Ansätze für Schutzmaßnahmen gegen gezielte Angriffe
Aktuelle Security-Systeme: Mehrere Schutzschichten
Um sich vor zielgerichteten Angriffen zu schützen, müssen Unternehmen genaue Einsichten in ihre Netzwerke haben, um auf dieser Basis im nächsten Schritt wirksame Schutzmechanismen bereitzustellen. Sicherheitshersteller verschiedener Techniken, ob IPS (Intrusion Prevention System), Next Generation Firewall oder Schwachstellenanalyse, bieten Unterstützung an.
In der Vergangenheit konnten Unternehmen, die umsichtige Sicherheitsmaßnahmen getroffen hatten, davon ausgehen, dass Angreifer sich nach leichterer Beute umsehen. Dies gilt heut nicht mehr, denn Cyberkriminelle und so genannte Hacktivisten suchen sich ihre Ziele genau aus, um einen hohen Gewinn aus den Angriffen zu erzielen. Dafür setzen sie eine Vielfalt von Techniken ein und suchen sich mehrere Eintrittspunkte ins Netzwerk ihrer Opfer aus. Diesen komplexen zielgerichteten Angriffen müssen die Unternehmen mit erweiterten Gegenmaßnahmen begegnen. Daher ist es nicht weiter verwunderlich, dass nahezu jeder Sicherheitsanbieter etwas zur Verteidigung gegen die auch Advanced Persistent Threats (APT) genannten Bedrohungen beitragen will.
Die Experten sind sich darüber einig, dass es wichtig ist, genau zu wissen, was im eigenen Unternehmensnetzwerk passiert, um schnell reagieren zu können. Mittlerweile haben Anbieter aus unterschiedlichen Sicherheitssegmenten ihre Lösungen erweitert und versprechen für verschiedene Aspekte und Phasen solcher Angriffe Abwehrlösungen.
Dies gilt beispielsweise für die Hersteller von Schwachstellen-Scannern. Vulnerability Assessment oder Verwundbarkeitsanalyse spielt eine wichtige Rolle für die Verteidigung gegen APTs, denn zielgerichtete Angriffe nutzen häufig Schwachstellen in den Systemen ihrer Opfer aus, um in die Netzwerke einzudringen. Die Verwundbarkeitsanalyse bietet Unternehmen Erkenntnisse sowohl im Hinblick auf die Bedrohungen und der Wahrscheinlichkeit eines entsprechenden Angriffs als auch in Bezug auf die benötigten Sicherheitsmaßnahmen zur Verringerung des Risikos.
Schwachstellen-Scanner allein reichen hier nicht aus. Diejenigen Anbieter, die in diesem wachsenden Marktsegment mitmischen wollen, haben ihr Portfolio erweitert. Einer der typischen Vertreter dieser Klasse ist Tenable, dessen Begründer den bekannten Nessus-Schwachstellen-Scanner entwickelt hatte. Neben dem Nessus-Vulnerability-Scanner für aktives Scanning hat der Hersteller mittlerweile einen passiven Vulnerability-Scanner (PVS), eine Log Correlation Engine und das Security Center (SC) im Angebot. Die Lösung erstellt statistische Profile zu den Assets und überwacht Änderungen, die auf verdächtiges Verhalten und von der Norm abweichende Aktivitäten schließen lassen.
Eigenen Angaben zufolge unterscheidet sich dieser Ansatz dadurch von der Konkurrenz, dass Anwender mit den Tenable-Lösungen die Systeme in Echtzeit scannen und ihre Netzwerke laufend überwachen können, während andere Schwachstellen-Scanner in regelmäßigen Abständen lediglich die Konfiguration des Netzwerks und der Systeme überprüfen.
Der aktive Scanner soll agentenloses Auditing von Konfigurationen, Patches und Web-Applikationen im Unternehmensnetzwerk übernehmen, während der passive Scanner für die kontinuierliche Überwachung des Netzwerkverkehrs zuständig sein soll und Informationen bezüglich Apps, Services, Protokolle oder Hosts liefert. Security Center (SC) nutzt die Informationen, die das aktive und passive Scannen sammelt, und identifiziert auch mithilfe von Log-Analysen die Systeme, die anfällig sind, gerade von einem Exploit ausgenutzt oder bereits kompromittiert wurden. Die Plattform verfügt über Dashboards, Reports für das Schwachstellenmanagement und Compliance-Monitoring. Hinzu kommt ein zentrales Log-Management.
Schwachstellenmanagement kann aber nur die Voraussetzung für die Wahl weiterer Sicherheitsmaßnahmen sein. Die Erkenntnisse zu Angriffswegen, so Tenable, können dabei helfen, die Notwendigkeit für zusätzliche Tools und Prozesse zu verdeutlichen, zum Beispiel Next Generation Firewalls, Host Intrusion Prevention sowie Lösungen zum Security Information and Event Management (SIEM).
Next Generation Firewalls, die auf Applikationskontrolle statt der herkömmlichen Port-Kontrolle setzen, beanspruchen ebenfalls für sich, wirksamen Schutz gegen die zielgerichteten Angriffe bieten zu können. Palo Alto ist der bekannteste Hersteller einer solchen Firewall, die bereits am Perimeter die Angriffsoberfläche reduzieren soll, indem sie unerwünschte Anwendungen nicht zulässt. Die Lösung bewertet mithilfe mehrerer Klassifizierungsmechanismen für den Datenstrom alle Anwendungen, unabhängig von dem Netzwerkkanal, den sie nutzen. Die Klassifizierung dient als Basis für alle Sicherheitsregeln, White- oder Blacklisting sowie die Durchführung von Checks. Des Weiteren kann die Firewall der nächsten Generation Nutzer, Inhalte und Daten für jede Session identifizieren, sodass die Entscheidung, ob eine Anwendung als „gut“ oder „schlecht“ bewertet wird, für jede Situation separat getroffen wird.
Die erlaubten Anwendungen werden dann auf bekannte und unbekannte Bedrohungen geprüft. Intrusion-Prevention-System-Funktionen sollen etwa Schwachstellen-Exploits auf der Netzwerk- und Anwendungsschicht, Buffer Overflows, Port-Scans erkennen und abfangen. Hinzu kommen Schutzmechanismen für Content-Sicherheit (Antivirus, Anti-Spyware, URL-Filter) sowie richtlinienbasierende Entschlüsselung für alle Anwendungen und Ports.
Palo Alto setzt für noch nicht bekannte Schadsoftware auf ein eigenes Sandbox-Konzept. Im Gegensatz zu den Netzwerk-Appliances für das Sandboxing ist Wildfire eine virtuelle Sandbox-Umgebung, die entweder in der öffentlichen Cloud (vom Hersteller betrieben) oder auch in einer privaten Cloud läuft. In der mit einem Standardbetriebssystems-Image ausgestatteten Umgebung werden die als verdächtig eingestuften Dateien ausgeführt. Die Abonnenten erhalten als Ergebnis einen Analysebericht. Wird eine neue Bedrohung erkannt, so erzeugt das System eine Signatur für die infizierte Datei sowie den damit in Verbindung stehenden Malware-Verkehr, und der Anwender erhält einen Alert. Abonnenten haben zudem Zugriff auf das Reporting und Logging in Wildfire.
Auch der traditionell als Firewall-Lieferant bekannte Hersteller Checkpoint hat die eigene Blade-Architektur weiterentwickelt und um ein Threat Emulation Software Blade ergänzt, eine Sandboxing-Umgebung mit Windowsbetriebssystem-Emulationen, in der ähnlich wie bei anderen Anbietern auch verdächtige Dateien und E-Mail-Anhänge ausgeführt und auf bösartiges Verhalten geprüft werden. Weitere Software-Blades bieten Next-Generation-Firewall-Funktionen, etwa IPS, Nutzeridentifizierung, Anwendungskontrolle oder Anti-Bot.
Aus der IPS-Ecke kommend, will Sourcefire Anwendern über Big-Data-Analytics im Kampf gegen APTs zur Seite stehen. Das seit dem Sommer dieses Jahres zu Cisco gehörende Unternehmen startete mit Snort, dem quelloffenen De-facto-Standard für Intrusion Detection und Prevention.
Fire AMP (Advanced Malware Protection) soll mit leichtgewichtigen Agenten auf allen Endpunkten den gesamten Datenverkehr (nur Metadaten) festhalten und zur Analyse in die so genannte Collective Security Intelligence Cloud weitergeben. Der Anbieter nutzt keine Sandboxing-Technik, sondern setzt auf verschiedene Engines, die mithilfe von verschiedenen Techniken das Verhalten und die Aktivitäten der Dateien analysieren und Informationen etwa zum urspünglichen Dateinamen, Screenshots der Schadsoftware und aufgezeichnete Packet-Muster liefern. Weitere Analysen durch File Trajectory und File Analysis sollen zeigen, welches System zuerst infiziert wurde und auch welche Ausmaße die Infektion im Netz angenommen hat. So können die Sicherheitsexperten den Weg der Schadsoftware in ihrer Organisation nachvollziehen. Die Lösung lässt sich über Firesight auf die Überwachung des Netzwerkverkehrs erweitern. Des Weiteren hat Sourcefire mit Firepower auch eine Next Generation Firewall und Next Generation IPS im Portfolio.
Die Wunderwaffe im Kampf gegen gezielte Angriffe gibt es dennoch nicht. Das liegt zum einen daran, dass Angreifer mit Social-Engineering-Taktiken menschliche Schwächen wie Neugier ausnützen. Zum anderen aber gibt es bis dato keine Einzellösung, die absoluten Rundumschutz bietet, vielmehr sind mehrere Schutzschichten gefragt.
.png)
Lesen Sie mehr zum Thema
