Suchen

Schutz gegen Advanced Persistent Threats im IoT

Das Internet der Dinge gegen gezielte Angriffe schützen

Seite: 3/3

Firmen zum Thema

Sub-OS-Erkennung von Sub-OS-Bedrohungen

Wir brauchen eine neue Herangehensweise, die zwei kritische Aufgaben erledigt: erstens die Erkennung der eigentlichen APT-Infektion in Echtzeit und zweitens die Versorgung der zur Bedrohungsabwehr Beauftragten mit sofortigen forensischen Daten, um deren Analyse- und Reaktionszeiten signifikant zu verkürzen.

Wie die APT-Erkennung erfolgen sollte (schematische Darstellung)
Wie die APT-Erkennung erfolgen sollte (schematische Darstellung)
(Grafik: Lynx Software Technology)
Angesichts der schwer zu erfassenden und heimlichen Natur von APT, muss die Erkennung auf einer Ebene erfolgen, die unter der der Infektion und Aktivität liegt. Diese Ebene kann nur ein Bare-Metal-Hypervisor (wie LynxSecure) sein, der die Hardware von der Software trennt, dem installierten Betriebssystem aber nur blanke virtuelle Hardware anzeigt. Als letztendlich virtuelles Motherboard ist solch ein Hypervisor unsichtbar für APT und von diesen nicht auffindbar.

Der Hypervisor muss speziell für die Erkennung ausgelegt (also ein sogenannter Honeypot) und so rigoros abgehärtet sein, dass er nicht selbst Angriffsziel wird. Hierdurch wird auch jegliche Abhängigkeit von einem OS aufgehoben (ein eklatanter Mangel einiger existierender Lösungen), so dass die Erkennung eine OS-agnostische wird. Als privilegiertester Beobachter auf der Plattform ist der Hypervisor in der Lage, jede Veränderung an der beobachteten Hardware zu erfassen.

Überdies kann ein gut durchdachter Embedded-Hypervisor mit ganz kleiner eigensicherer Codebasis die Installation auf typischen PC-basierten Embedded-Systemen installiert werden, die doch eher über bescheidene Rechenleistung und Speichergröße verfügen. Die geringe Größe des Hypervisors wird das Sicherheitsniveau des Gesamtsystems weiter stärken und die Angriffsoberfläche erheblich reduzieren.

Auf diese Weise werden die heimlichsten Rootkits sofort abgefangen: MBR Wiper (z.B. Dark Seoul), MBR-Infektoren (z.B. TLD4), VBR-Infektoren (z.B. XPAJ), verborgene Dateisysteme nutzende Malware (z.B. ZeroAccess), etc..

Derzeit erfordert die Ermittlung der genauen Einzelheiten solcher Infektionen eine mühsame und langwierige forensische Analyse: sie verfügt nicht über die forensischen Daten der nicht infizierten Hardware und muss die gesamte Hardware hinsichtlich der Infektion analysieren. Im wahrsten Sinne des Wortes bedeutet das, die Nadel im Heuhaufen zu suchen.

Dieser Hypervisor jedoch erlaubt die Erstellung eines sofortigen und abgestimmten forensischen Berichts, der nur die infizierten Bereiche enthält, mit einer automatischen Analyse der sauberen und der infizierten Zustände (ein Hypervisor behält immer das sogenannte Gold Image, in diesen Fall: ein sauberes, uninfiziertes Masterbild).

Zur erfolgreichen Eindämmung von APT-Angriffen ist ein Out-of-the-Box-Ansatz erforderlich, dessen Funktionalität im Gegensatz zum fertigen, geschlossenen Abwehrsystem vom Anwender frei definierbar ist. Der Einsatz eines sicheren Embedded-Hypervisors als Ebene zur proaktiven Erkennung holt aus der „Box“ (nämlich dem attackierten Betriebssystem) die Sicherheit wortwörtlich heraus.

* Avishai Ziv ist Vice President of Cyber Security Solutions bei Lynx Software Technologies.

(ID:42947722)