Schutz gegen individuelle Angriffe

Die IT-Sicherheitsindustrie befindet sich nach Einschätzung vieler Experten an einem Scheideweg. Die bisherigen Sicherheitsansätze reichen vielfach nicht mehr aus. Gründe sind unter anderem die zunehmende Zahl privater Endgeräte im Berufsalltag, immer mehr Ressourcen in der Cloud und immer zahlreichere und individuell auf ein bestimmtes Unternehmen gerichtete Hacker-Angriffe, die mit den bisherigen Techniken nur schwer zu entdecken sind.

 

Diese so genannten „Advanced Persistent Threats“ (APTs) sind so konzipiert, dass sie möglichst lange unentdeckt bleiben und in der Masse der Protokolldateien untergehen. Oft stellen die Verantwortlichen in den betroffenen Firmen erst nach Monaten fest, dass ein erheblicher Teil ihres geistigen Eigentums gestohlen wurde oder Anlagen ausspioniert wurden. Zu den offensichtlichen Schlussfolgerungen zählt, dass der traditionelle Perimeterschutz als ausreichende Sicherheitsmaßnahme ausgedient hat.

 

Unbestritten ist, dass Spear Phishing oder APT meist nur ein Ziel haben, nämlich das geistige Eigentum von Unternehmen abzugreifen oder wertvolle Daten herauszufiltern, um diese zu Geld zu machen. Dies belegen unter anderem die gezielten Angriffe des vergangenen Jahres auf die Mineralölkonzerne Exxon, Shell und BP, den Verschlüsselungsspezialisten RSA, den Online-Händler Epsilon oder den Elektronikkonzern Sony. Nach Ansicht von Experten waren die genannten Unternehmen zwar gut gegen herkömmliche Hacker-Angriffe abgesichert, also gegen Angriffe von außen. Was offenbar bis dato nicht in das Schutzszenario passte: Was passiert eigentlich, wenn sich jemand Zugang zu internen Ressourcen verschafft? In einem Fall hatten die Angreifer einen Server offensichtlich derart manipuliert, dass er Informationen nach außen gab. In anderen Fällen klickten Benutzer einen E-Mail-Anhang an und wurden so zum Opfer, ebenso diejenigen, die diese Informationen weiterleiteten.

 

In den meisten Großunternehmen sind diese Zusammenhänge durchaus bekannt und haben in den vergangenen Jahren zu einem Paradigmenwandel in puncto Security geführt. Unter anderem wurden dort häufig Awareness-Kampagnen initiiert, um auch den Aspekt der Mitarbeitersicherheit einzubeziehen. Gerade mittelständische Unternehmen, die einerseits meist ohne viel dediziertes Sicherheitspersonal auskommen müssen, andererseits jedoch vielfach stärker vom Schutz etwa ihrer Eigenentwicklung abhängen, als sie sich eingestehen, ist diese Erkenntnis noch nicht sehr verbreitet. Aber auch bei den KMUs gilt: Antivirus und Firewall als alleinige Sicherheitsmaßnahmen sind definitiv zu wenig. Gegen individuelle Angriffe ist ein Schutzschirm nötig, der diese erkennen und auch die richtigen Reaktionen zumindest unterstützen kann.

 

Zu den Herstellern, die im künftigen Sicherheitsmarkt mit einem solchen Schutzschirm punkten wollen, gehört Trend Micro. Im Vorfeld der CeBIT stellte der Security-Anbieter sein Paket „Deep Discovery“ vor, das exakt auf APTs abgestimmt ist. Es handelt sich dabei um eine Appliance, die zwischen einzelnen Netzwerksegmenten oder auf dem Gateway zwischen LAN und WAN platziert wird, im nicht minder bedrohten Industrieumfeld auch zwischen einem lokalen und einem Scada-Netz. Hauptaufgabe der Appliance ist es, die sicherheitsrelevanten Ereignisse nicht nur zu sammeln und einzeln auszuwerten, sondern für die Analyse miteinander zu korrelieren. Nach Einschätzung von Trend Micro ist das Wesen gezielter Angriffe nämlich gerade ihr komplexer, mehrstufiger Aufbau, sodass erst die Summe der Einzelereignisse Hinweise auf Gefahren geben kann.

 

Die wichtigsten Funktionen der als Hardware- oder virtuelle Appliance erhältlichen Trend-Micro-Lösung sind:

 

Sandbox-Funktionalität: Damit lassen sich Zero-Day-Malware und Exploits in Dokumenten entdecken.

 

Untereinander korrelierte Reputationsdatenbanken in der Cloud: Dies blockiert Angriffsversuche verdächtiger und bösartiger Quellen im Web.

 

Sensoren erkennen mithilfe von Korrelationsregeln die Kommunikation zwischen Schadsoftware und ihren Befehls- und Kontroll-Servern, die Ausbreitung eines Schädlings im Netzwerk und eine Kennwortausspähung.

 

Entdeckung verdächtiger Zugriffsmuster auf Unternehmensdaten.

 

Sensoren ermitteln verdächtiges Verhalten auf der Ebene von Protokollen, Anwendungen und Datenbewegungen.

 

Die Integration von „Deep Discovery“ mit gängigen SIEM-Plattformen (Security Information and Event Management) soll sicherstellen, dass sich sämtliche sicherheitsrelevanten Ereignisse und Informationen in einem Netzwerk erfassen, zudem miteinander korrelieren und über die Management-Konsolen der SIEM-Lösungen auswerten lassen.

 

Dazu Raimund Genes, Chief Technology Officer von Trend Micro: „Wir werden diesen Ansatz, Sensoren oder Horchstationen für die Spionageaufklärung und -abwehr in Netzwerken zu entwickeln, in allen relevanten Teilen unseres Produktangebots weiterverfolgen.“ Auf dem Gebiet der Korrelation sieht sich der CTO führend im Markt. Anstelle der Geräte schütze man mit den Daten die eigentlichen Vermögenswerte der Unternehmen vor gezielten Angriffen.

 

Die oben genannten Sensoren sollen in erster Linie an den Endpunkten wie Desktop- oder bestimmten Server-Systemen angebracht sein. Sie unterstützen eine so genannte Trouble-Shooting-Datensammlung, etwa auf Anfrage des Servers.

 

Die Autorin auf LANline.de: sfranke    

Weitere Artikel zu Ulteo