Malware-Attacken frühzeitig erkennen und abwehren Incident Response bei Angriffen aufs Netzwerk

Autor / Redakteur: Maik Bockelmann, Sourcefire / Stephan Augsten

In jüngster Zeit stand die Berichterstattung zu den chinesischen Hackerangriffen auf die großen amerikanischen Zeitschriften nicht still. Bleibt nur die Frage, ob im Falle eines solchen Angriffes das eigene Unternehmen geschützt wäre. Viele sind der Meinung, die Antwort lautet „Nein“.

Firmen zum Thema

Nur wer Einblick und Kontrolle über die gesamte IT-Umgebung besitzt, kann effektiv auf Malware-Attacken reagieren.
Nur wer Einblick und Kontrolle über die gesamte IT-Umgebung besitzt, kann effektiv auf Malware-Attacken reagieren.
(Bild: Sourcefire)

Advanced Persistent Threats (APTs) – also verschleierte und langfristig angelegte Netzwerk-Attacken – galten lange Zeit als unwahrscheinlich. Doch dann berichtete die New York Times im Januar von monatelangen Attacken. Schon bald zog die Nachricht weitere Kreise: Auch das Wall Street Journal und die Washington Post meldeten, von chinesischen Hackern angegriffen worden zu sein.

Hochentwickelte Malware und gezielte Angriffe wie APTs können jedes Unternehmen überraschend treffen. Selbst die sorgfältigsten Pläne für Sicherheit und Incident Response beruhen meist auf einem veralteten Bild der Bedrohungslandschaft und sind auf Einzelfälle konzentrierte Verteidigungsstrategien.

Gezielte und hinterlistige, hochentwickelte Malware gefährdet Umgebungen durch eine Vielzahl von Angriffsvektoren, nutzt endlose Formfaktoren, startet Angriffe über einen längeren Zeitraum hinweg und kann das Ausschleusen von Daten verschleiern. Während sich die Technologien zum Erkennen und zum Schutz vor Malware weiter entwickelt haben, sind Sicherheitslücken im Überfluss vorhanden.

Versprechungen einer „Patentlösung“ für ein vielschichtiges Problem können Sicherheits- und Response-Teams wichtige Informationen übersehen lassen, die notwendig sind, um auf gezielte Angriffe und entschlossene Angreifer zu reagieren. Moderne Bedrohungen verlangen eine moderne Strategie, mit der man einer Bedrohung über ihren gesamten Lebenszyklus hinweg begegnen kann.

Nachfolgend werden die wichtigsten Schritte zur Verbesserung der Sicherheits- und Incident-Response-Strategie beschrieben. Auf diesem Weg können Unternehmen mehr Einsicht und Kontrolle in bzw. über hochentwickelte Malware erhalten und dadurch den Schutz verbessern.

Das Verteidigungssystem stärken

Jede fortschrittliche Malware-Response-Strategie muss mit Erkennen und Blockieren beginnen. Und um ohne viel „Lärm“ effektiv erkennen und blockieren zu können, ist es wichtig, grundlegende Informationen darüber zu haben, was sich im Netzwerk befindet, um es verteidigen zu können. Dazu zählen Geräte, Betriebssysteme, Services, Anwendungen, Benutzer, Inhalte und potentielle Schwachstellen.

Ebenso entscheidend ist die Malware-Erkennung, also die Fähigkeit, Dateien als Malware bereits am Eintrittspunkt in das Netzwerk zu erkennen und diese umgehend zu beseitigen. Eine weitere entscheidende Komponente ist es, Zugriffskontrollen für Anwendungen und Nutzer zu implementieren.

Diese Maßnahmen helfen nicht nur dabei, die notwendigen Schritte einzuleiten, um die Angriffsfläche für Attacken zu reduzieren. Mit den richtigen Hintergrundinformationen kann durch die Malware-Erkennung aufgedeckt werden, ob das Unternehmen Zielscheibe für gezielte Angriffe ist. Unglücklicherweise gehen viele Sicherheits- und Response-Strategien nicht über diesen ersten Schritt hinaus.

Hilfreich wäre die Fähigkeit, zeitlich zurückzublicken und bei verhinderten Angriffen so den Kontext eines entdeckten Angriffs in einem größeren Zusammenhang mehrerer Malware-Angriffe zu verstehen. Es muss bestimmt werden, ob es weit verbreitete oder spezifische Malware war und was diese für das angegriffene Unternehmen bedeutet.

Retrospektive Erkennung ist der Weg, um kontinuierlich zurückzuschauen und jedes Programm mit der aktuellen Bedrohungsinformation für Malware-Erkennung zu vergleichen. Dies beseitigt effektiv ein Schlüsselelement von Attacken – die Zeit. Um die Response-Strategie zu verbessern ist es entscheidend, dass ein Netz an Erkennungstechnologien zusammenarbeitet und den Kontext der jeweils anderen nutzen kann. Somit wird die Erkennung von Malware verbessert, direkt am Eintrittspunkt und rückwirkend auch im Netzwerk und dem Host-System.

Ziel(e) identifizieren

Noch immer reichen die besten Strategien zum Erkennen und Blockieren von Bedrohungen nur bis zu einem gewissen Punkt. Wenn ein Angriff erfolgt, muss man in der Lage sein „Patient Null“ zu identifizieren, also den Ausgangspunkt von Malware. Durch den Einblick in betroffene Systeme – in Anwendungen, die die Malware eingeschleppt haben, in Dateien, die die Malware verbreiten – ist es möglich, das Problem bei der Wurzel zu packen und eine erneute Infektion zu vermeiden.

Die Fähigkeit zu verstehen, wie die Malware innerhalb und außerhalb des Netzwerks kommuniziert, beispielsweise von System zu System oder nach außen zu Command and Control Servern, ermöglicht noch tiefere Einsicht in den Ausgangspunkt. Zudem bietet diese Methode die Möglichkeit, betroffene Systeme zu kontrollieren und verhindert erneute Infektion. Im Falle einer Infektion ist es wichtig, schnell das betroffene System zu finden, um so den Malware-Lebenszyklus zu durchbrechen.

Den Gegner erkunden

Sobald es einem Angreifer gelingt, erfolgreich die traditionellen Sicherheitstechnologien zu umgehen, tritt der Incident-Response-Plan ein. Zu diesem Zeitpunkt sind die Verantwortlichen weder rechtzeitig in Alarmbereitschaft noch handelt es sich um promovierte Forensiker, die sich eingehend mit der Datenmenge und den komplexen Analysen befassen können.

Der Einsatz von Big Data Analysen, um grundlegende Eigenschaften des Malware-Verhaltens zu identifizieren, hilft dabei, Bedrohungen schneller zu verstehen. Es ist ebenfalls wichtig Einblick zu haben, wie die Malware andere Dateien beeinträchtigt, mit denen sie interagiert oder die sie auf dem System zurückgelassen hat.

Ein einziges infiziertes Gerät kann das ganze System anstecken. Hier ist es von entscheidender Bedeutung, die Beziehungen der Systeme untereinander zu verstehen. Hat die Malware bereits damit begonnen, mit anderen Systemen zu kommunizieren? Falls ja, hat der Angreifer möglicherweise bereits die erweiterten Zugriffsrechte des zuerst infizierten Systems ausgenutzt und so den Sprung auf andere Systeme geschafft.

Mit Hilfe dieser Zugriffsrechte wäre der Angreifer in der Lage, das zuerst infizierte System zu verlassen und sich auf anderen auszubreiten. Damit wäre der Angriff für traditionelle Entdeckungsmethoden solange unsichtbar, bis Schaden entsteht. Tiefgehende Kenntnisse über die Bedrohung und ihre Verbreitung sind bei der Bekämpfung hilfreich.

Die Oberhand gewinnen

Mit verbessertem Einblick und optimiertem Schutz ist es wieder möglich, die Kontrolle zu erlangen und den Schaden zu beheben. Die Kombination aus Erkennen, Blockieren (von Malware) und dem Identifizieren befallener Systeme ermöglicht es, aus einer gefestigten Position heraus zu beginnen, Malware zu beseitigen und nicht erneut an Boden zu verlieren.

Anschließend ist es nötig, die Schutzmaßnahmen basierend auf dem aktuellsten Wissen um Bedrohungen zu aktualisieren, und Angriffsvektoren mit Hilfe von Applikationskontrolle aufzuhalten und zu beseitigen. Damit können die Risiken weiter gesenkt werden. Das Verhalten von Dateien und deren Wege zu verstehen, ermöglicht es, die Auswirkungen eines Angriffs leichter zu minimieren und den Schaden zu beheben.

Zudem ist es entscheidend, auch über Graubereiche Bescheid zu wissen. Im Falle von hochentwickelter Malware gibt es viele Graubereiche zwischen „bekannten, guten“ und „bekannten, schädlichen“ Dateien. Es ist dabei wichtig, verdächtige Dateien blockieren zu können oder sie nachzuverfolgen und basierend auf Echtzeit-Intelligenz zu analysieren.

Sobald sicherheitsrelevante Daten darauf hindeuten, dass es sich bei einer verdächtigen oder unbekannten Datei um Malware handelt, ist es mit Hilfe von Funktionalitäten zur retrospektiven Remediation des Schadens möglich, Malware zu beseitigen. Kontrolle darf aber nicht am Netzwerk Halt machen. Netzwerk-basierter Schutz sollte eng verzahnt mit dem Schutz der Geräte stattfinden. Dies stellt eine umfassende Reaktion und die Behebung des Schadens über den gesamten Lebenszyklus der Bedrohungen hinweg sicher.

Effektive Reaktion auf hochentwickelte Malware verlangt nach Einblick und Kontrolle über die gesamte IT-Umgebung und den gesamten Lebenszyklus von Bedrohungen. Erst damit ist es möglich, die Verbreitung von Malware nicht nur zu erkennen und zu stoppen, sondern auch das Risiko einer erneuten Infizierung zu minimieren. Sobald Malware schnell erkannt und beseitigt werden kann, ist die richtige Strategie für IT-Sicherheit und Incident Response gegen aktuelle Bedrohungen gefunden.

Über den Autor

Maik Bockelmann ist Director Central & Eastern Europe bei Sourcefire.

(ID:38254290)