Kurzlebige Signatur als Heilmittel gegen Angriffe
Der Security-Switch »Defense- Pro« soll in Version 4.10 selbstständig Signaturen gegen Angriffe entwickeln. Dank der Autonomie könne das IPS-System auch Attacken abwehren, die erst Stunden zuvor entwickelt wurden und daher weltweit noch unbekannt sind.
Das Reaktionsmodell der Security- Industrie ist gescheitert. Die Malware-Schreiber agieren zu schnell, als dass die Labore der Industrie rechtzeitig Gegenmittel für deren jüngste Attacken an ihre Kunden weitergeben könnten. Die Zeit ist zu knapp, und zu groß und variantenreich die Menge der Schädlinge. »Außerdem bedienen sich die Saboteure inzwischen völlig legaler Anwendungsfunktionen, mit denen sie aber Schädliches tun«, erklärt Ron Meyran, Product-Marketing-Manager bei Radware. Es werden weder Software-Schwächen noch offensichtlich aggressive Aktionen durchgeführt, Der Verkehr wirkt auf typische Abwehrsysteme völlig normal, obwohl es sich um einen Angriff handelt.
Zeitlich begrenzte Lebensdauer
Daher hat Radware ihrem IPSSwitch »DefensePro« Autonomie geschenkt. Er soll selbstständig Angriffe erkennen, indem er hierfür eigenständig Signaturen entwickelt. Dabei soll das auffällige Verhalten eines Angriffs seinen Charakter enttarnen, und nicht die willkürliche und wahrscheinlich unbekannte Methode, derer er sich bedient. »Unser Ziel ist, auf diese Weise so viele illegale Anfragen und Zugriffe wie möglich zu stoppen, ohne einen legalen User zu behindern«, sagt Meyran.
Die Real-Time-Signatur, wie Radware ihr Muster nennt, berechnet der Switch mit Verkehrs-, Anwendungs- und Zustandsdaten, die er aus drei Quellen gewinnt. Er wertet die Datenlast auf den Layern 3, 4 und 7 aus, interpretiert die Zahl der Anfragen an die Server und die Requests der Clients. Er stellt historisch gesammelte Daten und Grenzwerte mit dem aktuellen Verhalten in einen Kontext. Sobald die Summe aus diesen Teildaten auf einen Angriff hindeutet, wird hierfür eine Signatur geschrieben und scharf geschaltet. Ihre Lebensdauer ist allerdings zeitlich beschränkt, so dass sie nur den jeweiligen Angriff überdauern soll. Mehr sei ohnehin nicht nötig, »da die Malware-Autoren ihre Attacken stündlich modifizieren«, so Meyran. Behielte das IPS die Signaturen, würde dies die Datenbank nur unnötig aufblasen.
Statistiken und erweiterte Reporting- Funktionen geben dem Administrator Informationen darüber, welche Aspekte und Parameter die jeweiligen Real-Time- Signaturen auslösten. So will Radware seinen Kunden die Angst vor der Dynamik des Konzepts nehmen.
__________________________________________
INFO
Radware GmbH
Industriestraße 30 – 34, 65760 Eschborn
Tel. 06196 76665-0, Fax 06196 76665-66
www.radware.com
