Wachsende weltweite Sicherheitsbedrohung durch Hackerangriffe
Die Ereignisse der vergangenen Wochen – wie der Angriff auf die US-Sicherheitsfirma Stratfor durch die Hackergruppe Anonymous, bei dem sensible Unternehmensdaten veröffentlicht wurden, oder auf die US Chamber of Commerce sowie der Angriff auf Symantec – haben gezeigt, dass Cyber-Angriffe eine wachsende ... »»
Social Seating: KLM sucht ideale Sitznachbarn
Ab 2012 will die Fluglinie Dutch Royal Airlines (KLM) ihren Passagieren Social Seating anbieten, wie der Spiegel berichtet. Für Fluggäste, die sich auf der KLM-Seite mit ihrem Facebook- oder LinkedIn-Profil anmelden, sucht die niederländische Airline auf Wunsch einen Sitznachbarn mit ähnlich gearteten Interessen und Hobbys ... »»
Bank of America Opfer von Identitätsklau
Ein oder mehrere unbekannte Täter haben den Namen der Bank of America (BofA) bei Google+ gekapert und das Geldhaus durch den Kakao gezogen. Die Seite nannte sich "offiziell" und wartete mit Logo und Kontaktadresse der grössten US-amerikanischen Bank auf, wie das Handelsblatt berichtet ... »»
Mithilfe der IT-Forensik können Unternehmen ungewöhnliche Vorfälle in ihren IT-Systemen analysieren. Ähnlich wie in der Kriminalistik werden dabei beispielsweise Hinweise in Form von Datenspuren gesammelt, die letztlich eine Aufklärung der Ursache ermöglichen sollen. Damit lassen sich sowohl Fehlfunktionen als auch mögliche Hacker-Attacken identifizieren. Es gibt jedoch Angriffsmethoden auf Netzwerke, die keine Spuren hinterlassen und damit eine besondere Herausforderung für die IT-Forensik darstellen. Ein Beispiel sind Advanced Evasion Techniques (AETs). Im Gegensatz zu den wenigen bekannten Evasions kombinieren und verändern AETs Methoden zur Tarnung eines Angriffs oder Schadcodes. Dadurch können Hacker Attacken – von nahezu allen Netzwerksicherheitslösungen und Analysetools unbemerkt – ins Netzwerk schleusen.
Die besondere Gefahr von Advanced Evasion Techniques sind ihre fast unendlichen Kombinationsmöglichkeiten. Zudem nutzen sie verschiedene Ebenen im Netzwerkverkehr. Durch dieses ungewöhnliche Verhalten erkennen selbst moderne Intrusion Prevention Systeme (IPS) oder Next Generation Firewalls den getarnten Schadcode nicht. 2 hoch 180 – das ist nach aktuellen Schätzungen die Anzahl möglicher Kombinationen von Advanced Evasion Techniques (AETs). Diese dynamische Bedrohung ist eine langfristige Herausforderung für die IT-Sicherheit von Unternehmensnetzwerken und selbst umfangreiche Analyseprozesse stossen hier an ihre Grenzen. Dadurch bietet dieser Angriffsweg Cyber-Kriminellen momentan eine Art Generalschlüssel für den Zugriff auf jedes angreifbare System.
Zahlreiche Variationen
AETs nutzen die IP- und Transportebene (TCP, UDP) ebenso wie Anwendungsschicht-Protokolle einschliesslich SMB und RPC. Zur Tarnung eines Schadcodes dienen AETs Schwachstellen in Protokollen sowie die niedrigen Sicherheitsbarrieren netzwerkbasierter Kommunikation. Dabei machen sie sich die Methode der Desynchronisierung von Netzwerküberwachungssystemen zunutze. Das IPS-System nimmt den Protokollstatus eines Datenpakets hierbei anders wahr als das Zielsystem. Das kann etwa passieren, wenn ein IPS-System vor dem Anlegen von Signaturen nicht genügend Datenfragmente speichern oder diese nicht richtig neu zusammensetzen kann. Dadurch fehlt dem IPS der ursprüngliche Kontext des Datenpakets und es schreibt den Datenstrom neu, bevor es ihn an das Zielsystem weiterleitet. So lassen sich normal und sicher scheinende Datenpakete einschleusen, die sich erst bei der Interpretation durch das Endsystem als Attacke entpuppen. Für eine Firewall kann ein solches Datenpaket zudem nach aussen hin alle Kriterien der festgelegten Sicherheitsregeln erfüllen und wird deshalb auch hier durchgelassen.
Die Variationsmöglichkeiten von AETs sind so zahlreich, dass sie bereits nach einer leichten Veränderung, beispielsweise der Byte-Anzahl, nicht mehr erkennbar sind. Bei beispielsweise 6 bekannten Evasion-Techniken auf IP-Ebene gibt es bereits 64 direkte Kombinationsmöglichkeiten. Bei 16 verschiedenen Evasions auf TCP-Basis wären es bereits 65.536. Kombiniert ergeben sich mehr als eine Million verschiedene Varianten. Damit ähneln sie keinem hinterlegten Angriffsmuster mehr – und ein Schadcode gelangt trotz beispielsweise Fingerprint-Update als vermeintlich regulärer Datenverkehr ins Netzwerk. Ist der Schädling erst einmal im System, lassen sich die verwendete Tarn-Methode und somit auch die angewandten Kombinationsarten der AETs nicht mehr erkennen. Dadurch können AETs die Ursachenforschung der Online-Forensik- ebenso wie der Offline-Forensik-Analyse erheblich erschweren oder gar unmöglich machen.
Flexible Sicherheit
Bislang gibt es noch keinen hundertprozentigen Schutz vor AETs. Damit Sicherheitslösungen vor den dynamischen und sich ständig weiterentwickelnden AETs überhaupt schützen können, müssen sie sich schnell und zu jeder Zeit aktualisieren lassen. Nur so können nach Bekanntwerden neuer AET-Varianten Software-basierte IPS und Firewall Systeme automatisch auf den neuesten Stand gebracht und entsprechende Tarnmuster hinterlegt werden. Den aktuell besten Schutz vor AETs bieten daher flexible, softwarebasierte Sicherheitssysteme in Kombination mit einem zentralen Management. Dank der softwarebasierten Technologie lassen sich Updates jederzeit aufspielen und Konfigurationen leicht vornehmen. Mithilfe einer Management-Konsole können Administratoren diese Einstellungen zentral über das gesamte Netzwerk standortübergreifend ausrollen und Updates per Fernzugriff durchführen. So sind alle potenziell gefährdeten Anwendungen und Systeme innerhalb kürzester Zeit wieder abgesichert.
Mehrschichtige Analyse
Darüber hinaus sollten Unternehmen IPS-Systeme einsetzen, die den Datenverkehr nicht nur nach Merkmalen bekannter Schadcodemuster untersuchen. Die Funktionen eines klassischen IPS wie Fingerprinting oder signaturbasierte Erkennung, die normalerweise zum Schutz vor Angriffen verwendet werden, greifen bei AETs nicht. Um Advanced Evasion Techniques zu erkennen, müssen Sicherheitssysteme weitere Möglichkeiten zur Prüfung des Datenverkehrs abdecken, etwa vom Endsystem nicht empfangene Datenpakete oder auf verschiedene Arten entschlüsselbare Protokolle. Der Mechanismus, der solche Kontrollen umsetzt, heisst Multi-Layer-Normalisierung. Sicherheitsgeräte, die umfassende Multi-Layer-Normalisierungsprozesse durchführen können, interpretieren und setzen Datenpakete vollständig in der gleichen Weise zusammen wie das Endsystem. Zusätzlich berücksichtigen sie alle relevanten Protokollschichten für jede Verbindung. Das verringert die Gefahr, dass Datenpakete, die sich nicht nach den klassischen Regeln des Internetprotokolls verhalten, unentdeckt ins Netzwerk eingeschleust werden können.
Systeme im AET-Test
Wie gut ihre Daten vor Advanced Evasion Techniques (AETs) geschützt sind, können Unternehmen mit einem Anti-Evasion Readiness Test-Service in der eigenen Netzwerkumgebung überprüfen. Der Anti-Evasion Readiness Test wird während des laufenden Betriebs mit den eingesetzten Sicherheitslösungen und Konfigurationen in der eigenen Netzwerkumgebung des Unternehmens durchgeführt. Nach Abschluss der Tests erläutert ein umfassender Bericht, die Erkennungs- und Blockraten von Evasions auf unterschiedlichen Protokollebenen. Darüber hinaus erhält das Unternehmen praktische Empfehlungen und Ratschläge zur Minimierung des eigenen Risikos. Der Test wird von IT-Service-Providern zur Verfügung gestellt und erfordert keine unternehmensinterne Experten oder eigene Test-Tools. Zur Entwicklung einer langfristigen Lösung hat Stonesoft mit www.antievasion.com zudem eine offene Community-Plattform geschaffen, auf der sich IT-Sicherheits-Experten und -Anbieter zum Thema austauschen und aktuelle Informationen zu AETs finden können.
