Tarn-Techniken für Hacker-Attacken, Teil 3

Advanced Evasion Techniques – Schutz und vorbeugende Maßnahmen

31.10.2011 | Autor / Redakteur: Hermann Klein, Stonesoft / Stephan Augsten

Je nach Ausprägung schützen Intrusion-Prevention-Systeme mehr oder weniger gut vor Advanced Evasion Techniques.
Je nach Ausprägung schützen Intrusion-Prevention-Systeme mehr oder weniger gut vor Advanced Evasion Techniques.

Advanced Evasion Techniques (AETs) bieten Cyber-Kriminellen nahezu unzählige Kombinationsmöglichkeiten, um Schadsoftware unbemerkt in Netzwerke einzuschleusen. Noch gibt es auf dem Markt keine Lösung, die vollständigen Schutz gegen AETs bietet. Dennoch können Unternehmen mit verschiedenen Maßnahmen bestmöglich gegen AETs vorbeugen.

Die ersten beiden Teile der Beitragsreihe haben sich mit der Geschichte von Evasions sowie der Funktionsweise von AETs beschäftigt. Wie aber können sich Unternehmen gegen mit AETs getarnte Angriffe schützen? Der bestmögliche Schutz gegen Angriffe mit AETs erfordert das Zusammenspiel einer Reihe von spezifischen Lösungen.

Mit 2 hoch 180 Varianten ist die Anzahl möglicher AETs beinahe unendlich. Ständig werden neue Varianten der Tarnsoftware entdeckt. Doch angesichts der fast unbegrenzten Kombinationsmöglichkeiten ist das eher der Tropfen auf den heißen Stein. Wichtig ist deshalb, dass Unternehmen IPS-Systeme einsetzen, die den Datenverkehr nicht nur nach Merkmalen bekannter Schadcodemuster anhand von Fingerprinting und signaturbasierter Erkennung untersuchen.

Advanced Evasion Techniques können nur von Sicherheitssystemen erkannt werden, die zusätzliche Möglichkeiten bieten, den Datenverkehr zu überprüfen. Ein Beispiel dafür ist der Multilayer-Normalisierungsprozess. Er berücksichtigt auch vom Endsystem nicht empfangene Datenpakete oder auf unterschiedliche Arten entschlüsselbare Protokolle.

IPS-Systeme mit dieser Funktion können Datenpakete exakt so dekodieren und zusammensetzen wie das Endsystem. Dadurch erkennen sie einen getarnten Schadcode leichter und können ihn stoppen, bevor er ins Netzwerk gelangt. Im Gegensatz zu hardwarebasierten Lösungen haben solche Sicherheitsgeräte nicht nur die TCP/IP-Schicht im Blick. Vielmehr können sie weitere relevante Protokollschichten für jede Verbindung erfassen, darunter auch HTTP.

Das Risiko, dass Datenpakete, die sich nicht nach den klassischen Regeln des Internetprotokolls verhalten, unbemerkt ins Netzwerk eingeschleust werden können, wird so deutlich geringer. Ist zudem die Funktion der Normalisierung getrennt von Verbindungs- und Signaturprüfung, bleibt eine hohe Netzwerk-Performance erhalten.

Software- vs. hardware-basierte Sicherheitslösungen

Nur Sicherheitslösungen, die sich schnell und flexibel aktualisieren lassen, können vor den dynamischen und sich ständig weiterentwickelnden AETs Schutz bieten. In den meisten Unternehmen kommen aber, meist auch aus Kostengründen, hardwarebasierte Lösungen als Netzwerk-Sicherheitssysteme zum Einsatz.

Diese haben jedoch einen entscheidenden Nachteil: Sie sind statisch – ein Update solcher Systeme auf den neuesten Stand der Forschung ist häufig zeitintensiv, manchmal sogar unmöglich. Daher können hardwarebasierte Lösungen mit den dynamischen, sich ständig wandelnden AETs nicht Schritt halten.

Dagegen lassen sich softwarebasierte IPS- und Firewall-Systeme dynamisch auf den aktuellen Stand bringen, inklusive der Prüf- und Normalisierungsfunktionen. Dadurch können auch neu entdeckte Tarnmuster schnell in IPS und Firewall hinterlegt werden. Die softwarebasierte Technologie ermöglicht es zudem, Updates jederzeit aufzuspielen und mit geringem Aufwand die Konfiguration zu ändern.

Seite 2: Zentrales Management

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2053267 / Intrusion-Detection und -Prevention)