Aktuelle Angriffe aktiv abwehren

Code-Analyse in Echtzeit hilft gegen dynamische Internet-Attacken

29.08.2011 | Autor / Redakteur: Werner Thalmeier, M86 Security / Stephan Augsten

Eine Code-Analyse in Echtzeit unterstützt klassische Security-Lösungen bei der Abwehr von Web-Gefahren.
Eine Code-Analyse in Echtzeit unterstützt klassische Security-Lösungen bei der Abwehr von Web-Gefahren.

Wie die Code-Analyse funktioniert

Um zu erläutern, wie die Prüfung von Web-Inhalten in Echtzeit funktioniert, nehmen wir die verhaltensbasierte Technologie des Sicherheitsunternehmens M86 Security als Referenz. Dieser verarbeitet die Inhalte im mehreren Schritten.

Zunächst werden Änderungen bei gefälschten Dateitypen, verpackten ausführbaren Dateien und kodierten Skripten über Erkennungsalgorithmen identifiziert. Danach wird der gesamte ein- und ausgehende Verkehr einschließlich HTTP und HTTPS geprüft.

Im dritten Schritt erfolgt die Erkennung und Entschlüsselung verschleierten Codes, der versucht, Sicherheitsprüfungen zu umgehen. Der HTML-Code wird in einzelne Komponenten wie HTML-Kommandos, Textabschnitte, Stylesheets, URI, Skripte und Aktivierung externer Objekte aufgegliedert. Dazu analysiert eine untergeordnete Engine alle aktiven Komponenten, beispielsweise die Java, ActiveX, JS- und VB-Skripte, HTML, XML, CSS und HTTP/HTTPS/SSL, im Kontext.

Ein Verhaltensprofil, das das kombinierte Verhalten der aktiven Komponenten im Betrieb darstellt, wird erstellt und mit einer umfassenden Liste von Sicherheitsprofilen verglichen. So können alle abweichenden Verhaltensprofile effektiv blockiert werden. Wenn die Webseite schädliche Teile enthält, so werden diese geblockt und die Webseite wird sauber und so funktional wie möglich dargestellt.

Die verhaltensbasierte Echtzeit-Sicherheitsengine versteht die programmatischen Verbindungen zwischen den einzelnen Teilen des Codes. Die Fix-Up-Engine prüft dazu, dass die Seite richtig formatiert und sicher betrachtet werden kann.

Nur eine Tiefenprüfung der kombinierten Funktionen (ähnlich eines Compilers mit Echtzeit-Interpreter) kann die wahre Intention des Codes erkennen: für den Fall, dass er den Desktop des Anwenders erreicht. Die Engine wird nicht von programmatischen Varianzen wie Änderungen bei Objekt- und Variablennamen, wechselseitigen Aufrufen und wechselnden Aufrufsequenzen beeinflusst.

Fazit

Um auf die dynamischen Gefahren im Web zu reagieren, ist eine weitere Schutzebene notwendig. Die Antwort liegt in der Technologie zur Code-Analyse in Echtzeit. Durch das Verständnis der wahren Ziele der Web-Inhalte erkennt und verhindert dieser neue Ansatz den erfolgreichen Einsatz von Crimeware, auch im Angesicht der Verbreitungstechnologien und forensischen Gegenmaßnahmen, die gerne genutzt werden.

Eine effektive Kombination aus URL-Filterung, Virenschutz und Codeanalyse in Echtzeit ist heute der einzige sichere Weg, um Unternehmen vor den kostenträchtigen Folgen eines Malware-Angriffs zu schützen. Parallel müssen Firmen optimale Strategien und Verhaltensregeln definieren, um die entstehenden Sicherheitsrisiken aktiv zu bekämpfen.

Inhalt

  • Seite 1: Klassische Sicherheitslösungen versagen
  • Seite 2: Die aktuelle Taktik der Angreifer
  • Seite 3: Wie die Code-Analyse funktioniert

Werner Thalmeier ist Vice President Product Management bei M86 Security.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052697 / Mobile- und Web-Apps)