Advanced Threats

Beharrlich fortschreitend

Peter Rogy, Sicherheitsexperte bei schoeller network control

Peter Rogy, Sicherheitsexperte bei schoeller network control

Die meisten Cyberangriffe von heute haben es gezielt auf wertvolle Ressourcen abgesehen – vertrauliche Daten, geistiges Eigentum, Anmeldedaten oder Insiderinformationen. Jeder Angriff umfasst mehrere Phasen. Das übergeordnete Ziel ist jedoch der Diebstahl wertvoller Daten aus dem befallenen Netzwerk.

Diese Art der Angriffe lässt sich als Advanced Persistent Threats (APTs) zusammenfassen. Sie sind dadurch charakterisiert, dass der Angreifer die langfristige Kontrolle über die betroffenen Systeme übernehmen möchte. Ob Viren, Trojaner, Spyware, Rootkits oder schädliche E-Mail-Anhänge. Mit derartiger Malware können Angreifer infizierte Computer langfristig steuern.

Komplex und gezielt. Unternehmensnetzwerke haben heutzutage immer öfter mit den komplexen und gezielten Attacken von APTs zu kämpfen, die oft tage-, wochen- oder sogar monatelang am Werk sind, ohne dass das Unternehmen sich dieser Angriffe bewusst ist. Da APTs normalerweise spezifisch auf ein bestimmtes Ziel zugeschnitten sind, werden sie von traditionellen Signatur-basierten Erkennungsverfahren meistens nicht erkannt.
Traditionelle Sicherheitslösungen, wie z.B. Next-Generation-Firewalls, Intrusion-Prevention-Systeme, Antiviruslösungen und Webgateways, sind lediglich auf den ersten Schritt, den eingehenden Angriff, fokussiert. Die Systeme sind auf Signaturen und bekannte Muster angewiesen, um Bedrohungen erkennen zu können.

So entsteht eine Lücke in der Netzwerkabwehr, die derartige Angriffe ermöglicht.
Es gibt eine Zeitverzögerung bei der Entwicklung von Signaturen, da Schwachstellen zunächst erkannt und analysiert werden müssen. Signaturen als reaktives Verfahren schützen zwar vor bekannten Bedrohungen sind aber gegen Zero-Day und gezielte Angriffe machtlos.

Heuristischer Schutz reicht nicht aus. Bei dieser Methode werden unzuverlässige Algorithmen verwendet, die zahlreiche Fehlalarme erzeugen. Der Ansatz hat zwar seine Daseinsberechtigung, das Verhältnis der richtigen Positivmeldungen zu den falschen Positivmeldungen ist jedoch für einen guten ROI zu schlecht. Fehlerkennungen überfluten Ereignisprotokolle. Eine Blockierung in Echtzeit anhand dieser heuristischen Meldungen ist keine Option. Oft senken Administratoren die Sicherheitsstufe der Heuristiklösung, um nur noch besonders auffällige Ereignisse untersuchen zu müssen. Mehrstufige, gezielte Angriffe können von diesem grobkörnigen Filter nicht erfasst werden.

Bahnbrechende Emulation. Der weltweit agierende Firewall- und Security-Hersteller Check Point revolutioniert die Angriffsprävention mit bahnbrechender Bedrohungs-Emulation. Das neue Check Point Threat Emulation Software »Blade « ist nun eine Lösung, die Infektionen durch neue Exploits, unerkannte Bedrohungen und gezielte Angriffe verhindert.

Die Lösung untersucht unverzüglich verdächtige Dateien, ahmt deren Ausführung nach, um bösartiges Verhalten zu erkennen und verhindert vollständig, dass die Malware ins Netzwerk gelangt. Verdächtige Dateien werden innerhalb einer Sandbox geöffnet und gleichzeitig auf ungewöhnliches Systemverhalten überwacht, wie etwa anormale Veränderungen der Systemregistrierung, Netzwerkverbindungen oder Systemprozesse, um so das Verhalten der Datei in Echtzeit zu bewerten. Wird festgestellt, dass eine Datei bösartig ist, wird sie inline am Gateway blockiert. Außerdem meldet die Software die neuen Bedrohungen sofort an den Check Point Threat Cloud-Service und informiert die anderen Kunden automatisch über die neu identifizierten Gefahren.
Peter Rogy

Comments are closed.