Details zu neuen Advanced Evasion Techniques veröffentlicht

AETs stellen Intrusion-Prevention-Systeme vor neue Herausforderungen

14.01.2011 | Redakteur: Peter Schmitz

Advanced Evasion Techniques stellen Intrusion-Prevention-Systeme vor neue Herausforderungen. Security-Anbieter können diese Bedrohung nicht länger ignorieren.
Advanced Evasion Techniques stellen Intrusion-Prevention-Systeme vor neue Herausforderungen. Security-Anbieter können diese Bedrohung nicht länger ignorieren.

Security-Anbieter Stonesoft hat erste ausführlichere technische Details zu 23 Advanced Evasion Techniques (AETs) veröffentlicht. Muster der Evasion-Methoden hatte das Unternehmen im Mai, September und Oktober 2010 an die Sicherheitsbehörde CERT-FI übergeben. Im Rahmen des Vulnerability-Coordination-Prozesses des CERT-FI hatten Anbieter von Sicherheitslösungen seitdem Zeit, um die neuen Evasion-Techniken selbst zu untersuchen, dazu Stellung zu nehmen und ihre Systeme gegen die neuen Bedrohungen abzusichern.

Netzwerk-Sicherheitssysteme, die den Datenverkehr kontrollieren, müssen die unterschiedlichen Protokollebenen so erfassen, wie dies bei der Decodierung durch das Endsystem geschieht. Da durch die Vielzahl von Kombinationsmöglichkeiten ständig neue Evasion-Techniken entstehen, muss sich das für diese Aufgabe verantwortliche Normalisierungstool mit ihnen weiterentwickeln. Laut einer kürzlich veröffentlichten Sicherheitsempfehlung des CERT-FI haben sich bis jetzt allerdings nur wenige Anbieter zu möglichen Lösungen geäußert.

„Anscheinend besteht momentan bei vielen bereitgestellten Sicherheitsupdates der Evasion-Schutz darin, verdächtige Verbindungen zu beenden, die auf den spezifischen Parametern der Muster-AETs basieren. Sobald also Evasions mit nur leicht veränderten Werten auftreten, greift der Schutz nicht mehr. Außerdem kann diese Methode zu Störungen des Netzwerkverkehrs führen“, erklärt Mika Jalava, Chief Technology Officer bei Stonesoft.

Die richtige Herangehensweise erfordert hingegen, das Protokoll zu analysieren und vor der Dateninspektion zu normalisieren. Es reicht nicht aus, nur nach spezifischen Evasions zu suchen, da diese ganz einfach verändert und so bei einem bloßen Vergleich mit bekannten Evasion-Methoden nicht mehr erkannt werden können. Diese Art der Überprüfung ist außerdem anfällig für Fehlalarme (False Positives). Bei vielen Evasions handelt es sich um Protokollvariationen, die heutige Standards zulassen. Aus diesem Grund müssen Sicherheitssysteme mehr können als Datenverkehr, der über Evasion-Techniken getarnte Attacken enthalten könnte, einfach zu blockieren. Vielmehr benötigen Administratoren konkrete Informationen über die möglicherweise dahinter verborgenen Schadcodes.

Langfristig empfiehlt Stonesoft Programmierern, Entwicklern und Internet-Standardisierungsbehörden, sich stärker gegen die Mehrdeutigkeit in Netzwerkprotokollen einzusetzen. Die Sicherheit ist bei Netzwerken mittlerweile häufiger ein Problem als die Kompatibilität mit älteren Systemen. Sicherheitsprobleme, vor allem im Zusammenhang mit Evasions, werden oft von Protokollanwendungen verursacht, die unterschiedlichen Codierungstechniken zu entsprechen versuchen. Deshalb sollte Sicherheit bereits bei der Protokollentwicklung eine wichtige Rolle spielen, nicht erst danach. Die Stonesoft StoneGate IPS-Lösungen sowie die StoneGate Firewalls mit Deep-Inspection-Funktion lassen sich dafür per Fernzugriff vollständig aktualisieren – einschließlich sämtlicher Ebenen der Normalisierung des Netzwerkverkehrs – und sind nicht an spezifische Hardware-Implementierungen gebunden.

Entdeckung neuer AETs

Die Forschungs- und Entwicklungsabteilung von Stonesoft arbeitet weiterhin eng mit der Sicherheitsbehörde CERT-FI zusammen, um weitere Informationen zu AETs offen legen zu können. Im Gegensatz zu den bisher bekannt gegebenen 23 AET-Techniken befinden sich unter den neu protokollierten AETs noch höher entwickelte sowie unterschiedlich kombinierbare Methoden, die gleichzeitig über mehrere Protokolle und Layerschichten hinweg agieren.

Stonesoft geht davon aus, dass der Koordinationsprozess diesmal mehr Zeit in Anspruch nehmen wird, da die neuen AETs komplexer sind als die zuvor analysierten Techniken. Außerdem wurden sie noch in keinerlei aktuell verfügbare Testsysteme integriert, noch sind sie momentan Teil von Zertifizierungs- oder Testkriterien.

„In der Zwischenzeit setzen wir unsere Forschung fort, um Cyber-Kriminellen weiterhin einen Schritt voraus zu sein und so Unternehmen und Organisationen dabei zu helfen, ihre digitalen Datenobjekte vor AETs zu schützen“, sagt Hermann Klein, Country Manager DACH bei Stonesoft. „AETs stellen Intrusion-Prevention-Systeme nachgewiesenermaßen vor neue Herausforderungen. Anbieter von Sicherheitslösungen können diese Bedrohung nicht länger ignorieren und sollten eine Aussage darüber treffen, wann und wie sie ihre Systeme aktualisieren, um sie vor AETs zu schützen.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2049034 / Netzwerk-Security-Devices)