Automatisierter Schutz
Sind unbekannte Cyberbedrohungen wirklich unbekannt?
Die meisten herkömmlichen Sicherheitsprodukte basieren auf der Abwehr bekannter Bedrohungen. Um der Erkennung zu entgehen, sind Angreifer gezwungen, eine bisher unbekannte Bedrohung zu kreieren. Wie gehen sie dabei vor und wie können sowohl bekannte als auch unbekannte Bedrohungen verhindert werden?
Es gibt gängige Szenarien, wie eine unbekannte Bedrohung entsteht:
Wiederverwertung einer bestehenden Bedrohung
„Recycling-Bedrohungen“ gelten als die kostengünstigste Angriffsmethode, weshalb Angreifer häufig bereits vorhandene Bedrohungen wiederverwerten und zuvor bewährte Methoden erneut einsetzen. Was diese recycelten Bedrohungen zu etwas „Unbekanntem“ macht, ist das begrenzte Gedächtnis von Sicherheitsprodukten. Herkömmliche Sicherheitsprodukte haben nur begrenzten Speicherplatz. Die Sicherheitsteams wählen die aktuellsten Bedrohungen aus und hoffen, dass sie die Mehrheit der eingehenden Angriffe blockieren können. Eine ältere Bedrohung kann aber die Sicherheitsmaßnahmen umgehen, wenn sie zuvor nicht als bekanntes Objekt kategorisiert worden ist.
Um diesen „unbekannten“ Recycling-Bedrohungen vorzubeugen, ist es entscheidend, Zugriff auf eine globale Datenbank für Bedrohungsanalyse zu haben, die heutzutage oft in eine elastische, skalierbare Cloud-Infrastruktur eingebettet ist, um das Volumen an Bedrohungsdaten zu bewältigen. Der Zugriff auf diese weitaus größere Wissensbasis kann dazu beitragen, festzustellen, ob etwas schädlich ist, um es aufzuhalten.
Vorhandenen Code ändern
Diese Methode ist etwas kostenaufwändiger als Recycling-Bedrohungen. Angreifer nehmen bei einer bestehenden Bedrohung leichte Änderungen am Code vor, entweder manuell oder automatisch, wenn die Bedrohung in das Netzwerk eindringt. Daraus ergibt sich eine polymorphe Malware oder URL. Wie ein Virus verändert sich die Malware schnell, kontinuierlich und automatisch. Wenn ein Sicherheitsprodukt die ursprüngliche Bedrohung als bekannt identifiziert und einen Schutz für sie basierend auf nur einer Variation generiert, sorgt jede leichte Änderung des Codes dafür, dass diese Bedrohung zu etwas Unbekanntem wird. Einige Sicherheitsprodukte nutzen einen Hashwert, um eine Überprüfung zu starten. In unserem Zusammenhang würde der Hashwert nur einer Variante der Bedrohung entsprechen, so dass jede neue Variante der Bedrohung als neu und unbekannt betrachtet werden würde.
Um gegen diese Bedrohungen besseren Schutz zu bieten, müssen Sicherheitsprodukte intelligente Signaturen verwenden. Intelligente Signaturen basieren auf dem Inhalt und den Mustern von Verkehr und Dateien und nicht auf einem Hashwert. So können Veränderungen und Variationen einer bekannten Bedrohung identifiziert werden und der Schutz gewährleistet werden. Die Fokussierung auf das Verhalten, anstatt das Aussehen der festen Codierung, ermöglicht die Erkennung von Mustern in modifizierter Malware.
Kreieren einer neuen Bedrohung
Angreifer, die entschlossener vorgehen und bereit sind, noch mehr Geld zu investieren, können eine völlig neue Bedrohung mit rein neuem Code erstellen. Alle Aspekte des Cyberangriffslebenzyklus müssen dabei neu sein, um wirklich als eine vorher unbekannte Bedrohung betrachtet zu werden.
- Sind unbekannte Cyberbedrohungen wirklich unbekannt?
- Vorgehensweisen gegen unbekannte Bedrohungen
Lesen Sie mehr zum Thema
