Advanced Persistent Threats - Teil 1

Im Visier abgefeimter Angreifer

Seite: 3/3

Firma zum Thema

Schnelles Erkennen

Die Cyberkriminellen haben allerdings schnell darauf reagiert und ihre Software mit der Fähigkeit ausgestattet, zu erkennen, ob sie sich in einer Sandbox befinden, und dann die Ausführung zu stoppen. Dazu gehört etwa die Funktion, einen Hypervisor als Zeichen dafür zu identifizieren, dass es sich bei der Ablaufumgebung um eine Sandbox handelt.

Wenn allerdings eine mutmaßliche Payload versucht, durch verdächtige Systemtests zu prüfen, ob sie auf einer virtualisierten Plattform läuft, so ist dies allein schon ein verdächtiges Merkmal. Auch die Entwicklung eines eigenen Hypervisors, der auf der reinen Hardware läuft, oder auch der Einsatz von Sandboxen, die die Produktivumgebung eines Anwenders wiedergeben, bieten eine gewisse Abhilfe.

Alle Erkenntnisse einer Sandboxing-Lösung sollten einem weltweiten intelligenten Bedrohungsnetzwerk des Sicherheitsanbieters verfügbar gemacht werden, um künftigen Angriffen vorbeugen zu können. Damit lässt sich beispielsweise eine Quelle polymorpher Attacken unschädlich machen, bei der Weiterentwicklungen bekannter Schadsoftware den Angriff ausführen.

Vernetzung

Schließlich ist es im Falle eines Angriffs von entscheidender Bedeutung, schnell feststellen zu können, welche Endpunkte vom Sicherheitsvorfall betroffen sind, um zum Teil oder auch vollständig automatisiert Gegenmaßnahmen treffen zu können, etwa durch Isolierung, Säubern, Blacklists oder andere Mittel.

Integration und der Informationsaustausch zwischen den einzelnen Sicherheitsmechanismen (Netzwerk, Endpunkt, Gateway) ist für die Effizienz des Schutzes gegen zielgerichtete Angriffe eine Schlüsselanforderung. Dabei geht es nicht nur um die eines einzigen Anbieters, sondern auch um Schnittstellen zu Lösungen wie etwa IPS/IDS-Produkten oder SIEM-Systemen (Security Information Event Management). Gerade ein SIEM kann durch die Zusammenführung und Analyse sehr vieler Log-Dateien wertvolle Informationen liefern – doch nur, wenn diese auch an die Schutzlösung zurückgehen können.

(ID:43011812)