lolloj - Fotolia

F

Wie funktioniert die Erkennung von Zero-Day-Angriffen?

Kognitive Technologien können bei Abwehr von Zero-Day-Angriffen und der Erkennung von Schwachstellen wertvolle Dienste leisten. Wenn das Gesamtkonzept in Sachen Sicherheit stimmt.

Die sogenannten Zero-Day-Exploits stellen Unternehmen in Sachen Sicherheit vor ganz besondere Herausforderungen. Wie kann man eine Sicherheitslücke schließen und einen entsprechenden Angriff abwehren, wenn bislang nicht bekannt ist, dass diese Schwachstelle existiert? Und demzufolge natürlich auch kein Patch oder Sicherheits-Update für dieses Problem parat steht. Als Zero-Day-Lücke wird üblicherweise eine Schwachstelle in einem System oder Software bezeichnet, die der Anbieter oder Hersteller noch nicht kennt. Ein Zero-Day-Exploit nutzt diese Schwachstelle am selben Tag aus, an dem diese bekannt wurde.

Nun sind Cyberkriminelle immer besser organisiert und agieren technisch auf anspruchsvollem Niveau. Dies sorgt dafür, dass derlei Angriffe oft nicht binnen Tagen, sondern nach wenigen Stunden erfolgen. Entsprechend müssen Sicherheitsverantwortliche und Lösungsanbieter Ansätze verfolgen, um etwaige Schwachstellen schneller finden und beheben zu können.

Die gute Nachricht: Die Sicherheitsanbieter haben hier sowohl technologisch, als auch hinsichtlich der Zusammenarbeit der gesamten Industrie erhebliche Fortschritte gemacht. Neue Lösungen in Sachen Threat Intelligence erlauben eine schnellere Angriffserkennung und demzufolge auch eine bessere Schadensbegrenzung. Das Ergebnis ist eine bessere Absicherung gegenüber Zero-Day-Schwachstellen.

Das derzeit häufig strapazierte maschinelle Lernen sorgt in diesem Bereich in der Tat für eine verbesserte Angriffserkennung. Die kognitive Technologie untersucht den Datenverkehr im Netzwerk und lernt hierüber, wie sich dieser im „Normalfall“ verhält. Aus diesem Lernvorgang können derartige Lösungen auch Anomalien entdecken und so Rückschlüsse auf etwaige Bedrohungen ziehen.

Maschinelles Lernen wird von Sicherheitsforschern auch in einem anderen Bereich eingesetzt, und zwar bei der Überwachung von Aktivitäten im Darknet. Dort kommunizieren Cyberkriminelle, bieten Malware und Exploit Kits feil, oder erwerben diese. Informationen über derlei Vorgänge helfen der Sicherheitsbranche, zeitnah mögliche Exploits aufzudecken und Updates für Schwachstellen zu entwickeln.

Die Gesamtsicherheit muss stimmen

Sicherheitsanbieter und Managed Security Service Provider nutzen zudem ihre eigenen (Kunden)-Netzwerke und Sensoren, um weltweit Aktivitäten zu überwachen. Diese liefern wichtige Informationen im Hinblick auf Zero-Day-Angriffe. Zudem tauschen sich die Security-Hersteller bei diesen Daten untereinander aus, um eine Bedrohungserkennung sehr zeitnah zu gewährleisten.

Die beste und ausgefeilteste Technologie ist aber nutzlos, wenn in den Anwenderunternehmen bestimmte Vorgehensweisen nicht umgesetzt werden. Werden neue Geräte und Security-Appliances nicht richtig konfiguriert und Schwachstellen nicht ordnungsgemäß gepatcht, dann hilft auch eine gute Angriffserkennung wenig.

So sehr sich die Anbieter von Sicherheitslösungen auch bemühen, immer schneller Innovationen bereit zu stellen, Cyberkriminelle scheinen ihnen meist einen Schritt voraus zu sein. Entsprechende Wachsamkeit ist daher unabdingbar.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Bedrohungsanalysen richtig einsetzen

Die Sicherheit mit verhaltensbasierter Angriffserkennung verbessern

Bedrohungen mit verhaltensbasierten Analysen erfassen

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close