Datenabfluss verhindern

APT-Abwehr kontra klassische Sicherheitslösungen

Seite: 2/2

Firma zum Thema

Das Dilemma mit der Perimeter-Sicherheit

Wie aber können Angreifer die Perimeter-Sicherheit durchbrechen und zur Daten-Exfiltration umgehen? Ganz einfach: Sie nutzen die Komplexität unserer IT-Security-Infrastruktur, bei der die einzelnen Funktionsgruppen (Firewalls, IDS/IPS, AV-Systeme, Proxies usw.) jeweils nur einen Teil der Sicherheit abdecken.

Diese Produkte tauschen nicht genügend Informationen aus, sie korrelieren nicht und sind nicht imstande, Ereignisse in ihrer Gesamtheit zu bewerten. Genau diese Funktionalität ist aber notwendig, um eine gezielte Attacke aufzudecken. Security-Information- und -Event-Management-Systeme (SIEMs) müssen teilweise mehrere hundert Millionen Events filtern, korrelieren und Alarme absetzen.

In diesem Rauschen, oft durch Fehlalarme (false positives) verstärkt, bleiben ausgefeilte Angriffsmethoden und Zero Day-Techniken unbemerkt. Würde man die Perimeter-Security mit der Einzäunung eines Hauses vergleichen, dann müsste man jede Person, die vor dem Eingangstor vorbeigeht oder -fährt, identifizieren und ihre Merkmale speichern. Das kostet Zeit und Geld, bereitet Mühe und während man beschäftigt ist, klettert jemand an anderer Stelle über den Zaun.

Perimeter-Sicherheit ist notwendig, doch es genügt nicht mehr, sich allein darauf zu verlassen. Um heutigen Attacken zu begegnen, ist es notwendig, die Sicht- und Vorgehensweise zu ändern. Anders ausgedrückt: Wir müssen uns auf denjenigen konzentrieren, der den Zaun überwindet, und auf das, was der am Zauntor durchgewinkte Paketdienst hereinträgt - und wieder mitnimmt.

Schutzmechanismen mit Schwachstellen

Mittlerweile schreibt sich fast jeder Hersteller „APT-Protection“ auf die Fahne. Kann denn ein APT-Abwehrsystem eine ausgefeilte Angriffstechnik oder ZeroDay-Schadsoftware immer zuverlässig erkennen? Klare Antwort: Nein.

APTs müssen erst wie ein Puzzle zusammengesetzt werden, um preiszugeben, dass es sich um eine Offensive handelt. Ohne Korrelation funktioniert das nicht. Auch Sandboxing ist wenig zielführend, denn die Angreifer kennen die Technik, so dass die Schadsoftware darin entweder gar nicht startet oder erst nach vielen Tagen aktiv wird.

Doch diese Zeit fehlt angesichts der heutigen Datenmengen. Eine weitere Schwachstelle vieler APT-Systeme ist, dass sie nur bestimmte Datenströme untersuchen (Protokolle und Port-Kombinationen mit relativ geringer Tiefe). Der Profi-Angreifer weiß solche Protokolle und Ports gut zu umgehen.

APT-Schutz durch Datenabflussverhinderung

Was also tun? Ganz einfach. Zuerst sind die Kronjuwelen (Daten) zu schützen, denn auf die hat es der Angreifer abgesehen. Dafür ist DLP (Data Leakage Prevention) die Lösung. Bei DLP erfolgt eine Inspektion aller Protokolle, Filetypen und Inhalte. Gleichzeitig werden entsprechende Metadaten generiert und gesichert. Alle Daten zu speichern, würde jedes System sprengen.

In den meisten Fällen wird schon bei der Inspektion Datenabfluss erkannt und verhindert. Das DLP-System bedient sich ausserdem der Sandboxing-Technologie. Allerdings kommt dieser ein geringerer Stellenwert zu, da die vorgenannte Untersuchung aller Daten mit Speicherung der Metadaten eine wesentlich höhere Treffgenauigkeit bietet. Darüber hinaus können die Metadaten mit IoC-Feeds (IoC Indicators of Compromise) abgeglichen werden, um so Hinweise auf APT-Aktivität zu erhalten.

Anhand der gespeicherten historischen Metadaten lässt sich sogar nachweisen, wenn ein Angriff in der Vergangenheit erfolgreich war. Waren zum Zeitpunkt X unbekannte ZeroDay-Malware oder andere damals nicht bekannte Instrumente und/oder Tools erfolgreich, so stehen dafür heute vielleicht Mechanismen zur Identifizierung bereit. So kann man sogar die Vergangenheit nach Daten-Exfiltration durchsuchen.

* Andreas Wagner ist IT-Security-Berater sowie Experte im Security Operations Center (SOC) und Computer Security Incident Response Team (CSIRt) bei der DATAKOM Gesellschaft für Datenkommunikation mbH.

(ID:43436951)