Malware-Vorhersage

Internet Storm Center sucht Anomalien im Web Traffic

Seite: 2/2

Firmen zum Thema

Sensoren und Honeypots schaffen mehr Sicherheit

Um effektiv arbeiten zu können, benötigt das ISC eine ständige Zufuhr von Log-Einträgen. Täglich erreichen es mehrere Millionen dieser Datenpakete von rund 500.000 unterschiedlichen IP-Adressen aus über 50 Staaten. Sie stammen größtenteils von Privatpersonen, die sie dem ISC über eine freie Software senden und zur Verfügung stellen. Hinzu kommt eine wachsende Zahl von Unternehmen, die sich inzwischen ebenfalls bereit erklärt hat, mit ihren Log-Einträgen zum Erfolg des ISC beizutragen.

Alle Beteiligten bilden ein Netz von Sensoren, das über die gesamte Welt verteilt das Internet auf ungewöhnliche Datenströme hin überwacht. Während hierbei ursprünglich vor allem Log-Einträge von Firewalls gesammelt wurden, bilden zunehmend auch Honeypots eine lohnende Informationsquelle.

Erreichen die Daten das ISC, werden sie in das DShield-Programm eingespeist. Es verarbeitet die Informationen automatisch und ermöglicht es, die gewaltige Datenmenge und in kurzer Zeit zu analysieren. Hierfür stehen mehrere Dutzend freiwillige IT-Sicherheitsexperten zur Verfügung. Sie überprüfen, ob es sich bei einer Anomalie um eine echte Malware-Attacke handelt und ordnen dieser dann einem Gefährdungsgrad zu.

All diese Informationen, die Analysen und Gedanken der Experten zu Anomalien und potenziellen Angriffstrends, werden gesammelt und täglich in sogenannten „Handler Diaries“ auf der Website des ISC veröffentlicht. In zusammengefasster Form werden sie zudem an die rund 100.000 Abonnenten des SANS Security Alert Consensus, weitere IT-Sicherheits-Analysezentren, Medien, öffentliche Foren und staatliche Sicherheitsdienste weitergereicht. Die an der Informationssammlung beteiligten Personen und Organisationen erhalten die Daten natürlich in ausführlicherer Form, um ihrem Engagement Rechnung zu tragen.

Mehr Sicherheit durch Vernetzung und Transparenz

Zusammenarbeit und Öffentlichkeit, diese Eigenschaften sind es, die das ISC auszeichnen: Die Fähigkeit, Daten in Echtzeit dezentral über den ganzen Erdball verteilt zu erfassen, diese dann zentral auszuwerten, aus den Analyseergebnissen regionale wie globale Angriffsmuster abzuleiten und schließlich der Öffentlichkeit frei zugänglich zu machen.

Mit diesen Informationen ausgestattet, kann neue ausgefeilte Schadsoftware schon in einem frühen Verbreitungsstudium erkannt, können infizierende Websites ausgemacht und entsprechende Abwehrmaßnahmen eingeleitet werden. Darüber hinaus bietet die Arbeit des ISC auf lange Sicht aber auch die Möglichkeit, Einsicht in die Entwicklung der Angriffsmuster zu nehmen und dadurch mit jedem Tag besser auf künftige Bedrohungslagen reagieren zu können.

So konnte das ISC zum Beispiel genau verfolgen, wie die Hackerszene nach dem gescheiterten Angriff mit dem Wurm Li0n im Jahr 2000 noch einige weitere Jahre auf Würmer setzte, inzwischen aber wohl auf den Einsatz von Bots umgeschwenkt hat. Auch konnte ein kontinuierlicher Anstieg der Angriffe auf Industrieunternehmen und damit von Vorfällen mit einem primär finanziellen Hintergrund festgestellt werden.

Hacker werden den Sicherheitsexperten wohl auch in Zukunft immer einen Schritt voraus sein. Das ISC kann aber entscheidend daran mitwirken, diesen Abstand nicht zu groß werden zu lassen.

* Manuel Schönthaler ist Direktor Deutschland beim SANS Institute.

(ID:43282550)