanced Persistent Threats können Organisationen ihre
Risiken für den Fall mindern, dass sie Ziel eines Angriffs werden. Bei den Risiken, die so verringert
werden, handelt es sich nicht nur um finanzielle Risiken, sondern auch um eine mögliche Rufschädigung
sowie betriebliche, rechtliche und regulatorische Risiken.
Mit Hilfe einer ganzheitlichen Ansicht der möglichen Sicherheitsmaßnahmen gegen APTs kann eine
Organisation sich auch gegen weniger ausgeklügelte, automatisierte und sogar interne Angriffen
schützen. Ein umfassender Sicherheitsansatz hat zudem viele weitere Vorteile, einschließlich verbesserter
Compliance, die Cloud-basierte Services unterstützen, die Virtualisierungssicherheit erhöhen und
Kosteneinsparungen ermöglichen.
3
Zielgerichtete Angriffe
Abschnitt 1: Ausgangssituation
Advanced Persistent Threats: Kein „Business
as usual“
Advanced Persistent Threats stellen eine Herausforderung dar, die sich deutlich von denen herkömmlicher
Sicherheitsrisiken unterscheidet. Das Ponemon Institute schätzt, dass die damit einhergehenden
durchschnittlichen Kosten im Jahr 2011 bei 5,5 Millionen Dollar lagen,1 sodass sich inzwischen selbst
hochrangige Führungskräfte intensiv mit Sicherheitsverstößen auseinandersetzen.
Definition
Der Begriff „Advanced Persistent Threat“ beschreibt einen langfristigen, ausgeklügelten und
zielgerichteten Angriff, bei dem eine spezifische Entität angegriffen wird. Der Angreifer handelt häufig
im Auftrag eines Staates und hat es auf wertvolle Informationen anderer Regierungen abgesehen.
Die Angriffe können aber auch auf privatwirtschaftliche Organisationen durch Angreifer ohne politische
Motivation erfolgen. Der Begriff wurde erstmals 2006 von der US-Luftwaffe verwendet.2
Das National Institute of Standards and Technology (NIST) definiert APTs folgendermaßen:3
„Ein Advanced Persistent Threat ist ein feindlicher Angriff mit einem hohen Maß an Fachkenntnissen/
Ressourcen, der durch Nutzung unterschiedlicher Angriffsvektoren (z. B. auf Cyber- und physischer
Ebene sowie durch Täuschung) Möglichkeiten eröffnet, die mit ihm angestrebten Ziele zu erreichen.
Dabei geht es üblicherweise darum, sich Zugang zur IT-Infrastruktur von Organisationen zu verschaffen
und sich dort festzusetzen, um fortlaufend Informationen auszufiltern und/oder entscheidende Aspekte
einer Mission, eines Programms oder einer Organisation zu unterlaufen oder zu behindern, oder eine
Ausgangssituation zu schaffen, die dies in Zukunft ermöglicht. Darüber hinaus werden die Ziele des
Advanced Persistent Threat-Angriffs über einen langen Zeitraum verfolgt, dabei wird der Angriff an die
Verteidigungsstrategien angepasst, mit denen er abgewehrt werden soll, und es wird entschlossen
angestrebt, die zur Umsetzung der Ziele erforderliche Interaktionsebene beizubehalten.“
Es mag unterschiedliche Definitionen des Begriffs geben, aber die drei Wörter, aus denen er sich
zusammensetzt, veranschaulichen, worum es geht:4
•Advanced: Der Angreifer verfügt über technische Kenntnisse auf hohem Niveau, die es ihm
ermöglichen, die Schwachstellen der Organisation auszunutzen, auf die er es abgesehen hat. Dazu
können beispielsweise der Zugriff auf umfassende Schwachstellendatenbanken und Exploits sowie
Programmierkenntnisse zählen. Außerdem ist er möglicherweise in der Lage, bisher unbekannte
Schwachstellen aufzudecken und auszunutzen.
•Persistent: APTs ziehen sich über einen langen Zeitraum hin. Im Gegensatz zu kurzfristigen Angriffen,
bei denen die „Gunst der Stunde“ genutzt wird, erfolgt der Angriff im Falle von APTs über Jahre hinweg.
Dabei werden unterschiedliche Angriffsvektoren angewendet – von internetbasierten Angriffen bis hin
zu Social Engineering. Dabei können mehrere kleinere Sicherheitsverstöße kombiniert werden,
die über einen längeren Zeitraum erfolgen, um Zugriff auf wichtigere Daten zu erlangen.
•Threat: Voraussetzung für eine Bedrohung ist ein Angreifer mit der nötigen Motivation und den
erforderlichen Fähigkeiten und Mitteln zur Durchführung eines erfolgreichen Angriffs.
Der Einsatz ausschließlich automatisierter Tools gilt noch nicht als APT, auch wenn diese von einer
organisierten und koordinierten Gruppe im Rahmen eines größeren Angriffs verwendet werden.
Im Falle größerer Organisationen waren 50 % aller Angriffe im Jahr 2011 zielgerichtet,
dabei wurden 64 % der insgesamt gestohlenen Informationen erbeutet.5
4
Zielgerichtete Angriffe
Phasen
Ein typischer APT-Angriff erfolgt in vier Phasen:
Abbildung A.
Die vier Phasen eines
Advanced Persistent
Threat
1.Auskundschaften: Die Schwachstellen einer Organisation werden ausgemacht. Dabei kann
es sich um grundlegende Recherchen wir Domainabfragen handeln, aber auch um Port- und
Schwachstellenscans.
2.Erstmaliger Zugriff: Dabei werden Schwachstellen ausgenutzt, um einen Fuß in die Tür des
betreffenden Netzwerks zu bekommen. Dies kann mit Hilfe ausgefeilter Techniken erfolgen oder
mit Methoden wie Spear Phishing (zielgerichtete Phishing-Angriffe), die darauf abzielen, über ein
normales Benutzerkonto Zugriff auf ein einzelnes System zu erlangen. Die Angreifer verschaffen
sich dabei häufig per Social Engineering Zugriff, indem Mitarbeiter manipuliert werden.
3.Erhöhen von Berechtigungen und Ausweiten der Kontrolle: Sobald ein Angreifer in den
Netzwerkperimeter eingedrungen ist, versucht er, höhere Berechtigungen und die Kontrolle über
kritische Systeme zu erlangen. Im Zuge dessen werden möglicherweise auch Backdoor-Tools
installiert, die künftige Zugriffe auf das Netzwerk erleichtern.
4.Kontinuierliches Ausnutzen von Schwachstellen: Sobald der Angreifer die Kontrolle erlangt hat,
exportiert er unter Umständen kontinuierlich sensible Daten.
Die dritte und vierte Phase ziehen sich möglicherweise über Jahre hin. So mindern die Angreifer das
Risiko, erkannt zu werden.
Was ist das Besondere an APTs?
Der entscheidende Unterschied zwischen APTs und „normalen“ Bedrohungen liegt in der Ausrichtung
des Angriffs auf eine bestimmte Organisation. Die Verteidigung „des Perimeters“ und die
standardmäßigen Sicherheitsvorkehrungen helfen Organisationen zwar bei Standardangriffen, reichen
jedoch im Fall von APTs nicht aus. Geduldige Angreifer warten, bis sich neue Schwachstellen ergeben
oder nutzen eine Reihe vermeintlich geringfügigerer Schwachstellen aus, um einen großen,
schwerwiegenden Angriff durchzuführen.
Angesichts einer derartigen Bedrohung greifen die üblichen Regeln nicht. In der Vergangenheit
benötigten viele Organisationen lediglich bessere Sicherheitsvorkehrungen als andere mit dem Internet
verbundene Organisationen und Unternehmen, da die meisten Angreifer sich auf einfachere Ziele
konzentrierten. Bei APTs hingegen müssen sich die Organisationen gegen motivierte Angreifer
verteidigen, die sich bei der Suche nach Schwachstellen Zeit lassen, anstatt sich einem anderen Ziel
zuzuwenden.
Zudem erschwert der Zeitraum, über den APTs erfolgen, die Erkennung der Angriffe. Bei einem
standardmäßigen Sicherheitsverstoß werden in kurzer Zeit große Datenmengen exportiert, wodurch
der Angriff von Firewalls und Intrusion Detection-Systemen erkannt werden kann. Im Falle eines
APT-Angriffs nimmt sich der Angreifer Monate oder sogar Jahre Zeit, um die gewünschten Daten zu
exportieren, und setzt dabei umfassende und gut konfigurierte Systeme außer Gefecht.
5
Zielgerichtete Angriffe
Die Ziele der Angreifer
Im Visier der Angreifer
Da die Angriffe zielgerichtet sind, haben die Täter bei
APTs häufig andere Ziele als gewöhnliche Hacker und
konzentrieren sich daher auf folgende Aspekte, anstatt
auf einfachen Datendiebstahl und Sachschäden:
Bestimmte Organisationen sind stärker gefährdet,
da APTs oft politisch motiviert sind und im Auftrag
von Staaten erfolgen:
• Politische Manipulation
• Verteidigungsorganisationen und deren
Auftragnehmer
• Militärspionage
• Wirtschaftsspionage
• Behörden
• Kritische Infrastruktursysteme (z. B. öffentliche
Versorgungsunternehmen und Kommunikationsund Transportsysteme)
• Technische Spionage
• Finanzielle Erpressung
• Politische Organisationen
• Finanzinstitute
• Technologieunternehmen
Beispiele
RSA
2011 gab RSA Security bekannt, Opfer eines APT-Angriffs geworden zu sein6. Die Angreifer verschafften
sich erstmalig Zugriff, indem sie einen internen Benutzer dazu brachten, eine E-Mail mit einer
Kalkulationstabelle als Anhang zu öffnen, die eine Zero-Day-Schwachstelle in Adobe Flash ausnutzte.
Anschließend erhöhten die Angreifer ihre Berechtigungen, installierten Backdoors und erlangten die
Kontrolle über weitere Systeme.
Den Angreifern ist es gelungen, auf RSA-Systeme zuzugreifen, auf denen Informationen zu den Tokens
für die Zwei-Faktor-Authentifizierung, SecurID genannt, gespeichert waren. Diese Informationen
beinhalteten unter Umständen Seed-Werte, die RSA im Zusammenhang mit seinen Tokens verwendet,
um Einmal-Passwörter zu generieren, die alle 60 Sekunden geändert werden. Wäre der Quellcode
gestohlen worden, hätten die Angreifer in der SecurID-Implementierung oder sogar in der Verschlüsselung
selbst nach Schwachstellen suchen können.
Operation Aurora
Operation Aurora war ein APT-Angriff, der auf mehrere große Unternehmen abzielte, darunter Google,
Adobe, Rackspace und Juniper Networks. Medienberichten zufolge waren möglicherweise noch viele
weitere Unternehmen wie Yahoo, Northrup Grumman, Morgan Stanley, Symantec und Dow Chemical
betroffen.7 Es wird davon ausgegangen, dass die Angriffe im Auftrag der chinesischen Regierung im
Rahmen einer groß angelegten Kampagne gegen die USA und andere westliche Staaten erfolgten.8
APTs lassen sich nur schwer erkennen. Laut dem Verizon-Bericht „Data Breach
Investigations“ von 2012 wurden 92 % aller Organisationen und 49 % aller
großen Organisationen, die Sicherheitsverstöße feststellten, darauf von außen
aufmerksam gemacht.9
6
Zielgerichtete Angriffe
Abschnitt 2: Chancen
Defense-in-Depth
Der Schlüssel zur Verteidigung gegen Advanced Persistent Threats ist eine mehrschichtige
Verteidigungsstrategie („Defense in Depth“). Ein entschlossener Angreifer, dem ausreichend Zeit zur
Verfügung steht, kann in fast alle Netzwerkperimeter eindringen. Folgende Aspekte machen eine
erfolgreiche Verteidigung aus:
1.Erschweren des erstmaligen Zugriffs
2.Verringern des Potenzials einer Berechtigungseskalation für den Fall, dass ein Konto missbraucht
wurde
3.Begrenzen des mit dem Kontomissbrauch verbundenen Schadens, auch wenn es sich um ein Konto
eines privilegierten Benutzers handelt
4.Frühzeitiges Erkennen gefährdeter Konten und verdächtiger Aktivitäten
5.Sammeln von Informationen für juristische Untersuchungen , um feststellen zu können, welcher
Schaden entstanden ist, wann und durch wen
Das Sichern des Perimeters mit Hilfe von Firewalls und Intrusion Detection-Systemen an der
Netzwerkgrenze hilft nur in Hinblick auf die erste und vierte Verteidigungsmaßnahme! Hier ist eine
aktivere Schutzstrategie erforderlich.
Frühzeitige Erkennung
Sicherheitsverstöße werden häufig erst erkannt, nachdem der Angreifer Zugriff auf ein internes Netzwerk
erlangt, Schäden verursacht und große Datenmengen gestohlen hat. Dann geht mit der APT-Verteidigung
ein kostspieliger Schadensbegrenzungs-, Bereinigungs- und kontinuierlicher Überwachungsprozess
einher. Der Schlüssel zu einem erschwinglichen und verwaltbaren Schutz vor APTs liegt in der Erkennung
der Bedrohung zum frühestmöglichen Zeitpunkt. In der Anfangsphase des Angriffs, wenn sich der
Angreifer erstmals Zugang zum Netzwerk verschafft, kann eine Organisation unterschiedliche
Maßnahmen ergreifen, um den Sicherheitsverstoß zu erkennen, etwa das Entkoppeln und Auslagern
von Systemsicherheit und Systemverwaltung, das Verhindern und Erkennen von versuchter
Berechtigungseskalation und unautorisierter Verwendung von Berechtigungen, sowie das Auditing und
Erfassen von Benutzeraktivitäten außerhalb der Betriebssystemprotokolle (dem Angreifer sind diese
Auditing- und Erfassungsmaßnahmen möglicherweise nicht bekannt).
Privileged Identity Management, Schutz- und Kontrollmechanismen für Informationen und Sicherheit
der internen Infrastruktur bilden neben einer frühzeitigen Erkennung den Kern einer tiefgreifenden
Verteidigung gegen APT-Angriffe. Diese Methoden werden in den folgenden Abschnitten ausführlicher
beschrieben.
Privileged Identity Management
Mit Privileged Identity Management-Tools (PIM) werden Administratorkonten verwaltet und überwacht,
beispielsweise „Administrator“ unter Windows und „root“ unter UNIX und Linux. PIM-Systeme:
•Implementieren des Prinzips der „minimalen Rechte“, auch für Administratorkonten
•Verwalten des Zugriffs auf gemeinsam genutzte Konten mit Hilfe von Funktionen zur Verwaltung
privilegierter Benutzer
•Nachverfolgen von Benutzeraktivitäten, um die Zurechenbarkeit sicherzustellen und die Untersuchung
im Falle eines Sicherheitsverstoßes zu unterstützen
7
Zielgerichtete Angriffe
Minimale Zugriffsrechte
Alle Benutzer sollten nur über genau die Zugriffsrechte verfügen, die sie benötigen, um ihre Aufgaben zu
erfüllen. Dieses Konzept wird zwar von den meisten Organisationen verstanden, viele scheitern jedoch
an der Implementierung, insbesondere im Falle von Administratorkonten. Personen, die bestimmte
erhöhte Zugriffsrechte benötigen, erhalten üblicherweise ein Passwort für das entsprechende
Administratorkonto, das von mehreren Benutzern gemeinsam genutzt wird.
Organisationen müssen in Hinblick auf die zunehmende Bedeutung von APTs erkennen, dass der
privilegierte Zugriff nicht nach dem Motto „ganz oder gar nicht“ geregelt werden muss. Es besteht die
Möglichkeit, einzelnen Benutzern Zugriff mit erhöhten Berechtigungen zu gewähren, sodass sie ihre
spezifischen Aufgaben erfüllen können. In der Vergangenheit wurde dies unter UNIX- und LinuxSystemen mit Hilfe des sudo-Tools erreicht, aber mit modernen Tools für die Zugriffssteuerung kann
der Zugriff für UNIX- und Windows-Systeme zentral gewährt und verweigert werden.
Sicherheitsmodell: Entkoppeln der Sicherheit von der Systemverwaltung
Ein typisches Betriebssystem weist ein zweischichtiges Sicherheitsmodell auf: die Unterteilung in
privilegierte Benutzer und normale Benutzer. Zum Schutz gegen APTs ist jedoch ein ausgeklügelteres
Modell erforderlich. Dieses Modell basiert auf den standardmäßigen Sicherheitsgrundsätzen der
„minimalen Rechte“ und der Aufgabentrennung. Es sollten mindestens drei grundlegende
Administratorrollen definiert werden:
•Systemadministrator: Der Administrator des Systems sollte über die Berechtigungen für
die Durchführung der erforderlichen Serversoftwareupdates, Konfigurationsänderungen und
Softwareinstallationen verfügen. Systemadministratoren sollten keine Änderungen an kritischen
Sicherheitseinstellungen vornehmen oder sicherheitsbezogene Protokolle einsehen können.
•Sicherheitsadministrator: Diese Administratoren sollten in der Lage sein, Sicherheitseinstellungen
und -konfigurationen zu aktualisieren und zu ändern und sicherheitsbezogene Protokolldateien
anzuzeigen. Sicherheitsadministratoren sollten keine Software installieren und nicht auf sensible
Daten in einem System zugreifen können.
•Auditor: Auditoren müssen Sicherheitseinstellungen und Protokolldateien anzeigen können,
sie sollten jedoch keine Änderungen am System vornehmen können. Wenn der Zugriff auf sensible
Daten erforderlich ist, sollte es sich immer nur um Lesezugriff handeln.
Weitere Administratortypen sollten nach Bedarf erstellt werden, beispielsweise Datenbankadministratoren
oder Administratoren für spezielle sensible Anwendungen.
Mit Verwendung eines mehrschichtigen Sicherheitsmodells werden gleichzeitig zwei Ziele erreicht:
Es schützt vor Insider-Bedrohungen durch interne Administratoren, indem die Aktivitäten einzelner
Benutzer beschränkt werden, und erschwert externen Angreifern die Durchführung von APTs. Anstatt
lediglich ein Superuser-Konto missbrauchen zu müssen, benötigen die Angreifer jetzt Zugriff auf
mehrere Konten, um umfassenden Zugang zu einem System zu erlangen.
Fein abgestufte Kontrollen
Fein abgestufte Kontrollen gehören nicht nur zu den Best Practices in puncto Sicherheit, sie sind auch
besonders nützlich, wenn es darum geht, die durch APTs verursachten Schäden zu mindern. Sobald
Angreifer administrative Berechtigungen erlangen, installieren sie normalerweise Backdoor-Rootkits
und beginnen mit dem Export sensibler Daten. Mit einer geeigneter Zugriffssteuerung kann selbst ein
Angreifer mit erhöhten Zugriffsberechtigungen nur eingeschränkt handeln und vom Zugriff auf sensible
Dateien, der Ausführung bösartiger Befehle, der Installation von Programmen, dem Beenden oder
Starten von Services oder dem Ändern von Protokolldateien abgehalten werden. Im Fall eines Systems
mit fein abgestuften Kontrollen muss ein Angreifer mehrere Konten missbrauchen, um zu erreichen,
wofür zuvor nur ein Konto erforderlich war.
8
Zielgerichtete Angriffe
Durch die Implementierung einer fein abgestuften Zugriffssteuerung können auch die Risiken in Hinblick
auf die größte Sicherheitsschwachstelle in einer Organisationen gemindert werden: die Mitarbeiter.
Mit Hilfe von Social Engineering können Angreifer Mitarbeiter und andere Insider überlisten,
sodass diese Informationen preisgeben, die den Zugriff auf ihre Konten oder die Offenlegung von
Sicherheitsschwachstellen ermöglichen. Durch Beschränken des Zugriffs auf kritische Systeme und
Daten von Mitarbeitern kann der Schaden gemindert werden, den ein Angreifer verursacht, der durch
Social Engineering Zugriff auf Konten erlangt.
Management gemeinsam genutzter Konten
Management gemeinsam genutzter Konten (oder Passwortmanagement für privilegierte Benutzer) ist
eine wesentliche Verteidigungsmaßnahme gegen APTs. Das Erlangen des Zugriffs auf Benutzerkonten
mit erhöhten Berechtigungen (häufig durch Berechtigungseskalation) ist ein entscheidender
Zwischenschritt bei fast allen erfolgreichen Angriffen. Tools für das Passwortmanagement für
privilegierte Benutzer sollten Folgendes können:
•Sicheres Speichern verschlüsselter Passwörter
•Richtliniengemäßes Verwalten von Passwortkomplexität und regulären automatisierten Änderungen
•Beschränken des Zugriff auf Administratorkonten, indem verlangt wird, dass alle Zugriffe über ein
zentrales Portal erfolgen
•Verwenden von Funktionen zur automatischen Anmeldung, sodass selbst autorisierte Benutzer nicht
die Passwörter für privilegierte Konten kennen
•Ermöglichen des Notfallzugriffs auf Konten, für den zusätzliche Kontrollen gelten und Genehmigungen
erforderlich sind
•Unterbinden der Verwendung fest codierter Passwörter aus Scripts (die häufig in Klartext gespeichert
werden und von einem bösartigen Benutzer gestohlen werden könnten)
Diese Funktionen verhindern nicht nur, dass Passwörter gemeinsam genutzt werden, sondern auch, dass
Passwörter aus persönlichen Passwortdateien oder mit Hilfe von Keyloggern gestohlen werden. Indem
verlangt wird, dass alle Anmeldungen von privilegierten Benutzern über einen zentralen Proxy erfolgen,
kann eine Organisation im Falle eines Sicherheitsverstoßes alle Anmeldungen und Aktivitäten
nachverfolgen und so eine entsprechende Untersuchung erleichtern und den potenziellen Schaden
eindämmen.
Reporting der Benutzeraktivitäten
Nachvollziehen zu können, welche Aktivitäten von privilegierten Benutzern durchgeführt werden,
spielt bei der Erkennung von APTs und der Schadensminderung im Falle eines erfolgreichen ersten
Angriffs eine entscheidende Rolle. Grundsätzlich sind APTs mit dem Export erheblicher Datenmengen
verbunden. Diese Vorgänge können mit Hilfe geeigneter Mittel erkannt werden. Mit Protokollen
der Benutzeraktivitäten lässt sich nachvollziehen, welche System- und Benutzeraktivitäten auf
welchem System oder Netzwerkgerät stattfinden. So können Richtlinienverstöße ausgemacht und
Sicherheitsverletzungen untersucht werden.
Bestimmungen wie HIPAA, CA SB 1386 und die zahllosen bundesweiten Vorschriften für Benachrichtigungen bei Datenkompromittierungen verlangen, dass eine Organisation die von Sicherheitsverstößen
betroffenen Personen oder Organisationen darüber informieren. Protokolle der Benutzeraktivitäten
können zur Untersuchung von Sicherheitsverletzungen herangezogen werden. So können nicht nur die
Verantwortlichen ausgemacht werden, sondern es lässt sich auch nachvollziehen, was vorgefallen ist,
sodass die internen Kontrollen entsprechend verbessert und Prozesse optimiert werden können.
9
Zielgerichtete Angriffe
Tools für das Reporting von Benutzeraktivitäten sollten Folgendes können:
•Erfassen aller:
¬¬ Anmeldungen, insbesondere für privilegierte und gemeinsam genutzte Konten, einschließlich der
Quell-IP, der ursprünglichen Benutzer-ID, mit der der Zugriff auf ein gemeinsam genutztes Konto
erfolgt ist, sowie der Uhrzeit und des Datums der An- und Abmeldung
¬¬ Aktivitäten gemeinsam genutzter Konten bis zurück zur ursprünglichen Benutzer-ID
¬¬ Befehle, egal ob diese an der Befehlszeile oder über die GUI eingegeben wurden
•Erkennen anomalen Verhaltens:
¬¬ Identifizieren verdächtiger Aktivitäten und Generieren von Warnungen
¬¬ Bereitstellen einer Funktion für die Zuordnung von Protokolldateien, die es ermöglichen,
Benutzeraktivitäten einzelnen Personen zuzuordnen, indem Analysen komplexer Muster in
Prüfprotokollen durchgeführt werden
•Untersuchen von Sicherheitsverstößen:
¬¬ Nachweisen, wer in einer Umgebung mit gemeinsam genutzten Konten welche Aktionen
ausgeführt hat
¬¬ Bereitstellen visueller Tools für die Protokollanalyse mit Drilldownfunktionen, mit denen
die Untersuchung von Benutzer- und Ressourcenaktivitäten sowie die Identifizierung von
Richtlinienverstößen beschleunigt werden können
Im Falle eines Sicherheitsverstoßes können Organisationen mit Hilfe dieser Funktionen Folgendes
nachvollziehen:
•Wie ein Angreifer Zugriff auf ein Konto erlangen konnte
•Was der Angreifer unter Verwendung des Kontos getan hat und welchen Schaden er dabei verursacht hat
•Wie künftige Angriffe verhindert werden können, die mit Hilfe derselben oder ähnlicher Methoden
durchgeführt werden
•Wer möglicherweise der Angreifer war und woher er kam
•Welche Informationen an die entsprechenden Behörden weitergeleitet werden müssen
Unbedingt zu beachten ist, dass auch die Protokolle selbst vor dem Zugriff durch Administratoren
geschützt werden müssen. Privilegierte Benutzer können bestimmen, wo Protokolle lokal auf Systemen
gespeichert werden, und sie können die in der Organisation gültigen Auditing-Richtlinien herausfinden.
Sie können ihre Spuren verwischen, indem sie Datensätze in den Protokolldateien löschen, da sie
umfassenden Zugriff auf das System haben, falls keine fein abgestufte Zugriffssteuerung implementiert
wurde. Organisationen sollten Protokolle an einem Remote-Standort speichern, auf den diese
privilegierten Benutzer keinen Zugriff haben, und zudem überwachen, ob versucht wird, die lokalen
Protokolldateien systemübergreifend zu löschen.
Schutz und Kontrolle von Informationen.
Im Falle eines APT ist das letztliche Ziel des Angriffs der Diebstahl sensibler Informationen. Daher ist
die Kontrolle über Daten ein wesentlicher Bestandteil einer erfolgreichen Verteidigungsstrategie. Um
sensible Daten vor einem APT-Angriff zu schützen, sollte eine Organisation ihre Daten in den folgenden
vier Zuständen schützen und kontrollieren:
•Daten während des Zugriffs. Sensible Informationen, auf die ein versuchter Zugriff über eine
unzulässige Rolle erfolgt.
•Daten während der Verwendung. Sensible Informationen, die auf einer lokalen Workstation oder
einem Laptop verarbeitet werden.
•Daten während der Übertragung. Sensible Informationen, die über das Netzwerk übertragen werden.
•Gespeicherte Daten. Sensible Informationen, die in Repositories wie Datenbanken, Dateiservern oder
Systemen für die Zusammenarbeit gespeichert sind.
10
Zielgerichtete Angriffe
Dazu müssen Organisationen Richtlinien definieren, um die Zugriffssteuerung zu erzwingen, wenn
unbefugte Zugriffe oder eine unzulässige Datennutzung erkannt werden. Sobald ein Richtlinienverstoß
auftritt, beispielsweise der versuchte Zugriff auf geistiges Eigentum, das Kopieren der Daten auf einen
USB-Stick oder der Versuch, die Daten per E-Mail weiterzuleiten, sollte die Lösung die Gefährdung
eindämmen und gleichzeitig eine Warnung generieren.
Die Klassifizierung von Informationen ist ein wesentlicher Aspekt jeglicher Datensicherheitsinitiativen.
Ohne Kenntnisse dazu, um welche Informationen es sich handelt und wo sich die Informationen
befinden, kann kein umfassendes Programm zum Schutz von Daten implementiert werden. Eine
Organisation muss sensible Daten genau erkennen und klassifizieren können – und zwar basierend auf
dem Grad ihrer Sensibilität. Dies schließt auch geistiges Eigentum ein, ebenso personenbezogene Daten,
Patienteninformationen sowie andere nicht öffentliche Informationen.
Sobald die Informationen ordnungsgemäß klassifiziert, Richtlinien definiert und eine Zugriffssteuerung
implementiert wurde, kann eine Organisation den Zugriff und die Verarbeitung sämtlicher sensibler
Informationen überwachen und kontrollieren. Dies umfasst unterschiedlichste Benutzeraktionen –
vom simplen Versuch, auf sensible Daten zuzugreifen und sie zu lesen, bis hin zum Kopieren der Daten
auf Wechselmedien, dem Weiterleiten per E-Mail an Dritte außerhalb des Netzwerks oder aber das
Auffinden von Daten, die in Repositories wie SharePoint gespeichert sind.
Sicherheit der internen Infrastruktur
Der Schutz des Netzwerkperimeters und privilegierter Identitäten und Daten ist ein wesentlicher Aspekt
einer tiefgreifenden Verteidigungsstrategie gegen APT-Angriffe, aber auch die Sicherheit der internen
IT-Infrastruktur ist hierbei von entscheidender Bedeutung. Abgesehen von einer geeigneten
Netzwerkarchitektur und Segmentierung umfasst dies das ordnungsgemäße Konfigurieren und Sichern
einzelner Server und Geräte sowie ihrer Umgebungen.
Sicherheit durch unerwartete Maßnahmen und Auslagerung
Angreifer richten ihre Strategie und Taktik auf bekannte Verteidigungsstrategien aus. Zudem verwenden
sie allgemeine Betriebssystembefehle, Funktionen und Dienstprogramme, um Informationen zu erfassen,
das System zu überwachen und Maßnahmen zu ergreifen, die dazu dienen, ihre Kontrolle auszuweiten.
Sicherheitsexperten können die grundlegenden Annahmen der Angreifer gegen sie verwenden, indem
sie das System durch unerwartete Maßnahmen schützen. Beispielsweise können Dateien und Befehle,
die scheinbar ungeschützt sind und nicht überwacht werden, von einem externen Tool sowohl geschützt
als auch überwacht werden. Bei den Berechtigungen, die der Angreifer sieht, muss es sich nicht
notwendigerweise um die Berechtigungen handeln, die tatsächlich erzwungen werden. Dies ermöglicht es
einer Organisation, einen Angreifer zu erkennen, der Betriebssystemberechtigungen überprüft und gegen
externe Richtlinien verstößt, wenn er den Geltungsbereich der Berechtigungen austestet.
Das ist der wesentliche Grund, warum die Sicherheitsverwaltung extern und getrennt von der
Betriebssystemverwaltung erfolgen sollte. Nach Erlangen des ersten Zugriffs auf ein System versucht
ein typischer Angreifer, seine Berechtigungen zu erhöhen, um die Betriebssystemkontrollen zu umgehen.
Er geht davon aus, so die Sicherheitsmechanismen überschreiben und seine Spuren verwischen zu
können. Mit einer externen Sicherheitsfunktion können Angreifer häufig zu einem sehr viel früheren
Zeitpunkt während eines APT-Angriffs erkannt und in Schach gehalten werden, wenn sie versuchen,
ihre Berechtigungen zu erhöhen, Systemsicherheitskontrollen zu ändern oder Berechtigungen zu nutzen,
die nicht gewährt wurden. Auch wenn ein Angreifer möglicherweise erfolgreich herkömmliche
Betriebssystemkontrollen und Protokolle umgeht, kann er durch externe Erkennungsprozesse ertappt
werden. Das Bedeutet, dass eine Organisation eine Richtlinie für die Zugriffssteuerung „hinter den
Kulissen“ implementieren kann, die effizient und unerwartet zum Einsatz kommt.
Darüber können Standardsystembefehle geändert werden. Wenn Administratoren Funktionen wie
„sudo“ umbenennen, können alle Versuche, den ursprünglichen sudo-Befehl zu verwenden,
eine Warnung auslösen und zur frühzeitigen Erkennung einer Sicherheitsverletzung führen.
11
Zielgerichtete Angriffe
Serverabsicherung
Alle Server, auf denen sich sensible Informationen befinden, sollten so konfiguriert werden, dass das
Risiko einer Gefährdung und der Weitergabe von Daten minimiert wird, falls es zu einem Missbrauch
kommt. Dazu zählt Folgendes:
•Verwenden einer Softwarefirewall zur Kontrolle ein- und ausgehender Kommunikation, Beschränken
von Paketen pro Quell-IP, Protokoll (z. B. SSH, TELNET) und TCP-Port sowie Blockieren unsicherer
Protokolle (z. B. unverschlüsselte Services wie FTP)
•Blockieren aller Anwendungsausführungen und -installationen, sofern diese nicht explizit in
Anwendungs-Whitelists aufgeführt sind, Verhindern von Codeausführungs-Exploits und der
Installation von Backdoor-Software
•Anwendungs-Jailing. Definieren und Zulassen akzeptierter Aktionen für risikoträchtige Anwendungen
und Beschränken von Verhalten, das diese Grenzen überschreitet. Beispielsweise kann eine ACL
basierend auf einer logischen ID erstellt werden, die Besitzer von Oracle-Prozessen und -Services ist.
Mit Jailing kann dann verhindert werden, dass diese ID andere Aktionen ausführt als das Starten von
Services des Oracle-DBMS.
•Verhindern von Änderungen an Protokolldateien
•Ermöglichen der Überwachung der Integrität von Dateien zur Erkennung von Änderungen an
Schlüsseldateien, beispielsweise Änderungen von „Rootkits“
•Kontrollieren des Zugriffs auf sensible Anwendungsverzeichnisdateien (z. B. können nur über die
Gehaltsabrechnungsanwendung Gehaltsdateien geöffnet werden)
•Erkennen von Änderungen an sensiblen Dateien in Echtzeit
Einheitliche Sicherheit
Ein allgemeines Problem beim Netzwerkcomputing sind die von Plattform zu Plattform unterschiedlichen
Funktionen und Verfügbarkeiten von Steuermechanismen (beispielsweise unterscheiden sich die
Steuerungsmechanismen für UNIX-Dateien/-Verzeichnisse deutlich von denen für Windows). Dies kann
zu diversen Problemen führen, die ausgenutzt werden könnten:
•Sicherheitsrichtlinien, die auf ein Systemmodell anstatt auf ein Unternehmenssicherheitsmodell
ausgerichtet sind
•Sicherheitsrichtlinien, die an Systembeschränkungen angepasst werden müssen
•Fehler und Auslassungen aufgrund der Komplexität des Sicherheitsmanagement
Um eine umfassende APT-Verteidigungsstrategie bereitzustellen, müssen Sicherheitskonfigurationen
möglichst gleichermaßen auf alle Plattformen angewendet werden. Jegliche Begrenzungen und
Inkonsistenzen müssen nachvollzogen und erfasst werden.
Es gibt noch einen weiteren Grund, warum Organisationen sich nicht allein auf die Betriebssystemsicherheit
verlassen sollten. Mit Hilfe externer Tools kann eine Universalplattform bereitgestellt und ein
umgebungsübergreifendes Sicherheitskonzept angewendet werden, um einen zentralisierten,
optimierten und geschäftsspezifischen Sicherheitsansatz zu ermöglichen.
Virtualisierungssicherheit
Die Anzahl der virtualisierten Systeme ist explosionsartig angestiegen, was virtuelle Umgebungen zu
einem Hauptziel für Angreifer bei einem APT-Angriff macht. Gartner berichtet, dass „seit Mitte 2011
mindestens 40 % der Workloads der x86-Architektur auf Servern virtualisiert wurden. Darüber hinaus
wird die installierte Basis Erwartungen zufolge von 2010 bis 2015 um das Fünffache wachsen (da
sowohl die Anzahl der Workloads im Markt als auch die Durchdringung um mehr als 75 % wachsen).“10
12
Zielgerichtete Angriffe
Der Hypervisor ist ebenso ein kritisches Ziel, aufgrund des Ausmaßes des Zugriffs, das darüber erreicht
werden kann. Wenn ein Angreifer den Hypervisor missbraucht, kann er sich dadurch nahezu umfassenden
Zugriff auf alle virtuellen Maschinen verschaffen, die auf dem betreffenden Hypervisor ausgeführt
werden. Auch wenn die Betriebssystemsicherheit unmittelbare Anmeldungen verhindern kann und
eine Verschlüsselung sensible Daten schützen kann, reichen diese Maßnahmen nicht aus, um einen
entschlossenen Angreifer abzuwehren. Ein Angreifer mit administrativer Kontrolle über einen Hypervisor
kann ganze virtuelle Maschinen in eine externe Umgebung kopieren und mit Hilfe von Brute-ForceMethoden oder durch Überschreiben von Schlüsseldateien die hostbasierte Sicherheit umgehen.
Um virtuelle Umgebungen zu schützen, müssen Organisationen sich wieder auf Administratoren
konzentrieren und das Prinzip der „minimalen Rechte“ anwenden. Erstens sollte der Zugriff über
privilegierte Hypervisor-Konten strikt kontrolliert und alle Aktionen überwacht und protokolliert werden.
Zweitens sollten – ebenso wie im Falle physischer Umgebungen – die Rechte privilegierter HypervisorIdentitäten beschränkt werden, sodass nur die erforderlichen Aktionen durchgeführt werden können.
Beispielsweise sollte ein Finanzadministrator ausschließlich auf virtuelle Maschinen der Finanzabteilung,
jedoch keinen Zugriff auf HR-Systeme haben.
Umfassende Integration
Kein Sicherheitstool kann eine Organisation vor einem APT-Angriff eines entschlossenen, fähigen,
ausdauernden und gut ausgestatteten Angreifers verhindern. Ziel einer APT-Verteidigungsstrategie ist
es, das Eindringen in das Netzwerk so schwierig wie möglich zu gestalten und den damit verbundenen
Schaden und die Menge der gestohlenen Daten zu begrenzen, falls es zu einem Sicherheitsverstoß
kommt, und diese so schnell wie möglich zu erkennen.
Auch wenn Perimetersicherheit eine erforderliche Komponente für die Verhinderung des erstmaligen
Zugriffs ist, reicht sie unter keinen Umständen aus und trägt wenig dazu bei, den Schaden nach einem
Sicherheitsverstoß zu verringern. Entscheidend für die Minderung der Folgen eines Angriffs ist eine
intelligente Kombination aus Privileged Identity Management, Datenklassifizierung und -kontrolle und
Infrastruktursicherheit.
Standardtools für das Privileged Identity Management, können anhand einer Reihe von Regeln den
Zugriff beschränken oder gewähren. Auch wenn dies eine angemessene Aufgabentrennung ermöglicht,
handelt es sich um eine unflexible Lösung. Berechtigungen können im Laufe der Zeit entsprechend den
neuen Aufgaben der Benutzer geändert werden, aber dies ist eine grundsätzlich passive Lösung.
Content-Awareness ist vonnöten, um eine neue Generation aktiver APT-Verteidigungsstrategien
einzuführen. Folglich muss jeder Entscheidung zur Gewährung von Zugriffen Data Intelligence zugrunde
liegen. Dabei sollten die Muster des Zugriffs und der Verwendung von Daten erkannt und verstanden
werden. So sollte z. B. Folgendes erfasst werden:
•Änderungen hinsichtlich des Datentyps, auf den zugegriffen wird. Ein Administrator greift immer
wieder auf Daten eines bestimmten Typs zu (z. B. betriebliche Unterlagen) und fordert dann den
Zugriff auf vertrauliche Finanzdaten oder Kundendaten an.
•Änderungen hinsichtlich der Verwendung von Daten. Ein Administrator, der üblicherweise über eine
spezielle Anwendung mit Lesezugriff auf sensible Daten zugreift, fordert den Export von Daten auf
eine externe Festplatte, einen USB-Stick oder über eine E-Mail an.
•Änderungen hinsichtlich der Menge an Daten. Ein Administrator greift wöchentlich auf 100 MB
sensibler Daten zu und fordert nun im selben Zeitraum Zugriff auf 500 GB an.
•Änderungen hinsichtlich der Häufigkeit des Datenzugriffs. Ein Administrator, der bisher einmal im
Monat auf hoch vertrauliche Daten zugegriffen hat, greift plötzlich täglich darauf zu.
13
Zielgerichtete Angriffe
Keine dieser Änderungen an sich ist ein Anzeichen für einen Sicherheitsverstoß, allerdings weisen sie
auf ein geändertes Verhalten hin. Ein System, das auf intelligente Weise den Zugriff privilegierter
Benutzer kontrolliert, sollte all diese Faktoren bei der Überprüfung von Zugriffsanforderungen
berücksichtigen. Diese Data Intelligence kann entweder verwendet um, den Zugriff auf Ressourcen in
Echtzeit zu verweigern, oder um eine Warnung auszugeben, die auf verdächtige Aktivitäten hinweist.
Abschnitt 3: Nutzen
Risiken mindern
Organisationen, die Ziel eines APT-Angriffs sind, müssen sich für unterschiedliche Arten von Schäden
rüsten. Angreifer können geistiges Eigentum und Strategiepapiere stehlen, was potenzielle Auswirkungen
auf die Wettbewerbsfähigkeit haben kann. Der Diebstahl von Kundendaten kann eine Gegenreaktion der
Kunden, Rufschädigungen und rechtliche Konsequenzen nach sich ziehen. Gestohlene personenbezogene
Patienteninformationen oder Finanzdaten haben Compliance-Probleme zur Folge.
Ein weiterer Vorteil eines ganzheitlichen Programms zur Verteidigung gegen APT-Angriffe ist, dass es
eine Organisation beim Schutz vor weiteren Bedrohungen unterstützt – von automatisierten externen
Angriffen bis hin zu Insiderbedrohungen. Viele der implementierten Methoden zur Eindämmung des
durch APTs verursachten Schadens beschränken den Zugriff auf interne Konten, einschließlich des
Zugriffs durch Administratoren. In dem selbst für privilegierter Benutzer der Zugriff beschränkt wird
und eine Aufgabentrennung erfolgt, kann sich eine Organisation gegen böswillige Administratoren oder
andere böswillige interne Benutzer schützen.
Das Besondere an diesem Ansatz ist, dass er keine speziellen Kenntnisse zu Schwachstellen und neuen
Exploits erfordert und nicht von der Perimeterverteidigung abhängig ist. Mit Hilfe dieser Methoden
können Organisationen ein Sicherheitsmodell anwenden und Aktionen anhand von Geschäftsregeln,
Datensensibilität und anomalem Verhalten zulassen oder verweigern. Da dieses Modell einheitlich für
unterschiedliche Plattformen angewendet und von der Betriebssystemsicherheit getrennt werden kann,
bietet es effektive Verteidigungsmaßnahmen gegen APTs und erkennt Angriffe frühzeitig.
Abschnitt 4:
Schlussbemerkungen
Zielgerichtete Angriffe nehmen immer mehr zu. Über Sicherheitsverstöße in Unternehmen wie RSA
wurde in den Medien ausführlich berichtet, und sie haben weitreichende Konsequenzen – sowohl für
den Ruf als auch für den Profit des betreffenden Unternehmens.
Die Defense-in-Depth-Idee ist nicht neu. Sie beinhaltet grundlegende Aspekte aller Sicherheitsprogramme.
Neu daran ist die Ausrichtung auf den Schutz interner privilegierter Identitäten, um Schäden durch
Außenstehende zu verhindern. Da der Netzwerkperimeter nicht länger als Sicherheitsbollwerk betrachtet
werden kann, spielen Identitäten eine noch kritischere Rolle als zuvor. Im Grunde genommen ist die
„Identität der neue Perimeter“.
14
Zielgerichtete Angriffe
Wenn Identitäten zum Schutz vor internen und externen Bedrohungen wie APTs eingesetzt werden,
sollte Content-Awareness eine Grundvoraussetzung darstellen. Durch die Nutzung von Data Intelligence
bei allen Entscheidungen zu Datenzugriffen können Organisationen heute besser die Risiken abschätzen,
die mit jeder einzelnen Benutzeraktion einhergehen. Zugriffsanforderungen für sensible Daten können
unter Berücksichtigung von mehr Kontext denn je analysiert und nachvollzogen werden. Anstatt sich
auf feste Regeln zu verlassen, um bestimmte Aktionen zuzulassen oder zu unterbinden, können Daten
herangezogen werden, um sich ein klareres Bild von den Benutzeraktivitäten zu machen.
Nutzen Sie Privileged Identity Management und Content-Awareness als Eckpfeiler Ihres Sicherheitsprogramms, um mit Ihrer Verteidigungsstrategie gegen zielgerichtete Angriffe immer einen Schritt
voraus zu sein.
Abschnitt 5:
Literaturhinweise
1 Ponemon Institute. Studie „Cost of Data Breach“ für die USA von 2011: http://www.symantec.com/
content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-us.en-us.pdf
2 http://taosecurity.blogspot.com/2010/01/what-is-apt-and-what-does-it-want.html
3 NIST Special Publication 800-30 Revision 1, Guide for Conducting Risk Assessments, http://csrc.nist.
gov/publications/drafts/800-30-rev1/SP800-30-Rev1-ipd.pdf
4 „Advanced Persistent Threat“, Wikipedia, http://en.wikipedia.org/wiki/Advanced_persistent_threat
5 Verizon-Bericht „Data Breach Investigations“ von 2012: http://www.verizonbusiness.com/resources/
reports/rp_data-breach-investigations-report-2012_en_xg.pdf
6 http://www.rsa.com/node.aspx?id=3872
7 http://en.wikipedia.org/wiki/Operation_Aurora
8 http://www.nytimes.com/2010/11/29/world/29cables.html?_r=2&hp
9 Verizon-Bericht „Data Breach Investigations“ von 2012: http://www.verizonbusiness.com/resources/
reports/rp_data-breach-investigations-report-2012_en_xg.pdf
10 Gartner Inc., Magic Quadrant for x86 Server Virtualization Infrastructure, Thomas Bittman, George J.
Weiss, Mark A. Margevicius und Philip Dawson, 30. Juni 2011
Gartner wirbt für keine der in unserem Bericht positionierten Anbieter, Produkte oder Services und
rät Technologieanwendern nicht, sich ausschließlich auf die Anbieter mit den höchsten Bewertungen
festzulegen. Veröffentlichungen von Gartner stellen die Meinung der Forschungsorganisation von
Gartner dar und sollten nicht als objektiver Tatsachenbericht gewertet werden. Gartner schließt
jegliche ausdrückliche oder stillschweigende Haftung bezüglich dieser Analyse aus, einschließlich der
Haftung für Vermarktung oder Eignung für einen bestimmten Zweck.
15
Zielgerichtete Angriffe
Abschnitt 6:
Informationen über den Autor
Russell Miller war fünf Jahre im Bereich Netzwerksicherheit tätig und hatte dort mit unterschiedlichen
Themengebieten wie Ethical Hacking oder Produktmarketing zu tun. Derzeit leitet er das Marketing für
die Privileged Identity Management- und Virtual Security-Produkte von CA ControlMinderTM. Russell
Miller hat einen BA in Informatik vom Middlebury College und einen MBA von der MIT Sloan School of
Management.
CA Technologies ist ein Anbieter für IT-Management-Software und
-Lösungen mit Erfahrung in allen IT-Umgebungen, von Mainframes und
verteilten Systemen bis hin zu virtuellen Systemen und Cloud Computing.
CA Technologies verwaltet und schützt IT-Umgebungen und ermöglicht
Kunden die Bereitstellung flexiblerer IT-Services. Die innovativen Produkte
und Services von CA Technologies bieten den Überblick und die Kontrolle,
die IT-Organisationen zur Unterstützung geschäftlicher Flexibilität
benötigen. Die meisten Fortune Global 500-Unternehmen nutzen Lösungen
von CA Technologies für ihre wachsenden IT-Ökosysteme. Weitere
Informationen finden Sie auf der Website von CA Technologies unter
ca.com/de, ca.com/at und ca.com/ch/de.
Copyright © 2012 CA. Alle Rechte vorbehalten. Microsoft, SharePoint und Windows sind eingetragene Marken oder Marken der Microsoft Corporation
in den USA und/oder anderen Ländern. Linux® ist eine eingetragene Marke von Linus Torvalds in den USA und in anderen Ländern. UNIX ist eine
eingetragene Marke von The Open Group. Alle Markenzeichen, Markennamen, Dienstleistungsmarken und Logos, auf die hier verwiesen wird, sind
Eigentum der jeweiligen Unternehmen. Dieses Dokument dient ausschließlich zu Informationszwecken. CA übernimmt für die Genauigkeit oder
Vollständigkeit der Informationen keine Haftung. Soweit nach anwendbarem Recht erlaubt, stellt CA dieses Dokument im vorliegenden Zustand ohne
jegliche Gewährleistung zur Verfügung; dazu gehören insbesondere stillschweigende Gewährleistungen der Markttauglichkeit, der Eignung für einen
bestimmten Zweck und der Nichtverletzung von Rechten Dritter. In keinem Fall haftet CA für Verluste oder unmittelbare oder mittelbare Schäden,
die aus der Verwendung dieses Dokumentes entstehen; dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechung, Verlust von
Goodwill oder Datenverlust, selbst wenn CA über die Möglichkeit solcher Schäden informiert wurde.
CS2548_0712