Suchen

Tarn-Techniken für Hacker-Attacken, Teil 3 Advanced Evasion Techniques – Schutz und vorbeugende Maßnahmen

| Autor / Redakteur: Hermann Klein, Stonesoft / Stephan Augsten

Advanced Evasion Techniques (AETs) bieten Cyber-Kriminellen nahezu unzählige Kombinationsmöglichkeiten, um Schadsoftware unbemerkt in Netzwerke einzuschleusen. Noch gibt es auf dem Markt keine Lösung, die vollständigen Schutz gegen AETs bietet. Dennoch können Unternehmen mit verschiedenen Maßnahmen bestmöglich gegen AETs vorbeugen.

Firma zum Thema

Je nach Ausprägung schützen Intrusion-Prevention-Systeme mehr oder weniger gut vor Advanced Evasion Techniques.
Je nach Ausprägung schützen Intrusion-Prevention-Systeme mehr oder weniger gut vor Advanced Evasion Techniques.
( Archiv: Vogel Business Media )

Die ersten beiden Teile der Beitragsreihe haben sich mit der Geschichte von Evasions sowie der Funktionsweise von AETs beschäftigt. Wie aber können sich Unternehmen gegen mit AETs getarnte Angriffe schützen? Der bestmögliche Schutz gegen Angriffe mit AETs erfordert das Zusammenspiel einer Reihe von spezifischen Lösungen.

Mit 2 hoch 180 Varianten ist die Anzahl möglicher AETs beinahe unendlich. Ständig werden neue Varianten der Tarnsoftware entdeckt. Doch angesichts der fast unbegrenzten Kombinationsmöglichkeiten ist das eher der Tropfen auf den heißen Stein. Wichtig ist deshalb, dass Unternehmen IPS-Systeme einsetzen, die den Datenverkehr nicht nur nach Merkmalen bekannter Schadcodemuster anhand von Fingerprinting und signaturbasierter Erkennung untersuchen.

Advanced Evasion Techniques können nur von Sicherheitssystemen erkannt werden, die zusätzliche Möglichkeiten bieten, den Datenverkehr zu überprüfen. Ein Beispiel dafür ist der Multilayer-Normalisierungsprozess. Er berücksichtigt auch vom Endsystem nicht empfangene Datenpakete oder auf unterschiedliche Arten entschlüsselbare Protokolle.

IPS-Systeme mit dieser Funktion können Datenpakete exakt so dekodieren und zusammensetzen wie das Endsystem. Dadurch erkennen sie einen getarnten Schadcode leichter und können ihn stoppen, bevor er ins Netzwerk gelangt. Im Gegensatz zu hardwarebasierten Lösungen haben solche Sicherheitsgeräte nicht nur die TCP/IP-Schicht im Blick. Vielmehr können sie weitere relevante Protokollschichten für jede Verbindung erfassen, darunter auch HTTP.

Das Risiko, dass Datenpakete, die sich nicht nach den klassischen Regeln des Internetprotokolls verhalten, unbemerkt ins Netzwerk eingeschleust werden können, wird so deutlich geringer. Ist zudem die Funktion der Normalisierung getrennt von Verbindungs- und Signaturprüfung, bleibt eine hohe Netzwerk-Performance erhalten.

Software- vs. hardware-basierte Sicherheitslösungen

Nur Sicherheitslösungen, die sich schnell und flexibel aktualisieren lassen, können vor den dynamischen und sich ständig weiterentwickelnden AETs Schutz bieten. In den meisten Unternehmen kommen aber, meist auch aus Kostengründen, hardwarebasierte Lösungen als Netzwerk-Sicherheitssysteme zum Einsatz.

Diese haben jedoch einen entscheidenden Nachteil: Sie sind statisch – ein Update solcher Systeme auf den neuesten Stand der Forschung ist häufig zeitintensiv, manchmal sogar unmöglich. Daher können hardwarebasierte Lösungen mit den dynamischen, sich ständig wandelnden AETs nicht Schritt halten.

Dagegen lassen sich softwarebasierte IPS- und Firewall-Systeme dynamisch auf den aktuellen Stand bringen, inklusive der Prüf- und Normalisierungsfunktionen. Dadurch können auch neu entdeckte Tarnmuster schnell in IPS und Firewall hinterlegt werden. Die softwarebasierte Technologie ermöglicht es zudem, Updates jederzeit aufzuspielen und mit geringem Aufwand die Konfiguration zu ändern.

Seite 2: Zentrales Management

(ID:2053267)