IT-Sicherheit: Neue Schutzverfahren für Anwender

LinkedInXingPocketWhatsAppFlipboard

Evasion-Techniken tarnen Angriffe und Schadcodes, sodass Sicherheitssysteme sie nicht wahrnehmen. Bis vor einiger Zeit waren nur wenige dieser Tarnmethoden bekannt und die meisten Sicherheitslösungen kamen damit zurecht. Ende 2010 hat der finnische Netzwerkspezialist Stonesoft jedoch eine neue Art, die so genannten Advanced Evasion Techniques (AETs), entdeckt.

Sie variieren die Methoden zur Tarnung eines Angriffs, sind fast unbegrenzt kombinierbar und hebeln dadurch klassische Sicherheitsmechanismen aus. Den aktuell größtmöglichen Schutz vor der dynamischen Bedrohung bieten softwarebasierte Lösungen, die den Netzwerkverkehr auf dieselbe Weise interpretieren wie das Endsystem.
 
AETs kombinieren und verändern verschiedene Evasions, um Schadsoftware unbemerkt in Netzwerke einzuschleusen. Zudem nutzen sie verschiedene Ebenen im Netzwerkverkehr. Durch dieses ungewöhnliche Verhalten erkennen selbstmoderne Intrusion Prevention Systeme (IPS) oder Next Generation Firewalls den getarnten Schadcode nicht. Größer 2 hoch 180 – das ist nach aktuellen Schätzungen die Anzahl möglicher Kombinationen von Advanced Evasion Techniques (AETs). Hier zeigt sich, dass diese dynamische Bedrohung eine langfristige Herausforderung für die Sicherheitsmechanismen von Unternehmensnetzwerken ist. Ein einfaches Signatur-Update kann jeweils nur vor einer AET-Methode schützen. Dadurch bietet dieser Angriffsweg Cyber-Criminellen momentan eine Art Generalschlüssel für den Zugriff auf jedes angreifbare System.
  
Zur Tarnung eines Angriffs machen sich AETs die Arbeitsweise von IPS-Architekturen und Firewalls zunutze. Ein IPS beispielsweise untersucht den Datenverkehr, bevor er ins Netzwerk weitergeleitet wird, und blockiert ihn bei Verdacht auf enthaltenen Schadcode. Dabei muss das Sicherheitssystem die spezifischen Muster von Schädlingen kennen, um sie zu erkennen und das Netzwerk entsprechend zu schützen. Hierfür arbeiten die meisten IPS-Architekturen mit Protokollanalyse und Signaturerkennung. Wird ein neuer Wurm oder Virus entdeckt, lassen sich die Geräte in der Regel innerhalb weniger Tage, manchmal sogar innerhalb weniger Stunden, mit der entsprechenden Fingerprint-Information aktualisieren. Schadprogramme, die bereits bekannten Bedrohungen ähneln, lassen sich dadurch teilweise mit bestehenden Analysefunktionen ebenfalls identifizieren und abwehren. Firewalls wiederum untersuchen Datenpakete nach Quelle, Ziel, Protokoll und anderen Eigenschaften. Entsprechen sie nicht den netzwerkinternen Sicherheitsregeln, weist die Firewall sie ab und alarmiert den Administrator.
 
Keine Chance für Mutanten
 
Die Variationsmöglichkeiten von AET-Methoden sind jedoch so zahlreich, dass sie bereits nach einer leichten Veränderung, beispielsweise der Byte-Anzahl oder des Segment-Offset, keinem in einem IPS hinterlegten Angriffsmuster mehr ähneln – und ein Schadcode trotz Fingerprint-Update als vermeintlich regulärer Datenverkehr ins Netzwerk gelangt. Der Patch-Schutz greift nicht mehr. Zudem verhalten sich AETs nicht nach den klassischen Regeln der Protokollsuite TCP/IP. Tests zeigen, dass ein Angriff mit AETs sowohl auf der IP- und Transportebene (TCP,UDP) als auch bei Anwendungsschicht-Protokollen einschließlich SMB und RPC möglich ist. Damit lässt sich ein mit AET getarntes Datenpaket auf verschiedenen Ebenen des Datenverkehrs am IPS vorbei ins Netzwerk schleusen. Für eine Firewall kann ein solches Datenpaket zudem nach außen hin alle Kriterien der festgelegten Sicherheitsregeln erfüllen und wird deshalb auch hier durchgelassen.
 
Risiken erkennen – Anti-Evasion Readiness Test
 
Nicht für alle Unternehmen ist das Risiko gleich hoch, Opfer eines AET-Angriffs zu werden. Der Grad der Bedrohung hängt von verschiedenen Faktoren ab: Besonders gefährdet sind Unternehmen, deren Daten einen hohen Wert für Cyberkriminelle haben. Aber auch veraltete IT-Infrastrukturen, starre Sicherheitsarchitekturen und wartungsintensive Systeme erleichtern Hackern den Weg ins Netzwerk mithilfe von AETs. Wie gut ihre Daten vor Advanced Evasion Techniques (AETs) tatsächlich geschützt sind, können Unternehmen mit dem weltweit ersten Anti-Evasion Readiness Test-Service in der eigenen Netzwerkumgebung überprüfen.
 
Der Test-Service basiert auf der Evasion-Testsoftware, die Stonesoft-Experten in den StoneLabs entwickelt haben. Dabei kommt ein Tool zum Einsatz, das die Schutzmechanismen von Sicherheitslösungen gegen AETs testet, auswertet und protokolliert. Der Test ist besonders für Unternehmen geeignet, die auf Netzwerksicherheitsgeräte wie Next-Generation-Firewalls und Intrusion-Prevention-Systeme mit Deep Packet Inspection angewiesen sind. Diese Geräte schützen unternehmenskritische Rechnernetzwerke, sensible Daten, aber ebenso wichtige Systeme wie CRM (Customer Relationship Management) und ERP (Enterprise Ressource Planning) sowie SCADA (Supervisory Control and Data Acquisition)-Netzwerke.
 
Die Sicherung dieser Bereiche ist zudem eng verbunden mit hohen Anforderungen gesetzlicher Regelungen (Compliance). Diese Systeme sind aber eben auch attraktive Ziele für Hacker – und AETs bieten ihnen eine effektive Methode für erfolgreiche Angriffe. Der Anti-Evasion Readiness Test wird während des laufenden Betriebs mit den eingesetzten Sicherheitslösungen und Konfigurationen in der eigenen Netzwerkumgebung des Unternehmens durchgeführt. Nach Abschluss der Tests erläutert ein umfassender Bericht, die Erkennungs- und Blockraten von Evasions auf unterschiedlichen Protokollebenen. Darüber hinaus erhält das Unternehmen praktische Empfehlungen und Ratschläge zur Minimierung des eigenen Risikos. Der Test wird von IT-Service-Providern zur Verfügung gestellt und erfordert keine unternehmensinterne Experten oder eigene Test-Tools. 
 
Intrusion Prevention Systeme (IPS), die einen umfassenden Multi-Layer-Normalisierungsprozess durchführen können, interpretieren und setzen Datenpakete vollständig in der gleichenWeise zusammen wie das Endsystem. Dadurch bieten sie einen besseren Schutz vor mit Advanced Evasion Techniques getarnten Angriffen.
 
Sicherheit auf allen Ebenen 
 
Aktuell gibt es noch keinen hundertprozentigen Schutz vor AETs. Damit Sicherheitslösungen vor den dynamischen und sich ständig weiterentwickelnden AETs überhaupt schützen können, müssen sie sich schnell und zu jeder Zeit aktualisieren lassen. So können nach Bekanntwerden neuer AET-Varianten Software-basierte IPS und Firewall Systeme automatisch auf den neuesten Stand gebracht und entsprechende Tarnmuster hinterlegt werden. Bei statischen, hardwarebasierten Netzwerksicherheitssystemen ist eine Aktualisierung angesichts der sich rasch verändernden Bedrohungsmuster dagegen äußerst schwierig, manchmal gar unmöglich. Ein Update dieser Systeme auf den neuesten Stand ist sehr zeit- und kostenintensiv. Gleichzeitig ist hier eine flexible Reaktion auf neue AET-Varianten quasi ausgeschlossen, sodass Administratoren die Netzwerksicherheit nicht mehr gewährleisten können.
 
Den aktuell besten Schutz vor AETs bieten deshalb flexible, softwarebasierte Sicherheitssysteme in Kombination mit einem zentralen Management. Dank der rein softwarebasierten Technologie lassen sich Updates jederzeit vollautomatisch aufspielen und Konfigurationen ohne großen Aufwand vornehmen. Mithilfe einer Management-Konsole wie beispielsweise dem StoneGate Management Center können Administratoren diese Einstellungen zentral über das gesamte Netzwerk standortübergreifend ausrollen. Gleichzeitig ermöglicht eine solche Management-Lösung auch Updates per Fernzugriff. So sind alle potenziell gefährdeten Anwendungen und Systeme innerhalb kürzester Zeit wieder abgesichert.
 
Darüber hinaus sollten Unternehmen vorbeugend IPS-Systeme einsetzen, die den Datenverkehr nicht nur nach Merkmalen bekannter Schadcodemuster untersuchen.Denn die Funktionen eines klassischen IPS wie Fingerprinting oder signaturbasierte Erkennung, die normalerweise zum Schutz vor Angriffen verwendet werden, greifen bei AETs nicht. Um auch Advanced Evasion Techniques zu erkennen, müssen Sicherheitssysteme vielmehr weitere Möglichkeiten zur Prüfung des Datenverkehrs abdecken, beispielsweise vom Endsystem nicht empfangene Datenpakete oder Protokolle, die auf unterschiedliche Arten entschlüsselt werden können.
 

Mehr Sicherheit durch Normalisierung
 
Der Mechanismus, der diese zusätzlichen Kontrollen umsetzt, heißt Normalisierung. Sicherheitsgeräte, die einen umfassenden Multi-Layer-Normalisierungsprozess durchführen können, interpretieren und setzen Datenpakete vollständig in der gleichen Weise zusammen wie das Endsystem. Zusätzlich berücksichtigen sie auch alle relevanten Protokollschichten für jede Verbindung. Das verringert die Gefahr, dass Datenpakete, die sich nicht nach den klassischen Regeln des Internetprotokolls verhalten, unentdeckt ins Netzwerk eingeschleust werden können.
 
Die Suche nach einem umfassenden Schutz vorAETs ist allerdings noch nicht abgeschlossen. Denn bei 2 hoch 180 Kombinationsmöglichkeiten entspricht die Suche nach der richtigen AET-Methode ungefähr der Suche nach einem Sandkorn in 500.000 Milchstraßen. Zur Entwicklung einer langfristigen Lösung hat Stonesoft mit www.antievasion.com eine offene Community-Plattform geschaffen, auf der sich IT-Sicherheits-Experten und -Anbieter zum Thema austauschen und aktuelle Informationen zu AETs finden können.
 
Hermann Klein
 
Diesen Artikel lesen Sie auch in der it management, Rubrik IT-Security , Ausgabe 7-8 2011. 

Anzeige
Anzeige

Weitere Artikel

Europäische NIS-2-Richtlinie – Cybersicherheit betrifft alle
Effektive Cybersicherheit für Kritische Infrastrukturen
Wie viel Schaden Datenverlust anrichten kann
Die Rolle moderner Komponenten in der OT
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.