Aktuellen Bedrohungen „positiv“ begegnen

Schutz vor unbekannter Malware

24.05.2007 | Autor / Redakteur: Frank Kölmel / Stephan Augsten

Die Sicherung interner Netzwerke vor Viren, Würmern und anderer Malware ist ein Spießrutenlauf. Während die Administratoren noch alle Systeme mittels Signaturupdates gegen den letzten Feind wappnen, verbreiten Hacker bereits neue Schadcodes im Internet. Die Zeitspanne zwischen der Entdeckung einer Schwachstelle und der Verfügbarkeit von Patches liegt durchschnittlich bei ganzen 54 Tagen. Damit ergibt sich ein bedrohliches Zeitfenster, in dem die Unternehmen oft machtlos gegen einen Angriff sind.

Das Problem unbekannter Angriffe hat sich in den letzten Jahren dramatisch verschärft. Ergänzend zur Politik der regelmäßigen „Live Updates“ empfiehlt sich aus diesem Grund ein „positives“ Sicherheitsmodell. Dieses soll die Angriffsoberfläche der internen IT auf ein notwendiges Minimum reduzieren und damit die Abhängigkeit von neuen Gegen-Signaturen entschärfen.

Folgende Trends zeichnen sich ab: Malware lässt sich mit Hilfe von halbautomatischen Toolkits immer leichter entwickeln. Dadurch verkürzt sich der Zeitraum zwischen dem Bekanntwerden einer Schwachstelle und der „Geburt“ des darauf abzielenden Schadprogramms um ein Vielfaches. Laut einer Studie aus dem Jahr 2005 lagen zwischen diesen beiden Zeitpunkten im Durchschnitt nur noch sechs Tage.

Ein zweites Problem ist die rasante Beschleunigung, mit der sich Viren, Würmer und Trojaner verbreiten. Die Schadsignatur „Code Red“ aus dem Jahr 2001 verdoppelte die Anzahl seiner erfolgreichen Infektionen alle 37 Minuten. Zwei Jahre später erreichte der Wurm „Slammer“ in nur 8,5 Sekunden das gleiche Ergebnis. In knappen 10 Minuten hatte er 90 Prozent aller gefährdeten Hosts erreicht. Es ist also nur noch eine Frage der Zeit, wann die ersten „Flash Threats“ – also Schadprogramme, die in gerade mal 30 Sekunden alle anfälligen Hosts verseucht – „in the wild“ auftreten.

Flexible Malware

Darüber hinaus sind neue Viren und Würmer immer schwerer zu fassen: Hacker können sie mit Hilfe von Schadcode-Frameworks unkompliziert und schnell modifizieren, so dass die virtuellen Schädlinge sogar gleichzeitig weitere Schwachstellen ausnutzen können. Der Anteil an so genannten „Blended Threats“ stieg dadurch erheblich.

Überdies zielen die meisten Angriffe nicht mehr auf die Netzwerk- oder Transportschicht ab, sondern nehmen direkt die Anwendungen ins Visier. Viele Organisationen vernachlässigen jedoch immer noch den Schutz der Applikationsschicht (Layer 7), beispielsweise wenn sie ausschließlich Paketfilter oder Stateful-Inspektion-Firewalls einsetzen. Diese Technologien sind für anwendungsorientierte Malware blind.

Folglich verkleinert sich das kritische Zeitfenster zwischen neuer Schwachstelle und „dazugehöriger“ Malware immer weiter, während Patches in der Regel erst zu einem deutlich späteren Zeitpunkt verfügbar sind. Organisationen müssen sich also überlegen, wie sie sich über die Implementierung von Gegensignaturen hinaus gegen unbekannte Bedrohungen aufstellen können. Dabei wird es unausweichlich, die „Negativ-Methodik“, nur den „schlechten“ oder infizierten Datenverkehr zu blockieren und den übrigen zuzulassen, kritisch zu prüfen.

Seite 2: Negativ-orientierte Ansätze gegen unbekannte Attacken

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2004928 / Sicherheitslücken)