Abwehr gezielter Angriffe (APTs)

Die Security-Hersteller nehmen sich gerne des Themas Advanced Persistent Threats (APTs) an. Doch wohl nicht alle Lösungen bieten langfristig Schutz.

In den letzten Jahren sind gezielte und nachhaltige Angriffe (Advanced Persistent Threats, APTs) zu einem Hype-Thema geworden. Über die Einbrüche bei RSA oder HB Gary, über Malware wie Stuxnet und viele andere Beispiele ist nicht mehr nur in der Fachpresse, sondern auch in der Tagespresse ausführlich berichtet worden. So ist es nicht verwunderlich, dass auch zahlreiche Hersteller von Sicherheitsprodukten diesen Trend nutzen, um neue Produkte anzubieten, die explizit vor gezielten Angriffen und individueller Malware schützen sollen.

Stefan Strobel, cirosec GmbH

Am bekanntesten sind dabei momentan Hersteller wie FireEye, deren Lösungen im Kern potentielle Malware in einer gesicherten Umgebung zur Ausführung bringen und beobachten. Malware soll so aufgrund ihres Verhaltens identifiziert werden können. Andere Hersteller, die dieses Prinzip implementiert haben sind beispielsweise Trend Micro mit seinem Deep Discovery Inspector, Ahnlab oder auch Palo Alto mit Wildfire.

Einen ganz anderen Weg geht beispielsweise der Hersteller Bromium: vSentry nutzt die Hardware-Virtualisierungs-Funktionen der Intel-Prozessoren, die seit dem Core i3, i5 und i7 verfügbar sind. Die Lösung virtualisiert die nicht vertrauenswürdigen Prozesse innerhalb des Betriebssystems so, dass eine Malware keinen Schaden mehr anrichten kann, verspricht Bromium.

Interessant ist bei allen technischen Absätzen die Frage, wie wirksam sie tatsächlich sind? Gerade wenn man sich vor Angriffen von Profis oder sogar Staaten schützen möchte, sind Techniken durchaus fragwürdig, die APTs an ihrem Verhalten erkennen wollen. Ein Angreifer mit genügend Ressourcen wird sich solche Lösungen einfach kaufen und dann analysieren, wie er seine Malware bauen muss, damit sie nicht erkannt wird. Bereits seit Jahren gibt es professionelle Malware, bei der deren Hersteller garantiert, dass sie von Virenscannern nicht erkannt wird. Es ist naheliegend, dass solche Garantien bald auf APT-Lösungen ausgedehnt werden.

Über den Autor: Stefan Strobel ist geschäftsführender Gesellschafter der cirosec GmbH und verantwortet die Bereiche Strategie und Technik. cirosec ist ein auf Informationssicherheit spezialisiertes Unternehmen, das Kunden im deutschsprachigen Raum bei Fragen der Informations- und IT-Sicherheit berät. Eine Demonstration von vSentry wird auf den cirosec Trend-Tagen im März zu sehen sein, wo dieser Ansatz erstmalig in Deutschland präsentiert wird.

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close