Threat Prevention – Vorsorge ist mehr als die halbe Miete

Moderne Malware ist für herkömmliche Netzwerksicherheitslösungen kaum erkennbar. Ein Schutz durch mehrere Ebenen der Prävention ist erforderlich.

In der heutigen IT-Bedrohungslandschaft agiert Malware sehr gezielt und oft sogar mit intelligenten Ausweichmanövern. Moderne Malware ist so konzipiert, um möglichst unsichtbar zu sein. 

Thorsten Henning, Systems
Engineering Manager CEE,
Palo Alto Networks

Ziel der kriminellen Akteure ist es, die Netzwerkgrenzen zu durchbrechen und mit Malware, die sich seitlich durch das Netzwerk des Unternehmens bewegt, wertvolle Daten zu extrahieren. Das alles passiert, weil die Malware für herkömmliche Netzwerksicherheitslösungen oft nicht erkennbar ist.

Sicherheitsexperten schützen Netzwerke vor diesen Bedrohungen durch mehrere Ebenen der Prävention, die sich Bedrohungen in jeder Phase des Angriffs entgegenstellen. Ein Threat-Prevention-Abonnement schützt das Netzwerk vor hochentwickelten Bedrohungen. Hierzu wird der gesamte Datenverkehr – also Anwendungen, Benutzer und Inhalte über alle Ports und Protokolle hinweg – identifiziert und überwacht.

Intrusion Prevention: Bedrohungen an der Netzwerkgrenze abwehren

Beim schwachstellenbasierten Schutz werden Exploit-Versuche und Ausweichtechniken erkannt und blockiert. Das erfolgt sowohl auf Netzwerk- als auch auf Anwendungsebene, einschließlich Port-Scans, Buffer Overflows, Protokollfragmentierung und Verschleierung.

  • Der Schutz basiert auf Signaturen und ebenso auf Erkennung von Anomalien.
  • Die Anomalie-Erkennung decodiert und analysiert Protokolle und verwendet die „gelernten“ Informationen, um bösartige Traffic-Muster zu blockieren.
  • Stateful-Mustererkennung erkennt Angriffe, die auf mehrere Pakete verteilt sind, unter Berücksichtigung der Ankunftsreihenfolge.

SSL-Entschlüsselung

Ein Großteil des heutigen Netzwerkverkehrs – fast 35 Prozent – ist mit SSL verschlüsselt, so dass es ein klaffendes Loch in der Netzwerkverteidigung gibt, wenn nicht gegengesteuert wird. Moderne Next-Generation-Firewalls verfügen über integrierte SSL-Entschlüsselungsfunktionen, die diesen blinden Fleck beseitigen. Der gesamte Datenverkehr wird inspiziert, ohne die Notwendigkeit für ein separates Gerät. Damit entfällt die Komplexität der Verwaltung separater, nicht-integrierter Technologie.

Datei-Blockierung

Die Wahrscheinlichkeit einer Malware-Infektion lässt sich reduzieren, indem verhindert wird, dass bestimmte Dateitypen in das Netzwerk gelangen. Durch das Analysieren erlaubter Dateien in einer gesicherten Umgebung kann die Angriffsfläche noch weiter eingeschränkt werden.

Netzwerk-Antimalware stoppt Malware-Auslieferung

Ein professioneller Threat-Prevention-Security-Service schützt vor Malware-Verbreitung durch individuell erstellte Signaturen, die inhalts- und nicht Hash-basiert sind. Damit ist ein Schutz gegen bekannte Malware gegeben, einschließlich Varianten, die noch nicht in freier Wildbahn entdeckt worden sind. Schutz vor neu entdeckter Malware wird täglich von einem Cloud-basierten Analysedienst bereitgestellt, um zu verhindern, dass die neuesten Bedrohungen ins Netzwerk eindringen.

Bedrohungen daran hindern, das Netzwerk zu erforschen

Da leistungsfähige Plattformen flexibel und hochverfügbar sind und einen hohen Durchsatz mit ihrer Single-Pass-Scan-Architektur unterstützen, können sie überall im Netzwerk eingesetzt werden:

  • am Netzwerkperimeter
  • am Rand des Rechenzentrums
  • zwischen virtuellen Maschinen im Rechenzentrum
  • in der verteilten Unternehmensumgebung, einschließlich Remote- und mobiler Anwender, Zweigniederlassungen und Betriebsstandorten
  • an allen Punkten der Segmentierung

Der Daten-Exfiltration ein Ende setzen

Command-and-Control (Spyware)

Es gibt kein Patentrezept, um alle Bedrohungen am Eindringen in das Netzwerk zu hindern. Deshalb konzentrieren sich einige Anbieter auf präventive Maßnahmen, damit Angreifer nicht wichtige Daten aus dem Netzwerk schleusen. Aktuelle CNC-Signaturen reagieren auf eingehende und ausgehende Anfragen an bösartige Domains und schützen Unternehmensdaten vor Diebstahl.

DNS Sinkhole

Mit einem Exfiltrationsschutz gehen gut vorbereitete Unternehmen noch einen Schritt weiter – durch eine Sinkhole-Funktion für ausgehende Anforderungen an bösartige DNS-Einträge. Alle ausgehenden Anforderungen an eine böswillige Domäne oder IP-Adresse können auf eine vom Administrator festgelegte interne IP-Adresse umgeleitet werden. Diese Funktion verhindert, dass diese Anforderungen das Netzwerk verlassen und erstellt einen Bericht zu den infizierten Maschinen, so dass Incident-Response-Teams reagieren können.

Globale Bedrohungsanalyse nutzen

Detaillierte Protokolle aller Bedrohungen sind nicht nur innerhalb der gleichen Management-Schnittstelle abgelegt, sondern werden mit allen Präventionsmechanismen geteilt, um einen Kontext herzustellen. Führende Sicherheitsanbieter nutzen eine globale Bedrohungsanalyse, um durch die enge Verzahnung von Threat-Prevention-Sicherheitsservices, URL-Filterung und cloud-basierten Analysediensten unbekannte Malware automatisch zu identifizieren. 

So stellen die Sicherheitsunternehmen einen effektiven Schutz für ihre Kunden bereit und schützen Unternehmen vor den neuesten fortschrittlichen Bedrohungen. Spezialisierte Bedrohungsforschungsteams analysieren zudem permanent Bedrohungsdaten. Ihr Ziel ist es, innovative Angriffsmethoden und Malware zu erkennen und über neueste Trends im Black-Hat-Raum zu berichten.

Über den Autor:
Thorsten Henning ist Systems Engineering Manager Central & Eastern Europe, CISSP, bei Palo Alto Networks. Das Unternehmen bietet unter anderen Next-Generation-Firewalls an, die über integrierte SSL-Entschlüsselungsfunktionen verfügen. Weitere Informationen zu integrierter Bedrohungserkennung finden sich im Whitepaper Integrated Threat Prevention.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close