Cyberbedrohungen. Eine Analyse von Kriterien zur Beschreibung von Advanced Persistent Threats

Masterarbeit, 2017
108 Seiten, Note: 1,0

Informatik - IT-Security

Leseprobe

Inhaltsverzeichnis

1 Einleitung

1.1 Problemstellung

1.2 Zielsetzung

1.3 Vorgehensweise

2 Begriffsklärung

2.1 Advanced Persistent Threat

2.2 Abgrenzung zu weiteren Cyberbedrohungen

2.3 Ablauf eines APT-Angriffs

2.4 Beispiele für bekannte Advanced Persistent Threats

2.5 Schutz- und Gegenmaßnahmen

3 Attribution von Advanced Persistent Threats

3.1 Vorgehen bei der Attribution

3.2 Akteure

3.3 Attributionsmodelle

4 Identifikation von APT-Kriterien

4.1 Kriterien innerhalb der Dimension „Fähigkeiten“

4.2 Kriterien innerhalb der Dimension „Infrastruktur“

4.3 Kriterien innerhalb der Dimension „Opfer“

4.4 Kriterien innerhalb der Dimension „Angreifer“

4.5 Zusammenfassender Katalog für APT-Beschreibungskriterien

5 Einordnung bekannter APTs

5.1 APT 10/ Stone Panda/ Menupass/ CVNX

5.2 APT 28/ Sofacy/ Fancy Bear/ Operation Pawnstorm

6 Bewertung der identifizierten Beschreibungskriterien

7 Fazit

Zielsetzung & Themen

Ziel dieser Arbeit ist es, die Kriterien für die Beschreibung von Advanced Persistent Threats (APTs) systematisch zu analysieren, in einem Fragenkatalog zusammenzufassen und deren Aussagekraft im Kontext einer präzisen Attribution der Angreifergruppen zu bewerten.

Definition und Abgrenzung von Advanced Persistent Threats
Untersuchung von Attributionsmodellen (Diamond Model, Kill Chain)
Identifikation relevanter Beschreibungskriterien in den Dimensionen Angreifer, Opfer, Fähigkeiten und Infrastruktur
Analyse und Einordnung konkreter APT-Gruppen (APT 10 und APT 28)
Bewertung der Aussagekraft einzelner Kriterien für die Täterzuordnung

Auszug aus dem Buch

2.1 Advanced Persistent Threat

Der Begriff Advanced Persistent Threat (kurz APT) wurde 2010 durch den IT-Sicherheitsdienstleister Mandiant geprägt. (Mandiant 2013, S. 2) Seitdem ist eine Vielzahl von Publikationen zu dieser speziellen Bedrohungsart erschienen. Eine umfassende, abschließende Definition von Advanced Persistent Threats existiert bisher nicht. Im Rahmen dieser Arbeit soll dennoch ein Begriffsverständnis hergestellt werden. Daher werden verschiedene Ansätze besonders populärer Unternehmen der IT-Sicherheitsbranche aufgegriffen und zusammengeführt.

Unter Advanced Persistent Threats werden im Allgemeinen komplexe und zielgerichtete Bedrohungen, die sich gegen ein oder wenige Opfer richten, verstanden. Die konkreten Angriffe im Rahmen dieser Bedrohungen („threats“) werden vom Angreifer aufwändig vorbereitet, sind hochentwickelt („advanced“) und dauern lange an („persistent“). Ein APT-Angriff soll nach Möglichkeit unentdeckt bleiben, um vertrauliche Daten von öffentlichen Organisationen und Unternehmen über einen längeren Zeitpunkt auszuspähen (Cyberspionage) oder anderen Schaden – zum Beispiel im Bereich der kritischen Infrastrukturen – zu verursachen (Cybersabotage). (BMI 2016, o.S; Kaspersky 2013, o.S.)

Mandiant spricht im Rahmen eines APTs auch von einer „Threat Group“ – also einer Gruppe von Personen, die zusammenarbeitet, um für sie interessante Netzwerke anzugreifen. Die verschiedenen APT-Gruppen können bestimmte Merkmale wie beispielsweise dieselben Ziele oder die Verwendung derselben Schadsoftware teilen. Damit definiert sich ein APT für Mandiant durch Personen, an denen weitere Merkmale wie in den eben genannten Beispielen festzumachen sind. (Mandiant 2013, S. 61)

Zusammenfassung der Kapitel

1 Einleitung: Stellt die Problematik zunehmender, hochspezialisierter Cyberangriffe dar und definiert das Ziel, einen Katalog von Beschreibungskriterien für APTs zu erarbeiten.

2 Begriffsklärung: Etabliert eine Arbeitsdefinition von APTs, grenzt sie von anderen Bedrohungen ab und beschreibt den idealtypischen Ablauf eines solchen Angriffs.

3 Attribution von Advanced Persistent Threats: Analysiert die Herausforderungen der Täterzuordnung und stellt gängige Analysemodelle wie das Diamant-Modell und das Kill Chain-Modell vor.

4 Identifikation von APT-Kriterien: Identifiziert spezifische Merkmale zur Beschreibung von APTs und ordnet diese den Dimensionen Fähigkeiten, Infrastruktur, Opfer und Angreifer zu.

5 Einordnung bekannter APTs: Wendet den erarbeiteten Kriterienkatalog beispielhaft auf die Gruppen APT 10 und APT 28 an, um deren Vorgehensweise und Motivation zu beleuchten.

6 Bewertung der identifizierten Beschreibungskriterien: Diskutiert die Aussagekraft der verschiedenen Kriterien und verdeutlicht, dass eine zuverlässige Attribution meist nur durch die Kombination mehrerer Merkmale gelingt.

7 Fazit: Fasst zusammen, dass die präzise Beschreibung und Beobachtung von APT-Akteuren unerlässlich für die zukünftige Prävention von Cyberangriffen ist.

Schlüsselwörter

Advanced Persistent Threat, APT, Attribution, Cyberangriff, Cyberspionage, Cybersabotage, IT-Sicherheit, Schadsoftware, Threat Intelligence, Kill Chain, Diamant-Modell, APT 10, APT 28, TTPs, Social Engineering

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit analysiert Advanced Persistent Threats (APTs) als eine spezielle, hochspezialisierte Kategorie von Cyberangriffen und entwickelt ein System, um diese Angriffe anhand von Kriterien zu beschreiben und den Urhebern zuzuordnen.

Was sind die zentralen Themenfelder?

Die Themen umfassen die Definition von APTs, die Erläuterung von Attributionsmodellen, die Identifikation technischer und organisatorischer Beschreibungskriterien sowie deren praktische Anwendung auf bekannte Angreifergruppen.

Was ist das primäre Ziel der Forschungsarbeit?

Das Ziel ist es, einen fundierten Fragenkatalog als Analyseinstrument für APT-Angriffe zu erstellen und zu bewerten, welche Kriterien am besten geeignet sind, um komplexe Cyberangriffe einer bestimmten Tätergruppe zuzuordnen.

Welche wissenschaftliche Methode wird verwendet?

Die Arbeit nutzt eine literaturbasierte Analyse von Fachberichten spezialisierter IT-Sicherheitsdienstleister und Sicherheitsbehörden, um auf Basis etablierter Modelle (wie dem Diamant-Modell) ein neues, kriteriengeleitetes Analyseschema zu entwickeln.

Was wird im Hauptteil behandelt?

Der Hauptteil gliedert sich in die Begriffsklärung, die theoretische Fundierung durch Attributionsmodelle, die Herleitung von Beschreibungskriterien für vier Dimensionen (Fähigkeiten, Infrastruktur, Opfer, Angreifer) und deren Anwendung auf die APT-Gruppen 10 und 28.

Welche Schlüsselwörter charakterisieren die Arbeit?

Zu den Kernbegriffen zählen APT, Attribution, Threat Intelligence, Cyberspionage, Schadsoftware, Kill Chain und TTPs.

Welche Rolle spielt das Diamant-Modell bei der Analyse?

Es dient als strukturierender Rahmen, um Merkmale eines Angriffs in den vier Dimensionen Angreifer, Opfer, Fähigkeiten und Infrastruktur in Bezug zueinander zu setzen und so einen ganzheitlichen Analyseansatz zu ermöglichen.

Was macht die Attribution von APT 28 besonders komplex?

Die Komplexität ergibt sich aus der bewussten Nutzung von Verschleierungstechniken, False-Flag-Operationen und der Verknüpfung der Angriffe mit russischen geopolitischen Interessen, was den direkten Nachweis einer staatlichen Steuerung juristisch erschwert.

Ende der Leseprobe aus 108 Seiten - nach oben

Details

Titel: Cyberbedrohungen. Eine Analyse von Kriterien zur Beschreibung von Advanced Persistent Threats
Hochschule: Universität Duisburg-Essen
Note: 1,0
Autor: Anonym (Autor:in)
Erscheinungsjahr: 2017
Seiten: 108
Katalognummer: V369926
ISBN (eBook): 9783668497269
ISBN (Buch): 9783960951063
Dateigröße: 10839 KB
Sprache: Deutsch
Schlagworte: cyberbedrohungen eine analyse kriterien beschreibung advanced persistent threats
Produktsicherheit: GRIN Publishing GmbH
Preis (Ebook): US$ 42,99
Preis (Book): US$ 55,99

Arbeit zitieren: Anonym (Autor:in), 2017, Cyberbedrohungen. Eine Analyse von Kriterien zur Beschreibung von Advanced Persistent Threats, München, Page::Imprint:: GRINVerlagOHG, https://www.diplomarbeiten24.de/document/369926