Suchen

Wie Evasion-Techniken die Netzwerksicherheit gefährden Der gesamte Datenverkehr zählt

Autor / Redakteur: Florian Malecki, Dell Software / Stephan Augsten

Cyber-Kriminelle entwickeln immer raffiniertere Angriffsmethoden, um die Sicherheitssysteme von Unternehmen auszutricksen. Die größte Herausforderung für IT-Abteilungen sind dabei verschleierte Angriffe, die sowohl Intrusion-Prevention- als auch Firewall-Systeme täuschen.

Firma zum Thema

Um Bedrohungen im Netzwerk umfassend zu erkennen, sollten Sicherheitssysteme den Datenverkehr entschlüsseln können.
Um Bedrohungen im Netzwerk umfassend zu erkennen, sollten Sicherheitssysteme den Datenverkehr entschlüsseln können.
(Bild: © Maksim Kabakou - Fotolia)

Im Internet verhalten sich die meisten Anwender nachlässig und unvorsichtig – und erhöhen damit das Risiko für ihr Unternehmen, Opfer von Cyber-Attacken zu werden. Die Gefahren kommen aus allen Richtungen und bedrohen Netzwerke und Endpunkte wie Server, PCs oder Mobilgeräte.

Sicherheitsrisiken bergen dabei meist mangelhaft konfigurierte Einstellungen oder Rechte, ineffektive Data Governance, unzureichendes Zugriffsmanagement oder lückenhafte Nutzungsrichtlinien. Die derzeitigen Mega-Trends wie „Bring your own Device“, Big Data, Cloud Computing und Mobility verschärfen die Problematik zusätzlich und erhöhen den Druck auf die IT-Abteilungen.

Laut der Studie „The Post Breach Boom“ des Marktforschers Ponemon Institute haben sich in den vergangenen beiden Jahren sowohl der Schweregrad als auch die Häufigkeit von Datenmissbrauchs-Fällen fast verdoppelt. Im Durchschnitt, so die Untersuchung, dauert es rund 80 Tage, bis solche Daten-Ausspähungen überhaupt entdeckt werden – und noch einmal weitere vier Monate, um sie erfolgreich zu beseitigen. Etwa ein Drittel der Fälle wird von den vorhandenen Security-Systemen überhaupt erst gar nicht registriert.

Verschleierte Schadcodes tricksen Firewalls und IPS aus

Das grundlegende Problem dabei: Es liegt in der Natur von Firewalls und Intrusion-Prevention-Systemen (IPS), nur Schadcodes stoppen zu können, die sie bereits kennen. Mit sogenannten Evasion-Techniken, bei denen die Schadcodes verschleiert werden, gelingt es Cyber-Kriminellen deshalb immer wieder, diese Schutzeinrichtungen auszutricksen.

Um die schädlichen Codes zu tarnen, stehen den Angreifern hunderte von Kodierungs-Methoden zur Verfügung – und es werden ständig mehr. Die Tatsache, dass sich die verschiedenen Techniken miteinander kombinieren und verketten lassen, macht es den Security-Systemen noch schwerer, die Schadcodes zu erkennen.

Rund 200 solcher Evasion-Methoden sind Experten zufolge derzeit bekannt. Werden sie untereinander verknüpft, können Millionen von einzigartigen Cyber-Angriffen entstehen. Die Unternehmen benötigen deshalb tiefgreifendere Funktionen, um die Netzwerksicherheit zu gewährleisten.

Verschlüsselter Datenverkehr muss entschlüsselt werden

Um verschleierten Angriffen Paroli bieten zu können, müssen ihre Firewalls und IPS mit Anti-Evasion-Technologien ausgestattet sein, die in der Lage sind, den kompletten Datenverkehr zu scannen – und dabei verschlüsselten Traffic entschlüsseln können. Ganz entscheidend ist es dabei, sowohl den ein- als auch den ausgehenden Datenverkehr zu überwachen.

Wird das Augenmerk nur darauf gelegt, was von außen auf das Unternehmen einströmt, ist man gewissermaßen auf dem halben Auge blind. Befinden sich die Cyber-Kriminellen innerhalb des Netzwerks – sei es physisch oder durch bereits kompromittierte Systeme – ist man ihnen wehrlos ausgeliefert.

Um neue und bislang unbekannte Angriffsmuster sofort nach ihrem ersten Auftauchen wiedererkennen und damit stoppen zu können, sollten die Verteidigungssysteme außerdem unbedingt an ein intelligentes Sicherheitsnetzwerk in der Cloud angebunden sein. Diese Technologie ermöglicht es, permanent Sicherheits-Daten aus tausenden Netzwerken weltweit auszulesen und neue Bedrohungen zu identifizieren. Auf dieser Basis lassen sich dann entsprechende Gegenmaßnahmen entwickeln und damit die angeschlossenen Security-Systeme unverzüglich aktualisieren.

Konsolidierte Komplettsysteme bieten Vorteile

Wollen die Unternehmen dazu nicht unterschiedliche Appliances einführen und verschiedene Benutzeroberflächen verwalten, empfiehlt sich der Einsatz einer Lösung, die eine Next Generation Firewall und ein Intrusion Prevention System in einem Komplettsystem vereint.

Ein entsprechendes System, so beispielsweise auch die Dell-SonicWALL-SuperMassive-Plattform, erlaubt ein einfaches Management mit weniger Konsolen ermöglichen. Mit konsolidierten Security-Daten kann eine Komplettlösung darüber hinaus einen besonders hohen Grad an Sicherheit gewährleisten.

Über den Autor

Florian Malecki ist EMEA Solution & Product Marketing Director bei Dell Software.

(ID:42476479)