Maksim Kabakou - Fotolia

F

Kann Sinkholing die Abwehr von Advanced Threats verbessern?

Sinkholing hilft Sicherheitsexperten dabei, infizierte Geräte zu analysieren und sogar Malware auf kompromittierten Endpunkten zu deaktivieren.

Security-Experten nutzen eine Sinkholing genannte Taktik, um durch Malware infizierte Systeme zu analysieren und zu kontrollieren. Wie funktioniert Malware-Sinkholing und wie kann es dazu beitragen, Unternehmen gegen Advanced Threats zu verteidigen?

Sinkholing ist eine Weiterentwicklung der Honeypot-Technologie und von Tools wie LaBrea Tarpit (PDF). Ziel bei Sinkholing ist die Kontrolle der Command-and-Control-Infrastruktur (C&C) eines Botnets oder andere Malware-Kommunikation. Unter Verwendung dieser Kommunikation werden Daten darüber gesammelt, wie die Malware arbeitet, um dann das Botnet zu deaktivieren – und nach Möglichkeit auch die Malware auf den kompromittierten Endpunkten.

Sinkholing kann das Identifizieren der externen Command-and-Control-Server und das Erlangen der Kontrolle via Sicherheits-Exploits beinhalten. In der Regel erfordert dies jedoch eine Art von rechtlicher Genehmigung. Logs und Verbindungsdaten können analysiert werden, um kompromittierte Systeme zu ermitteln, ob und welche Art von Daten gestohlen wurde und die Funktionsweise der C&C-Infrastruktur herauszufinden. Dies kann erfolgen für interne Hosts oder auch möglicherweise für externe Hosts, die Ihr Netzwerk oder DNS benutzen.

Sinkholing kann die Unternehmensverteidigung durch das Erkennen von kompromittierten Endpunkten verbessern. Die verbesserte Erkennung wird außerdem helfen, die Reaktionszeit auf einen Vorfall zu reduzieren und dessen Auswirkungen zu ermitteln. Dieser Nachweis kann von außerhalb Ihres Unternehmens erfolgen, womit Sie von der Arbeit anderer Organisationen bei der Ermittlung von Kompromittierungsindikatoren profitieren. Diese verbesserte Erkennung kann auch einem generellen Threat-Intelligence-Tool hinzugefügt werden, das dann verwendet wird, um mit seiner „Intelligenz“ anderen Sicherheits-Tools zu füttern. Beispiele dafür sind Cisco Advanced Malware Protection, FireEye Threat Intelligence oder Threat Connect.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über NAC- und Endpunktsicherheits-Management

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close