Suchen

Security Services aus der Cloud Sicherheit durch die Intelligenz der Masse

Autor / Redakteur: Dietmar Schnabel, Blue Coat / Stephan Augsten

Wenn Cyber-Kriminelle für gezielte DDoS-Attacken ein Botnetz nutzen, kommt das einem Cloud-Ansatz gleich. Doch was die Bösen praktizieren, lässt sich auch zum Guten einsetzen: Security Services aus der Cloud schützen durch kollektive Intelligenz wirksam vor Angriffen.

Firmen zum Thema

Die Macht der Gemeinschaft schützt vor neuen Gefahren aus dem Web.
Die Macht der Gemeinschaft schützt vor neuen Gefahren aus dem Web.

Am 4. Mai 2012 jährt sich zum zwölften Mal der Tag, an dem sich das Skript-Virus Loveletter – auch „I love you“-Wurm genannt – weltweit explosionsartig verbreitete. Ein Grund für den "Erfolg" der Malware war seinerzeit der getarnte E-Mail-Anhang "LOVE-LETTER-FOR-YOU.TXT.vbs", der viele Empfänger zum Klick animierte – und so zu ihrem Verhängnis wurde.

Viren, Würmer und Trojaner sind seither nicht weniger geworden. Doch haben sie ihre Verbreitungswege stark verändert. Ein Grund für die Verschiebung der Angriffsvektoren ist, dass Cyberkriminelle damit an der schwächsten Stelle der Malware-Abwehr in Unternehmen ansetzen: bei Webfiltern mit statischen URL-Datenbanken.

Anbieter entsprechender Filterlösungen aktualisieren ihre URL-Datenbank zwar regelmäßig. Doch reicht dieser klassische Ansatz bei der Dynamik der heutigen Attacken nicht mehr aus. Denn das Web ist inzwischen einfach zu groß geworden und wächst viel zu schnell, um es nur annähernd in seiner Gesamtheit in statischen Datenbanken abzubilden.

Allein das soziale Netzwerk Facebook hat beispielsweise im Jahr 2010 geschätzt knapp acht neue Nutzer pro Sekunde gewonnen – und soll mittlerweile rund 830 Millionen Mitglieder zählen. Jeder Nutzer erhält dabei auf Facebook eine sich ständig ändernde Webseite mit Informationen aus seinem Netzwerk.

Weiterhin kann jeder Nutzer selber beliebig viele dynamische "Pages" etwa für seinen Sportverein oder Lieblingssänger anlegen. Rechnet man dies nur auf alle deutschsprachigen sozialen Netze, Blogs, Nachrichtenseiten etc. hoch so wird schnell klar, dass statische Filter diesem Wachstum schlicht nicht gewachsen sein können.

Neue Angriffsarten über dynamische Links

Trieb früher ein Klick auf ein Attachment einen Nutzer in sein Unglück, reicht heute bereits der Besuch einer infizierten Webseite aus. Um potentielle Opfer dorthin zu führen, setzen Angreifer auf verschiedene Verfahren mit dynamischen Links. Ein Trick ist beispielsweise, entsprechende Links in Suchergebnissen eines scheinbar harmlosen Webangebots zu verstecken.

Früher kam diese Art von Angriffen hauptsächlich in Suchmaschinen zum Einsatz – für nicht ganz so harmlose Inhalte wie Raubkopien, illegale Seriennummern oder pornographisches Material. Doch das Bild hat sich komplett gewandet. Aktuelle Untersuchungen der Blue Coat Labs zeigen beispielsweise, dass die beliebtesten Web-Köder dieser Art heute in Suchergebnissen von Sites auftauchen, die entweder kostenloses Lernmaterial für Kinder oder Rabatt-Coupons für Einkäufe anbieten.

Eine weitere verbreitete Art von Attacken sind so genannte Drive-by-Injections. Cyberkriminelle infizieren hierbei beispielsweise eine legitime Website und verstecken dort einen iFrame mit einem dynamischen Link. Alternativ lässt sich zur Verbreitung solcher Links auch ein kompromittiertes Benutzerkonto eines sozialen Netzwerks nutzen. Der Besuch einer infizierten Seite reicht oftmals aus, um Malware ohne weiteres Zutun auf dem Rechner des Besuchers zu installieren.

Um ihre Herkunft noch weiter zu verschleiern, verwenden Angreifer zudem Verkettungen von dynamischen Weiterleitungen. Ein Klick auf einen Link leitet die Anfrage dabei an eine ganz andere URL weiter, hinter der wiederum eine Kette von Weiterleitungen stehen kann. Das wahre Ziel eines Links (oder die Quelle eines iFrames) ist für Benutzer nicht mehr erkennbar.

Beide Arten von Angriffen sind deshalb so effektiv, da sie meist sehr kurzlebig sind, scheinbar aus vertrauenswürdigen Quellen stammen und ihr Ziel über dynamische Links verschleiern. Der Schlüssel zu einer erfolgreichen Abwehr kann daher nur sein, die dynamischen Linkziele zu identifizieren, dann die versteckten Gefahren zu erkennen und zu bewerten. Im Anschluss lässt sich das Wissen in Echtzeit an die Stellen ausliefern, die Benutzer vor Bedrohungen aus dem Web schützen sollen.

Das Web besteht heute aus Abermilliarden von Webseiten, von denen sich viele fast in Echtzeit verändern. Statische Positiv- und Negativlisten, meist von Hand und von Web-Spidern gepflegt, haben keine Chance mehr, mit dem Wachstum und der Dynamik von Webseiten mitzuhalten.

Ein alternativer Ansatz ist, das „Wissen der Vielen“ anzuzapfen – denn eine Gruppe ist gegenüber Individuen oft im Vorteil. Wenn man über das Internet eine möglichst große Zahl von Nutzern zu einer Community zusammenschließt, die Informationen über besuchte Webseiten anonymisiert an eine zentrale Stelle übertragen, so lassen sich damit viele kompromittierte Links und Seiten erkennen.

Diese Community kann so aktiv dazu beitragen, einem Security-Service in der Cloud ein realistisches Bild von den aktuell gefragten Webinhalten zu liefern. Und dann haben intelligente Mechanismen innerhalb eines Cloud-Services wiederum die Chance, in den angefragten Seiten dynamische Links zu unerwünschten Inhalten zu entdecken – und die Community davor zu warnen.

Dynamische Linkanalyse

Um zu erkennen, was sich hinter einem Link befindet, müssen die von der Cloud-Community angeforderten Seiten zunächst von dem Security-Service analysiert werden. Dies leisten in der Praxis große Serverfarmen in weltweit verteilten Rechenzentren.

Zunächst wird dort bei der Anfrage einer unbekannten URL durch einen Benutzer die angeforderte Ressource geladen und anschließend alle dort referenzierten Inhalte – einschließlich potentiell verlinkter Malware oder in iFrames versteckter Inhalte analysiert. Verlinkte Dateien werden zudem durch mehrere Antivirenengines geschickt, um dort versteckte Bösewichte zu entdecken.

Mit einer vielschichtigen dynamischen Linkanalyse lassen sich so beispielsweise bei Blue Coats Cloud Service rund 98 Prozent der von den aktuell 80 Millionen Cloud-Nutzern angefragten Inhalte innerhalb von 300 Millisekunden automatisiert analysieren und kategorisieren. Dabei fließen auch Daten von Dritten wie beispielsweise von Google, der Anti-Phishing Working Group (APWG), PhishTank und weiteren in die Analyse mit ein.

Für die restlichen zwei Prozent erfolgen tiefergehende Analysen, an deren Ende auch menschliche Experten in den verteilen Rechenzentren stehen können. Die Ergebnisse der dynamischen Link-Analysen gleicht der Cloud-Service laufend zwischen seinen weltweiten Rechenzentren ab.

Ruft beispielsweise ein Nutzer des Cloud-Service in Singapur eine Seite mit einem versteckten iFrame auf der auf Malware verlinkt, übermittelt ein zwischengeschalteter Proxy die Anfrage zunächst an den Dienst in der Cloud. Ist der Link nicht in der zentralen Datenbank verzeichnet, beginnt die nächstgelegene Serverfarm automatisch mit der Analyse der dort hinterlegten Inhalte.

Entdeckt die dynamische Linkanalyse beispielsweise einen Trojaner, kategorisiert sie den Link entsprechend und liefert ihre Einstufung an den anfragenden Proxy zurück. Dieser entscheidet dann anhand von hinterlegten Richtlinien, ob der entsprechende Benutzer auf die Zielseite darf oder nicht.

Darauffolgende Anfragen nach dem Link – egal woher sie auf der Welt kommen – werden dann für eine gewisse Zeit automatisch mit der entsprechenden Bewertung beantwortet, bevor eine neue Analyse erfolgt. Zum Vergleich: Ein statischer Filter hätte bestenfalls erst Stunden später beim nächsten Signatur-Update oder Patch eine entsprechende Bewertung geliefert – die dann vielleicht schon längst überholt wäre.

Ein Teil des Ganzen werden

Es gibt viele Möglichkeiten, wie einzelne Nutzer aktives Mitglied einer Security-Cloud werden können – beispielsweise durch einen kostenlosen Internetfilter für zu Hause (wie etwa K9 WebProtection), über ein sicheres Web-Gateway im Unternehmen mit Verbindung zu einem Cloud-Service oder über eine lokale Desktop-Software für mobile Nutzer und Telearbeiter.

Unabhängig davon, wie die letztlich Anbindung erfolgt, ist eines sicher: Nur gemeinsam und mit Hilfe der Cloud können Nutzer heute mit den schnelllebigen Bedrohungen aus dem Web mithalten. Und je mehr Nutzer sich einer solchen Community anschließen, desto besser ist ihr Schutz. Klassische Webfilter mit statischen Signaturdatenbanken werden Angreifern immer hinterherlaufen.

Dietmar Schnabel ist Geschäftsführer DACH & Osteuropa bei Blue Coat Systems.

(ID:33369680)