Startseite > Office & Kommunikation > Zehn entscheidende Aspekte einer zeitgemäßen Cybersicherheitslösung

Tipps und Denkanstöße zur IT-Sicherheit

Zehn entscheidende Aspekte einer zeitgemäßen Cybersicherheitslösung

23. Oktober 2015, 11:34 Uhr | Axel Pomper, funkschau (Quelle: Palo Alto Networks)

Fortsetzung des Artikels von Teil 1

Angriffslebenszyklus & fortschrittliche Bedrohungen

3) Daten schützen in mehreren Stufen des Angriffslebenszyklus

Alle Angriffe bestehen aus mehreren aneinandergereihten Stufen, die den Angriffslebenszyklus bilden. Allerdings müssen alle Phasen erfolgreich sein, damit das Ziel des Angreifers erfüllt werden kann. Die vier wichtigsten Phasen, in denen Angriffe verhindert werden können sind: Lieferung, Ausnutzung der Schwachstelle, Installation der Malware sowie Steuerung & Kontrolle. Stand-alone-Sicherheitstools, wie herkömmliche IPS oder Web-Proxies, die allein auf eine dieser Stufen abzielen, reichen nicht, vor allem wenn neue oder unbekannte Techniken eingesetzt werden.

Eine wirksame Präventionsstrategie beinhaltet aufeinander abgestimmte Technologien, die Angriffe in jedem Stadium verhindern und bekannte Techniken unterbinden kann, bevor der Angreifer sein Ziel erreicht. Dies umfasst das Blockieren der Auslieferung bösartiger Dateien über kompromittierte Webseiten, den Schutz vor Exploits-Kits und Software-Schwachstellen, das Stoppen der Installation und des Ausführens von Dateien, die bekannte Malware enthalten, das Unterbinden von Command&Control-Kommunikation nach außen und die Beschränken der seitlichen Bewegung durch Segmentierung. Die Reduzierung der Angriffsfläche, verbunden mit vollständiger Transparenz und Präventionsmechanismen in jeder Angriffsphase, tragen entscheidend dazu bei, dass das Netzwerk sicher bleibt.

4) Abwehr fortschrittlicher Bedrohungen, die speziell entwickelt wurden, um Sicherheitstools zu umgehen

Fortschrittliche Bedrohungen werden entworfen, um Verteidigungsmaßnahmen zu umgehen. Manchmal ist ausweichender Verkehr nicht bösartig, sondern es soll eine ständige Verfügbarkeit für die Nutzer erreicht werden. Typische bösartige Ausweichmanöver lassen sich in drei Gruppen einteilen:

Ausweichmanöver auf Netzwerkebene beinhalten Modifikationen der Paketreihenfolge und Sequenz. Hierzu zählen Tricks wie Fragmentierung und Verschleierung. Eine böswillige Nutzlast wird in einzelne Pakete aufgeteilt oder wird durch gutartige Pakete voneinander getrennt, um Intrusion-Prevention-Systeme zu umgehen. Einmal im Netzwerk, werden die Pakete richtig zusammengesetzt zum bösartigen Inhalt.
Ausweichmanöver auf Anwendungsebene lassen sich in zwei Klassen unterteilen: solche, die speziell entworfen wurden, um die Sicherheit zu umgehen, wie externe Proxys und Verschlüsselungstunnel, und diejenigen, die angepasst werden können, um das gleiche Ziel zu erreichen, wie Remote-Server und Desktop-Management-Tools. Durch Analyse dieser verschachtelten Anwendungen und Unterfunktionen lassen sich diese Ausweichmanöver erkennen.
Ausweichmanöver auf Benutzerebene sind Taktiken wie Phishing und Malvertising, bei denen die Opfer einen Link erhalten, der einen Exploit-Kit enthält oder zu einer gefälschten Website führt oder das Öffnen einer Anlage die Ausführung von bösartigem Code auf dem Rechner des Opfers bewirkt.

Cybersecurity-Tools, die mit statischen Signaturen arbeiten, bieten nur Schutz vor bekannten Bedrohungen, etwa wenn bekannte Malware ausgeliefert wird über eine bekannte bösartige URL unter Verwendung einer bekannten Schwachstelle und mit Kommunikation zu einer ebenso bekannten Command&Control-Domain. Die schiere Zahl der Exploit- und Malware-Varianten erfordert Schutzfähigkeiten, die diese Last verarbeiten können. Dies kann entweder mittels einer riesigen und ständig wachsenden Bibliothek von Exploit- und Hash-basierten Signaturen erfolgen oder durch eine kleinere Gruppe von Nutzlast-basierten Signaturen, die in der Lage sind, mehrere Variationen individuell zu erkennen und zu verhindern. Hilfreich sind feinkörnige Erkennungsfunktionen in Sandboxing- und URL-Filter-Tools.