Bedrohungslage 2013

Firewalling und Intrusion-Prevention

Mit der Entwicklung komplexer Malware durch organisierte und finanziell gut ausgestattete Cyberkriminelle haben sich die Komplexität und die Geschwindigkeit, mit der sich die Bedrohungslandschaft ändert, konstant erhöht. „Cyberbedrohungen werden dadurch noch unberechenbarer“, behauptet Torsten Jüngling, Country Manager Dach von Stonesoft. Oder wer konnte Stuxnet, Flame oder Duqu vorhersehen? „Auch im kommenden Jahr werden wir wieder eine Zunahme von komplexen Cyberattacken auf bislang unbekannte Schwachstellen sehen“, ist sich Torsten Jüngling sicher. Dadurch steigt nicht nur der Druck auf öffentliche Einrichtungen, Behörden oder Unternehmen über internationale Normen und Regeln nachzudenken, auch die Anforderungen an die Netzwerksicherheitstechniken erhöhen sich enorm.

Grenzen der Intrusion-Prevention: Neben komplexerer Malware werden auch klügere Wege genutzt, diese in Systeme einzuschleusen. Dazu gehören etwa die 2010 von Stonesoft entdeckten Advanced-Evasion-Techniques (AET). Im Gegensatz zu einfachen Evasion-Techniken kombinieren AET bereits bekannte Evasions mit mehreren Millionen Möglichkeiten und variieren sie dynamisch. Hier stoßen herkömmliche Intrusion-Prevention-Systeme (IPS) schnell an ihre Grenzen. Eine minimale Veränderung, zum Beispiel des Segment-Offsets, reicht aus, damit ein Datenpaket keinem der im IPS hinterlegten Muster mehr ähnelt. Sicherheitsmechanismen wie Protokollanalyse und Signaturerkennung greifen nicht mehr, der Patch-Schutz wird quasi ausgehebelt. Zudem beschränken viele IPS die Inspektion des Datenverkehrs ausschließlich auf die IP- beziehungsweise Transportebene. Damit können sie AET nicht erkennen, die sich beispielsweise auf Ebene der Anwendungsprotokolle bewegen. Nur Systeme, die weitergehende Möglichkeiten haben, den Datenverkehr zu überprüfen, können komplexe Angriffe, wie sie AET ermöglichen, erkennen. Ein Beispiel ist der Multilayer-Normalisierungsprozess. Er berücksichtigt und beobachtet den kompletten Datenstrom über alle Netz-werkebenen. Beherrscht ein IPS diese Funktion, kann es Datenpakete exakt so dekodieren und zusammensetzen, wie das
Endsystem. Dadurch erkennt es einen getarnten Schadcode leichter und kann ihn stoppen, bevor er ins Netzwerk gelangt. Im Gegensatz zu vielen anderen Lösungen haben solche Appliances nicht nur die TCP/IP-Schicht im Blick. Vielmehr können sie weitere relevante Protokollschichten erfassen, darunter auch HTTP. Das Risiko, dass Datenpakete, die sich nicht nach den klassischen Regeln des Internetprotokolls verhalten, unbemerkt ins Netzwerk eingeschleust werden, wird so deutlich geringer.

Schnelles patchen: Die höhere Geschwindigkeit, in der sich Bedrohungen ändern, stellt eine weitere wichtige Anforderung an IPS. Nur Systeme, die sich schnell und flexibel aktualisieren lassen, können zukünftig effizient schützen. In den meisten Unternehmen kommen aber, oft aus Kostengründen, veraltete, hardwarebasierte Netzwerksicherheitssysteme zum Einsatz. Dabei haben sie einen entscheidenden Nachteil: Sie sind statisch, ein Update ist zeitintensiv oder unmöglich. Mit der dynamischen Entwicklung können sie nicht Schritt halten. Die Zukunft gehört deshalb softwarebasierten IPS- und Firewall-Systemen. Sie lassen sich dynamisch patchen, inklusive der Prüf- und Normalisierungsfunktionen. Die softwarebasierte Technologie ermöglicht es zudem, mit geringem Aufwand Updates aufzuspielen oder Konfigurationen vorzunehmen. So können Administratoren mit aktuellen Sicherheitsinformationen schnell auf Angriffe reagieren und Maßnahmen über ihr gesamtes System ausrollen. In Kombination mit einer zentralen Management-Lösung lassen sich dann Updates und Sicherheitsrichtlinien zentral standortübergreifend über das gesamte Netzwerk ausbreiten, bei Bedarf auch per Fernzugriff. Werden neue Muster entdeckt, können so binnen kürzester Zeit alle Anwendungen und Systeme abgesichert werden.

Verschmelzung von IPS und Firewall: „IPS und Firewall werden zu einer dynamischen, flexiblen, transformierbaren Security-Engine verschmelzen“, da ist sich Torsten Jüngling sicher. Denn der Nutzer kann eine solche Lösung je nach Bedarf als herkömmliche und/oder Next-Generation-Firewall (NGFW), herkömmliches und/oder Next-Generation-Intrusion-Prevention-System (NGIPS), Layer-2-Firewall, VPN- oder UTM-Produkt konfigurieren. Sie lässt sich dabei auch für eine oder mehrere dieser Anforderungen gleichzeitig nutzen beziehungsweise beliebig rekonfigurieren und wiederverwenden. Dadurch können sich Unternehmen schnell an sich ständig ändernde und komplexer werdende Bedrohungen, wie die erwähnten Advanced-Evasion-Techniques, anpassen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Bedrohungslage 2013
2. Viren, Spam & Co.
3. Firewalling und Intrusion-Prevention
4. Schwachstellen-Scans

Lesen Sie mehr zum Thema

Weitere Artikel zu TREND MICRO Deutschland GmbH

Sicherheitslücken gefährden 5G-Netze

Studie: Einsatz privater drahtloser Netzwerke wächst stark

Eine Herausforderung unserer Zeit 

KI-generierten Betrug verhindern

VicOne und ZDI: Pwn2Own Automotive 2025

Ethical Hacking für mehr Cybersicherheit in Fahrzeugen

Bericht von Trend Micro

So entwickelt sich der Cyber-Untergrund

CES 2025: Trend Micro und Intel

Gemeinsam gegen versteckte Bedrohungen

Weitere Artikel zu Digital Workplace

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

„LG 27BA75QB-B“ im Test

Business-Profi mit Komfort-Funktionen

Homeoffice: Studie von Design Offices

Früher war mehr Kultur

Teamviewer One

Teamviewer mit neuer Digital-Workplace-Plattform

Zukunft zum Anfassen

OMR 2025: Wo KI vom Hype zur Umsetzung wird

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler