Deep Discovery: Abwehr gezielter Bedrohungen
Korrelation entlarvt komplexe Angriffe
Cyberkriminelle nutzen gezielte Angriffe häufig in Verbindung mit Spearphishing und Zero-Day-Schadsoftware, um vertrauliche Daten oder geistiges Eigentum zu entwenden. Kernstück einer gezielten Abwehrstrategie, wie sie Trend Micro propagiert, ist es, möglichst umfassende Informationen zu sammeln, um verdächtige Netzwerkkommunikation und auffällige Verhaltensmuster zu erkennen und zu Bedrohungsprofilen zusammenzusetzen.So genannte Advanced Persistent Threats (APTs) etablieren sich zunehmend in der Cyberkriminalität. Diese sehr gezielt durchgeführten und strukturierten Angriffe sind eigens dafür konzipiert, Unternehmensnetzwerke nach wertvollen Daten zu durchforsten und sich Zugang zu internen Informationen zu verschaffen. Um die Abwehrmaßnahmen ihres Angriffsziels zu umgehen, setzen Angreifer häufig Social-Engineering-Techniken wie Spearphishing ein und Zero-Day-Exploits, die herkömmliche Schutzlösungen nicht erkennen. Daher empfehlen Analysten und Sicherheitsexperten eine neue Art des Schutzes über Netzwerküberwachung mit spezialisierten Erkennungs-und Analysetechniken, die eigens auf die Entdeckung verräterischer Anzeichen für diese Angriffe ausgerichtet sind. Sicherheitsanbieter wie Fireeye (LANline 4/2013, Seite 8) oder Trend Micro haben mit neuer Technik in Form von zusätzlichen, netzwerkbasierenden Sandbox-Produkten zur Erkennung von Malware reagiert, die weitgehend unabhängig und losgelöst von den anderen bereits vorhandenen Sicherheitslösungen agieren. Trend Micro bezeichnet die eigene Lösung für den Schutz vor den gezielten Bedrohungen als "Custom Defense". Kernkomponente davon ist das Produkt Deep Discovery und an den Endpunkten die verschiedenen Scanmail-Lösungen (für Microsoft Exchange, Lotus Domino) sowie Interscan Messaging Security. Deep Discovery besteht aus zwei Modulen: Deep Discovery Inspector und einer optionalen Komponente Advisor. Der Inspector dient dem Anbieter zufolge dem Monitoring des Netzwerkverkehrs auf der Suche nach Zero-Day-Malware, verdächtiger Netzwerkkommunikation und auffälligen Verhaltensmustern, die für herkömmliche Sicherheitslösungen unsichtbar sind. Die in Kontrollpunkte an mehreren Stellen des Netzwerks integrierte Lösung stellt für diese Aufgabe mehrere Engines bereit, die jeweils auf verschiedene bekannte Bedrohungen wie Virensignaturen, Netzwürmer, Exploits, Makroviren etc. spezialisiert sind. Die Malware-Suche kombiniert das System mit dynamischen heuristischen Suchmethoden. Deep Packet Inspection Engines sorgen laut Hersteller für Protokollerkennung, -entschlüsselung, -dekomprimierung und Dateiextraktion für sämtliche Ports und Protokollen. Ziel ist es, möglichst viele Informationen zu sammeln, um eine große Datenbasis für spätere forensischen Analysen zum Kommunikations- und Verbreitungsverhalten der sich ins Netzwerk eingeschleusten Threats aufzubauen. Für Bedrohungen, die der Software noch nicht bekannt sind, umfasst der Inspector eine Sandbox, die die tatsächliche Umgebungskonfiguration der Host-Umgebungen des Anwenders genau abbildet, und alles, was nach einem Executable aussieht, dort ausführt, unabhängig ob im doc-, exe-, pdf- oder Excel-Format. Darin unterscheidet sich die Trend-Micro-Lösung etwa von der von Fireeye, die virtuelle Sandkästen für eine Auswahl an gängigen Betriebssystem- und Anwendungsvarianten umfasst und hier den gesamten "sauberen" Netzwerkverkehr von allen IPS-Systemen, Firewalls und anderen Endpunktesicherheitsprodukten erhält. Die von der Inspector-Komponente gesammelten Informationen stehen dann den Sicherheitsverantwortlichen für Analysen sowie für Korrelationen (zwischen Engines und Sandbox) und einer übergreifenden Einstufung zur Verfügung. Dies soll getarnte, schleichend agierende oder andere versteckte Angreiferaktivitäten aufspüren, die normalerweise über einen längeren Zeitraum verborgen bleiben. Während der Inspector lediglich für die Informationssammlung zuständig ist, aber nicht für Reaktionen auf Bedrohungen, kann der Advisor beispielsweise Blacklists mit bösartigen IP-Adressen oder anderen Bedrohungen aufsetzen und an die Mail-Server weiterleiten. Die optionale Komponente stellt dieselbe Sandboxing-Technik bereit wie der Inspector, doch umfasst sie je nach Konfiguration zwischen fünf und 20 Sandkästen. Das Modul benötigt laut Trend Micro mehrere solche Boxen, denn die Mail-Produkte senden - falls entsprechende Regeln definiert sind - die Anhänge und Links zur Prüfung an die Sandkästen. Findet das Modul eine Bedrohung, so kann darauf die Reaktion erfolgen, etwa der Eintrag in Black- oder Whitelists. Die Komponente ist vor allem erforderlich, wenn mehrere Inspektoren im Einsatz sind, denn in diesem Fall übernimmt der Advisor die Koordination und Korrelation der Informationen aus den einzelnen Inspektoren. Schließlich lassen sich die lokal durch Deep Discovery gesammelten Informationen mit denen des weltweiten Trend Micro Smart Protection Networks abgleichen oder ergänzen. Informationsportal Für die Anwender gibt es das Threat Connect Informationsportal, das ihnen relevante Erkenntnisse aus dem globalen Bedrohungsnetzwerk des Anbieters zu einem Angriff liefert, einschließlich der Merkmale, des Ursprungs und der Varianten der Malware, der entsprechenden C&C IPs oder des Angreiferprofils. Auf dieser Grundlage soll der Anwender ein Bedrohungsprofil erstellen können. Das Bedrohungsprofil und andere Erkenntnisse lassen sich auch mit einem bereits vorhandenen SIEM-System teilen, um den Prozess zur Eindämmung und Beseitigung zu beschleunigen und falls nötig zuständige Behörden zu kontaktieren. Die Autorin auf LANline.de: sfranke
Lesen Sie mehr zum Thema
