Anomalien im Netzwerk finden und Advanced Malware bekämpfen

Wenn Sie sich gegen fortschrittliche Malware erfolgreich verteidigen wollen, müssen Sie Tools einsetzen, die Anomalien im Netzwerk erkennen.

In diesem zweiteiligen Tipp zeigen wir Ihnen, wie Malware herkömmliche Security-Systeme im Unternehmen unterwandert. In diesem ersten Beitrag erläutert unser Experte die Natur fortschrittlicher Malware und wie sie funktioniert. Im zweiten Teil erfahren Sie, warum Sicherheits-Tools, die Anomalien im Netzwerk erkennen, ausgeklügelter Malware den Kampf ansagen können.

Die meisten Security-Profis wissen sehr gut, dass Malware ein Code, ein Programm oder eine Software ist, die in einen Computer oder ein Netzwerk implementiert wird und die entsprechende Komponente infiltriert. So werden die Daten, die Anwendungen und die Betriebssysteme des Ziels kompromittiert. Möglich ist auch, dass man den Betrieb der Opfer stört. Immer wenn es zu einer Datensicherheitsverletzung, einer Kompromittierung eines Anwenderkontos oder einem DoS-Angriff (Denial of Service) kommt, dann ist Malware in der Regel die Waffe der Angreifer.

In der jüngeren Vergangenheit hat die Malware-Szene eine neue Gattung hervorgebracht, die sogenannte Advanced Malware. Nun stellen Sie sich vielleicht die Frage, was diese Malware so fortschrittlich macht? Es gibt nicht wirklich eine Antwort darauf. In der Branche bezeichnet man sie aber als Malware mit neuen und ausgeklügelten Leistungsmerkmalen, die sich von den zahlreichen, herkömmlichen Malware-Varianten unterscheiden, die täglich im Internet auftauchen. Zu diesen fortschrittlichen Leistungsmerkmalen gehören:

  • Sie kann lange Zeit im Verborgenen bleiben. Dazu benutzt die Malware zum Beispiel Verschlüsselung.
  • Die Möglichkeit, eine individuelle Person oder eine kleine Gruppe angreifen zu können. Oftmals verwendet der Schadcode dafür unbekannte Sicherheitslücken, die man auch als 0-Day- oder Zero-Day-Lücke bezeichnet.
  • Die Möglichkeit, mehrere Schwachstellen ausnutzen zu können, indem man mehrere Techniken für den Angriff kombiniert.

Die Unternehmen tun sich heutzutage schwer, eine adäquate Verteidigung gegen diese Advanced Persistent Threats (APT) zu finden. Eine Untersuchung zeigt, dass viele Firmen noch gar nicht realisiert haben, dass sie den Sicherheitsfokus über die eigenen Netzwerkgrenzen hinaus legen müssen. Wer das versucht hat, bekommt oftmals das Budget für die notwendige Technologie und die Mitarbeiter nicht, um sich gegen fortschrittliche Malware verteidigen zu können. Selbst wenn eine Organisation alle denkbaren Verteidigungsmechanismen im Einsatz hat, ist eine Kompromittierung nicht ausgeschlossen. Advanced Malware besitzt so gute Ausweichtechnologie, dass es sehr schwierig ist, sie zu identifizieren und zu stoppen.

Aus diesem Grund ist es nicht einmal eine große Überraschung, dass Unternehmen so erbärmliche Erfolge verzeichnen, Einbrüche zu erkennen. In den USA wurden kürzlich diverse Netzwerke von Einzelhändlern angegriffen und die Besitzer des jeweiligen Netzwerks haben die Einbrüche gar nicht erst erkannt. Sie wurden vielmehr von Dritten informiert. Dazu gehörten der Gesetzgeber und in einem Fall ein Security-Blogger. Leider ist eine schnelle Erkennung natürlich nicht mehr möglich, nachdem eine dritte Partei den Einzelhändler darüber informiert hat, dass mehrere Tausend Datensätze mit Kreditkartennummern bereits im Darknet zum Verkauf stehen.

Strategien zum Schutz

Wie sieht es mit den herkömmlichen Kontrollmechanismen an den Grenzen aus? Warum funktionieren sie nicht, um die fortschrittliche Malware zu erkennen? Werfen wir einen Blick auf zwei häufig eingesetzte Sicherheitsprodukte. Das sind genau genommen die Firewall und IDS/ IPS (Intrusion Detection System / Intrusion Prevention System).

Firewalls

Eine Firewall ist ein Kontrollgerät, das Verbindungen per Standard verbietet (default-deny). Ähnlich wie ein Router ist eine Firewall ein Grenzposten zwischen Netzwerken. Als Kontrollgerät kann es bestimmen, ob es durch diese Grenze Traffic erlaubt oder eben nicht. Die Firewall trifft die Entscheidungen anhand von Regeln oder Richtlinien, die von einem Administrator festgelegt wurden. Default-deny bedeutet, dass Traffic per Standard die Firewall nicht passieren darf, für den es keine Richtlinie gibt.

Die Entscheidung ist nicht immer einfach, welchen Traffic man im Endeffekt erlauben soll. Eine klare Sicherheitsrichtlinie zum Thema Firewall ist an dieser Stelle sehr hilfreich. Gibt es für die Firewall keine Security Policy, können die Regeln recht freizügig sein, weil man damit den Anwendern die geringsten Probleme bereitet. Manchmal ändert sich bei den Firewalls nicht einmal die Konfiguration, die vom Anbieter per Standard mit dem Produkt ausgeliefert wird.

Intrusion Detection System (IDS ) und Intrusion Prevention System (IPS)

Ein IDS ist ein passiver Monitor, der den Netzwerk-Traffic überwacht und nach schädlichen Aktivitäten Ausschau hält. Dafür wird der Traffic mit einem bestehenden Satz an Signaturen abgeglichen. Das verhält sich sehr ähnlich wie ein Antiviren-System. Ist eine Übereinstimmung erkannt, wird an einen Administrator und an eine Security-Konsole ein Alarm geschickt. Damit schädlicher Traffic allerdings erkannt und somit ein Alarm ausgelöst wird, sind aber nachfolgende Kriterien notwendig:

  • Der schädliche Traffic ist bekannt.
  • Speziell für diese Malware wurde bereits eine Signatur entwickelt.
  • Die Signaturen für diese Malware wurden auf dem System auch installiert.

Zusätzlich gibt es dann noch das Problem, dass das Security-Team möglicherweise nicht rechtzeitig auf einen relevanten Alarm reagieren kann. Denkbar ist auch, dass gar keine Reaktion erfolgt.

Ein IPS ist ein Gerät, das per Standard alles erlaubt (default-allow). Eine IPS gleicht den Traffic mit Signaturen in der dafür vorgesehenen Datenbank ab. Ähnlich wie eine Firewall kann ein IPS Traffic dann stoppen. Auf vielen Firewalls ist ebenfalls ein IPS integriert. Ein IPS hat aber die gleichen Probleme mit den Signaturen wie ein IDS. Somit sind sowohl ein IDS als auch ein IPS gegen Advanced Malware wirkungslos.

Weitere Informationen zu IDS und IPS finden Sie in unserem kostenlosen E-Handbook Ratgeber Intrusion Detection und Prevention.

Was wir nun benötigen

Weil IDS und IPS kein angemessener Schutz gegen fortschrittliche Malware sind, müssen Security-Profis den Fokus ändern. Man kann sich nicht mehr nur auf das Erkennen oder Blockieren der Malware an den Grenzen versteifen. Die Firmen müssen Tools erwerben und einsetzen, die sowohl das Innere des Netzwerks als auch den Perimeter unter die Lupe nehmen. Wir sprechen hier von Tools, die Anomalien im Netzwerk erkennen können.

Im zweiten Teil dieses Tipps sehen wir uns solche Security-Tools an. Wir beschäftigen uns damit, wie sie funktionieren und warum das so ist. Im Zeitalter von Advanced Malware ist es entscheidend, das Unternehmensnetzwerk angemessen abzusichern.

Über den Autor:
Peter Sullivan hat seine Karriere in den Bereichen Netzwerke, Informationssicherheit und Incident Response beim Militär der USA begonnen. In den vergangenen zehn Jahren hat Sullivan unter anderem Kurse zu Risikomanagement, Informationssicherheit, Vorfallsreaktion in Sachen Computer Security und digitale Forensik im Software Engineering Institute an der Carnegie Mellon University gegeben. Außerdem ist er Partner bei InfoSecure Solutions. Die Consulting-Firma ist auf IT-Risikomanagement und Planung für die Vorfallsreaktion spezialisiert. Sullivan ist mit den Zertifizierungen CISSP und CERT/CC Computer Security Incident Handling (CSIH) ausgezeichnet.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juli 2015 aktualisiert

Erfahren Sie mehr über Netzwerksoftware

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close