Schadcode-Evolution: Erkennung und Management von Bedrohungen

Sandboxing, Whitelisting und Big-Data-Analyse gehören heute neben Antimalware-Software und Firewalls zu einer erfolgreichen Verteidigungslinie.

Heutzutage umgehen Cyberkriminelle einfach und schon fast mit einer Art Routine die Security-Mechanismen von Unternehmen. Sie lassen Angriffe wie ganz normale Arbeitsabläufe aussehen, die damit optimal getarnt sind. Diese fortgeschrittenen Angriffs-Methoden sind keine Seltenheit mehr. Sie untergraben dabei die traditionellen Antiviren- und Antimalware-Produkte, weil diese nur nach derzeit bekanntem Schadcode suchen.

Sehen wir uns als Beispiel den neu entdeckten Trojaner APT.BaneChant an. Dieser benutzt gleich mehrere Techniken, um unerkannt zu bleiben. Eine davon ist, sich als legitimen Prozess zu tarnen. Weiterhin überwacht der Schadcode Mausklicks, um Sandbox-Analyse zu umgehen. Durch XOR-Verschlüsselung schlägt die Malware der Technologie ein Schnippchen, die eine Erkennung durch Binär-Extraktion auf Netzwerk-Ebene durchführt. Weiterhin lädt der Trojaner schädlichen Code direkt in den Speicher. Domänen-Blacklisting entkommt die Malware, indem Sie Umleitungen von URL-Kürzungsdiensten und dynamische DNS-Dienste benutzt.

Solche Angriffe zeigen die Grenzen von existierenden Security-Analyse-Tools auf. Der kürzlich ausgegebene APT1-Bericht der Mandiant Corp. zeigt, wie technisch ausgereift und ausgeklügelt Cyberspionage-Aktionen geworden sind. Ein anderer Bericht von LogRhythm aus dem Jahre 2013 bringt eine alarmierende Erkenntnis zum Vorschein. 75 Prozent der befragten Personen trauen es sich nicht zu, dass Sie die Schlüsselindikatoren eines Einbruchs erkennen.

Viele aufgedeckte Einbrüche waren lange Zeit unentdeckt. Dabei wurden die meisten davon nicht von den hauseigenen Administratoren, sondern von einem Drittanbieter aufgespürt.

Unternehmen können sich nicht mehr länger auf den Schutz von Endpunkten verlassen, um solche Arten von Angriffen abzuwehren. Firmen müssen also Verteidigungs-Maßnahmen implementieren, die derart fortgeschrittene Malware auf allen Ebenen bekämpfen, sowie eigenartiges Verhalten erkennen und melden. Zum Glück aktualisieren viele Security-Anbieter ihre Produkte mit neuen Methoden, womit Sie den Gefahren der heutigen Zeit effektiv entgegenwirken können.

Big-Data-Analyse

Big-Data-Analyse (Big Data Analytics) ist eine verbreitete Methode, um versteckte Aktivitäten von Schadcode im hohen Netzwerkaufkommen eines Unternehmens aufzuspüren. Als Big Data bezeichnet man jeglichen Typ von Daten, strukturiert oder nicht strukturiert, die in irgendeiner Form Netzwerk-Verkehr auslösen. In Unternehmen gibt es eine Unmenge an Daten, die durch das Netzwerk fließen. Dazu gehören Emails, Dokumente, soziale Medien, Audio, Streams, Logdateien und so weiter. Weiterhin starten und stoppen sich laufend irgendwelche Prozesse. Veränderungen bei der Prozessorlast und dem Verbrauch von Arbeitsspeicher können auch Indikatoren sein, dass irgendetwas faul ist. Der Einbezug externer Quellen im Hinblick auf Bedrohungen könnte Aufschluss geben, welche Änderungen sich im Rahmen des Akzeptablen befinden. Somit würde die Analyse nicht nur die Daten eines Unternehmens in Betracht ziehen, sondern auch Erfahrungswerte aus anderen Untersuchungen zu Rate ziehen. Normalerweise liegen diese gesammelten Dateien auf irgendeinem Massenspeicher in den Tiefen des Data-Centers. In der heutigen Zeit ist es aber notwendig, dass man schnell an diese Daten kommt und diese entsprechend auswerten kann. Mit Hilfe von neuen Technologien könnte man fortgeschrittene Angriffe aufspüren, die sonst womöglich nie aufgedeckt würden.

SIEM-Produkte (Security Information and Event Management) bieten eine zentrale Stelle für das Sammeln und Monitoring von Daten an. Allerdings wurden diese in erster Linie entwickelt, um diversen Richtlinien gerecht zu werden. Im Speziellen gilt das für PCI DSS (Payment Card Industry Data Security Standard). Nur wenige Unternehmen nutzen die Fähigkeiten dieser Technologien aus. Weiterhin bieten die meisten Produkte zu wenig Details an, als dass man diese für die notwendigen Analysen verwenden könnte. Die Hersteller versuchen diesen Umstand mit der nächsten Generation von SIEM-Produkten zu verbessern. Sie erweitern den Bereich der gesammelten Daten und bieten Echtzeit-Analyse an. Damit lassen sich die verschiedenen Ereignisse in einen Zusammenhang bringen und es ist leichter, unnatürliche Aktivitäten zu finden. Es sollte erwähnt sein, dass NBAD-Produkte (Network Behavioral Anomaly Detection) diese Option bereits beinhalten. Allerdings ist damit nur eine Analyse auf Netzwerk-Ebene möglich.

Echtzeit-Analyse lernt beim Auswerten von Big Data hinzu. Die Software ist intelligent und versteht, was normal und ungewöhnlich ist. Damit erhöhen sich die Chancen enorm, fortgeschrittene Angriffe oder Einbrüche auf verschiedenen Ebenen zu erkennen. Wir sprechen hier von möglichen Bedrohungen, Betrug und sogar Angriffen aus dem eigenen Unternehmens-Netzwerk. Solche Vorbeuge-Maßnahmen sollen beim Hase-und-Igel-Spiel mit den Cyberkriminellen einen Vorteil verschaffen. Mögliche Angriffs-Muster werden erkannt, selbst wenn sie sich über einen gewissen Zeitraum ausweiten.

Es drängen viele neue und innovative Produkte auf den Markt. Die Plattform SIEM 2.0 von LogRhythm lässt sich nun mit Nexpose von Rapid7 verbinden. Somit können Administratoren Security-Analysen direkt mittels der LogRhythm-Konsole betreiben und dementsprechend die Risiken einschätzen. IBM verbindet Sicherheits-Intelligenz mit Big Data. Dazu bietet die Firma IBM Qradar Security Intelligence zusammen mit IBM Big Data Platform an. Damit haben Sie eine komplette Lösung für Echtzeit-Analyse bezüglich strukturierter und unstrukturierter Daten. Das Produkt RSA Security Analytics bedient sich bei einer globalen Security-Community. Zusammen mit RSA FirstWatch wird in Augenschein genommen, was andere bereits entdeckt haben. Somit verbessert sich die Chance, schädliche Aktivitäten in den Datenströmen eines Unternehmens zu erkennen.

Skalierbarkeit, mächtige Analyse-Tools und Unterstützung für heterogene Ereignis-Quellen gehören zu den wichtigsten Fähigkeiten der SIEM-Produkte der nächsten Generation. Das gilt vor allen Dingen für Prozesse, bei denen Zeit eine Rolle spielt. Hier muss die Software große Datenmengen schnell verarbeiten. Erkennung von Betrug wäre ein Beispiel dafür. Je nach Unternehmen gibt es unterschiedliche Risiken, die eine höhere Priorität haben. In diesen kritischen Bereichen könnte man auch zusätzliche Werkzeuge als weiteren Schutz mitlaufen lassen. Weiterhin müssen die eingesetzten Tools Big Data übersichtlich darstellen, damit der Administrator infizierte Geräte und andere Problemzonen sofort erkennen kann.

Sandboxing und Whitelisiting

SIEM und Big Data sind nicht die einzigen Optionen, wie man den heutigen Bedrohungen entgegenwirken kann. Sandboxing und Whitelisting sind alternative Technologien, die Sie in Betracht ziehen sollten. Die Whitelist Security Software von Bit9 ist eine Lösung, die auf Vertrauensbasis arbeitet. Administratoren können die laufenden Endpunkt-Agents so konfigurieren, dass nur bestimmte Software auf den Desktops und Notebooks ausgeführt werden darf. Weiterhin gibt es eine neue Funktion, bei der Sie den Cloud-basierten Bit9 Software Reputation Service zu Rate zu ziehen können. Verdächtige Malware und dazugehörige Dateien lassen sich so sehr effizient identifizieren.

Beim Sandboxing trennt man die Applikationen voneinander. Somit kann schädlicher Code nicht von einem Prozess auf den anderen überspringen. Jede unbekannte Applikation oder fremder Inhalt lässt sich als nicht vertrauenswürdig abstempeln und wird isoliert in einer eigenen Sandbox ausgeführt. McAfee und andere Security-Anbieter haben mit entsprechenden Technologie-Zukäufen ihr Portfolio in dieser Hinsicht erweitert. Es gibt Pläne für die zweite Jahreshälfte im Jahre 2013, die Sandboxing-Technologie in der hauseigenen ePolicy Orchestrator Suite anzubieten. Möglichen Schadcode in einer Sandbox einzusperren, hilft der Software die Malware direkt am Endpunkt zu untersuchen. Somit lassen sich künftig auftretende Verwandte sofort blockieren und auch bereits infizierte Endpunkt-Geräte behandeln. Der Cloud-basierte Sandboxing-Dienst FortiCloud von Fortinet stellt ein Online-Sandboxing-Portal zur Verfügung. Dort können Sie verdächtigen Code in einer virtuellen Umgebung laufen lassen.

Natürlich müssen Security-Teams die Erkennung von Bedrohungen und den Schutz auch auf mobile Geräte ausweiten, die sich mit dem Firmennetzwerk verbinden. Vor allen Dingen sind mobile Anwender in der Regeln dreimal so häufig von Phishing-Angriffen betroffen als Desktop-Nutzer. Das Mobile Security Network von Lookout bietet einen effektiven Online-Schutz. Lookout ist ein weiteres Produkt, das Big-Data-Analyse für die Malware-Erkennung verwendet. Betreiben Unternehmen einen eigenen App-Store, können sie die Lookout-API benutzen. Damit stellen sie sicher, dass die Apps frei von Schadcode sind. Der Dienst RSA FraudAction Anti Rogue App erkennt ebenfalls schädliche oder unautorisierte mobile Apps, die sich in die App-Stores schleichen wollen.

Es ist egal, welche der genannten Technologien Sie einsetzen. Am wichtigsten sind die Administratoren, die diese konfigurieren und überwachen. Menschen werden immer einen großen Anteil an der Erkennung von Bedrohungen haben. Administratoren müssen lernen, wie sie die verfügbaren Technologien am effizientesten einsetzen. Nur so ist ein optimaler Schutz gewährleistet. Seminare wie Symantecs Cyber Threat Detection und Incident Response Training oder die intensiven Kurse von SANS helfen Mitarbeitern, wie sie Bedrohungen aufspüren und bekämpfen können. Weiterhin lernen Sie dort, wie Sie sich von einem erfolgreichen Cyber-Angriff wieder erholen.

Wie bei jeder neuen Technologie gilt auch hier: Lassen Sie sich nicht vom Marketing-Hype der Hersteller beeindrucken. Sich mehr auf das Erkennen und entsprechende Reaktionen zu konzentrieren, schickt die traditionellen Security-Technologien wie Firewalls und Antiviren-Software noch lange nicht in den Ruhestand. Wenn Sie ein Netzwerk optimal absichern wollen, brauchen Sie dokumentierte Regeln und Verfahren. Damit legen Sie den Grundstein zum Erfolg. Die Klassifizierung von Daten ist essentiell und die Abwehr von Angriffen beginnt mit dem Erkennen von Bedrohungen. Das Beseitigen von Altlasten und die Pflege der Systeme sind natürlich weitere wichtige Bausteine.

Über den Autor: Michael Cobb, CISSP-ISSAP, ist der Gründer und Geschäftsführer von Cobweb Applications Ltd. Die Consulting-Firma hilft Unternehmen bei der Absicherung ihrer Netzwerke und Webseiten, sowie bei der Zertifizierung nach ISO 27001. Cobb ist ein anerkannter Security-Spezialist und -Autor mit mehr als 15 Jahren Erfahrung in der IT-Industrie. Weiterhin bringt er 16 Jahre Erfahrung aus der Finanzwelt mit sich.

 

Artikel wurde zuletzt im Juni 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Neue IT-Sicherheitsrisiken

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close