Advanced Persistent Threats - Teil 1

Im Visier abgefeimter Angreifer

Seite: 2/3

Firma zum Thema

Verteidigung: die Basics

Eine Basisverteidigung gehört natürlich nach wie vor dazu. Standardtechnologien für die Perimeter- und Endpunktesicherheit sowie Firewalls, Intrusion Prevention Systeme (IPS) und Secure Web Gateways sind für die Abwehr der meisten Angriffe maßgeblich wichtig. Auch lassen sich damit einige Aspekte eines zielgerichteten Angriffs erkennen und abblocken. Doch Perimeterschutz allein reicht schon lange nicht mehr aus, denn die gezielten Angriffe sind bewusst so konzipiert, dass sie Standardverteidigungsmaßnahmen für den Perimeter und die Endpunkte umgehen können.

Eine solche Lösung sollte netzwerkbasiert sein und an allen vitalen Punkten im Unternehmen Informationen sammeln können, sowohl am Gateway als auch in sicherheitsrelevanten Bereichen wie Entwicklungsabteilung oder Produktion. Denn die Kommunikationskanäle der Angreifer gehen nicht nur über Web- (HTTP/HTTPS) und E-Mail-basierte Protokolle.

Es gibt auch Angriffe, die am Perimeter nicht zu erkennen sind und netzwerkinterne C&C-Server nutzen – oberstes Ziel der Angreifer ist es, weitestgehend unerkannt zu agieren und nicht aufzufallen. Deshalb involvieren diese Attacken auch andere Protokolle wie NTP (Network Time Protocol), SMB (Server Message Block oder auch LAN-Manager), Syslog oder sogar ICMP (Internet Control Message Protocol). Das bedeutet, dass eine Lösung eine breite Vielfalt an Protokollen und Prüfungsmechanismen unterstützen muss, um alle verdächtigen Kommunikationskanäle zu identifizieren.

Multiple Systeme

Gegen gezielte Angriffe lässt sich das Netzwerk eines Unternehmens mit nur einer einzigen Technologie kaum abschirmen. Doch gibt es Wege, mit Kombinationen der Sicherheitstechnik einen höheren Schutz zu erreichen.

So ist generell das Vorhandensein eines IPS-Systems wichtig, doch um die Datenflut, die diese Systeme erzeugen können, auf die Informationen zu reduzieren, die im gegebenen Fall wichtig sind, bedarf es weiterer Komponenten wie etwa der forensischen Analyse-Tools, die den Ablauf eines Angriffs darstellen können und dazu beitragen, eine entsprechende Reaktion durchzuführen.

Von zentraler Bedeutung sind zudem das Sandboxing und heuristisches Scanning. Für letzteres wird ein regelbasiertes System eingesetzt, das die potenziell bösartigen Dateien schnell identifiziert. Das Scanning agiert wie ein Filter, der bereits bekannte Schadsoftware erkennt, sodass nicht jede Datei in die Sandbox weitergeleitet werden muss. Die Effizienz des Systems hängt zu einem guten Teil davon ab, wie die Regeln definiert sind. Eine wichtige Rolle spielt hier auch eine gute Signaturendatenbank. Damit lassen sich Kosten reduzieren und die Systemkapazität erhöhen.

Sandboxing

Sandboxing bezeichnet eine isolierte Simulationsumgebung, in der verdächtige Dateien ausgeführt werden, um ihr Verhalten zu analysieren, Payloads zu erkennen und somit bis dahin unbekannte Schadsoftware zu identifizieren. Damit stellt diese Technik ein wichtiges Mittel für die Verteidigung gegen gezielte Angriffe dar. Sandboxen enthalten entweder ein Standard-Image, das beispielsweise alle Versionen eines Betriebssystems oder mögliche Browser enthält oder ein Image, das der spezifischen Umgebung eines Unternehmens so weit wie möglich entspricht. Die Sicherheitshersteller bieten inzwischen in der Regel eine dieser beiden Varianten an, manche auch cloud-basiert.

Worauf es bei der Schadenbegrenzung ankommt, lesen Sie auf der nächsten Seite.

(ID:43011812)