Maksim Kabakou - Fotolia

F

Kann Sinkholing die Abwehr von Advanced Threats verbessern?

Sinkholing hilft Sicherheitsexperten dabei, infizierte Geräte zu analysieren und sogar Malware auf kompromittierten Endpunkten zu deaktivieren.

Security-Experten nutzen eine Sinkholing genannte Taktik, um durch Malware infizierte Systeme zu analysieren und zu kontrollieren. Wie funktioniert Malware-Sinkholing und wie kann es dazu beitragen, Unternehmen gegen Advanced Threats zu verteidigen?

Sinkholing ist eine Weiterentwicklung der Honeypot-Technologie und von Tools wie LaBrea Tarpit (PDF). Ziel bei Sinkholing ist die Kontrolle der Command-and-Control-Infrastruktur (C&C) eines Botnets oder andere Malware-Kommunikation. Unter Verwendung dieser Kommunikation werden Daten darüber gesammelt, wie die Malware arbeitet, um dann das Botnet zu deaktivieren – und nach Möglichkeit auch die Malware auf den kompromittierten Endpunkten.

Sinkholing kann das Identifizieren der externen Command-and-Control-Server und das Erlangen der Kontrolle via Sicherheits-Exploits beinhalten. In der Regel erfordert dies jedoch eine Art von rechtlicher Genehmigung. Logs und Verbindungsdaten können analysiert werden, um kompromittierte Systeme zu ermitteln, ob und welche Art von Daten gestohlen wurde und die Funktionsweise der C&C-Infrastruktur herauszufinden. Dies kann erfolgen für interne Hosts oder auch möglicherweise für externe Hosts, die Ihr Netzwerk oder DNS benutzen.

Sinkholing kann die Unternehmensverteidigung durch das Erkennen von kompromittierten Endpunkten verbessern. Die verbesserte Erkennung wird außerdem helfen, die Reaktionszeit auf einen Vorfall zu reduzieren und dessen Auswirkungen zu ermitteln. Dieser Nachweis kann von außerhalb Ihres Unternehmens erfolgen, womit Sie von der Arbeit anderer Organisationen bei der Ermittlung von Kompromittierungsindikatoren profitieren. Diese verbesserte Erkennung kann auch einem generellen Threat-Intelligence-Tool hinzugefügt werden, das dann verwendet wird, um mit seiner „Intelligenz“ anderen Sicherheits-Tools zu füttern. Beispiele dafür sind Cisco Advanced Malware Protection, FireEye Threat Intelligence oder Threat Connect.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über NAC- und Endpunktsicherheits-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close