Advanced Persistent Threats - Teil 2

Schutz vor zielgerichteten Angriffen

| Redakteur: Dr. Andreas Bergler

In ihren Portfolio zur Abwehr von APT setzen die Security-Hersteller unterschiedliche Schwerpunkte, und bieten demzufolge unterschiedliche Stärken und Schwächen.
In ihren Portfolio zur Abwehr von APT setzen die Security-Hersteller unterschiedliche Schwerpunkte, und bieten demzufolge unterschiedliche Stärken und Schwächen. (Bild: © Maksim Kabakou - Fotolia)

Die meisten Sicherheitsanbieter haben heute Lösungen für den Schutz vor Advanced Persistent Threats (APT) im Portfolio. Der Unterschied zwischen den mehr oder weniger vollständigen Produkten kommt häufig dadurch zustande, dass jeder Hersteller traditionell auf seine individuelle Expertise aufbaut.

Die meisten Sicherheitsanbieter stimmen heute ihre Lösungen auch auf den Schutz vor den gezielten Angriffen ab. Teil 2 der APT-Serie gibt einen Überblick über die Sicherheitslösungen anhand ausgesuchter Hersteller. Die renommierten NSS Labs haben diese Art von Lösungen in ihr Testprogramm aufgenommen. Für die Experten können so genannte „Breach Detection Systems“ über eine konstante Analyse verdächtigen Codes und die Identifizierung von Kommunikation mit bösartigen Hosts Angriffe mithilfe fortschrittlicher Malware und Zero-Day-Lücken erkennen.

Dabei geht es um Attacken, die Schutzmaßnahmen wie Next Generation Firewalls (NGFW), Intrusion Prevention Systems (IPS), Intrusion Detection Systems (IDS), Antivirus/Endpoint-Schutz sowie Secure Web Gateways (SWG) gezielt versuchen zu umgehen. Die Lösungen nutzen mehrere Techniken parallel, um den bösartigen Verkehr zu analysieren und Berichte zu den Ergebnissen zu erstellen.

„Breach Detection Systems gehören zu den Sicherheitstechnologien, die sich heute am schnellsten weiterentwickeln”, stellt Vikram Phatak, CEO der NSS Labs, fest. „Damit aber ist auch eine Menge Marketing-Hype verbunden.”

FireEye

FireEye war der erste Anbieter, der eine Lösung speziell für den Schutz vor zielgerichteten Angriffen über Mail und das Web auf den Markt brachte. Die Security-Plattform nimmt für sich in Anspruch, vor unbekannten Cyberangriffen mit Schadsoftware, für die es noch keine Signaturen gibt, zu schützen. Die Lösung besteht aus mehreren Appliances, die speziell auf unterschiedliche Angriffsvektoren und Protokolle ausgerichtet sind: Die NX-Serie erkennt Web-basierte Angriffe, etwa über Drive-by-Downloads, die EX-Serie dient dem Schutz von E-Mails vor bösartigen Anhängen, und FX obliegt die Sicherheit von Inhalten.

Jede Appliance ist mit der Sandboxing-Technologie „Multi-Vector Virtual Execution Engine“ (MVX) ausgestattet. Ankommender und abgehender Verkehr wird in virtuellen Maschinen isoliert voneinander analysiert. VX besteht aus virtuellen Maschinen mit Standard Windows-Images, Kombinationen von Browsern, Service Packs und Anwendungen. Der Anbieter stellt als ein Alleinstellungsmerkmal zum einen den hauseigenen Hypervisor heraus, der Angreifer glauben lässt, die virtuellen Maschinen würden direkt auf echter Hardware arbeiten.

Ergänzendes zum Thema
 
Hersteller und Auswahlkriterien

Zum anderen führt die VX Engine mehrfache Datenverkehrs-Analysen durch, um den Kontext einer gezielten mehrstufigen Attacke zu verstehen. Stateful-Angriffsanalysen stoßen die Analysen des gesamten Angriffszyklus vom ursprünglichen Exploit bis zur Datenextraktion an. Die Lösung reagiert mit unterschiedlich gewichteten Alarmen, wenn ein eingehender Schadcode entdeckt wurde oder auch ein dazu gehörender Callback nach draußen abgesetzt wird.

Unternehmen können die Appliance inline oder am Gateway im Monitoring-Modus einsetzen. Dies bedeutet, dass Anwender oder Admins über Schadcode benachrichtigt werden, oder gleich Maßnahmen eingeleitet werden, etwa das Blockieren von URLs oder eines Kommunikationsstrangs.

Die Security Platform war im Wesentlichen darauf angewiesen, die Schutzmaßnahmen anderer Anbieter im Unternehmen zu ergänzen. Derzeit hat FireEye damit begonnen, seine Lösung und Expertise zu ergänzen. Mit der Übernahme von Mandiant hat der Anbieter seine Lösung vom Netzwerk auch auf die Endpunkte erweitert (HX). Mandiants Stärken liegen auch im Bereich des Security Incident Response, wobei hier das Produkt seine eigene Erkennungstechnik nutzt, um festzustellen, woher der Angriff kam und welche Hosts im Netzwerk betroffen sind.

Auch ein selbst entwickeltes IPS soll als Add-on zur NX-Serie im Herbst hinzukommen. Laut Firmenaussagen wird es nicht auf der Signaturerkennung basieren, sondern auf Bedrohungsvalidierung, um die Zahl der False Positives zu reduzieren. Mit weiteren Anbietern, zum Beispiel McAfee, unterhält FireEye enge Partnerschaften und bietet über APIs die Integration von Produkten anderer Sicherheitshersteller.

Ergänzt wird die Security Platform durch forensische Analyse-Appliances und die Informationen aus der Dynamic Threat Intelligence (DTI) Cloud.

Zu den weiteren Sicherheitsanbietern geht's auf der nächsten Seite.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43114800 / Security-Testing)