fireeye_leitfaden_next-generation_threat_protection_WEB

Transcrição

Ultimativer
Leitfaden
TM
zu
Next-Generation
Threat Protection
So bestehen Sie im Kampf gegen
neuartige Cyber-Angriffe
Mit besten Wünschen von
Über FireEye
FireEye ist der führende Anbieter von Lösungen zur Abwehr
™ für
Ultimativer
Leitfaden
TM
zu
Next-Generation
Threat Protection
Steve Piper, CISSP
Vorwort von David DeWalt
Ultimativer Leitfaden™ zu Next-Generation Threat Protection
Veröffentlicht von:
CyberEdge Group, LLC
1997 Annapolis Exchange Parkway
Suite 300
Annapolis, MD 21401, USA
(800) 327-8711
www.cyber-edge.com
Copyright © 2013, Cyber-Edge Group, LLC. Alle Rechte vorbehalten. Ultimativer Leitfaden™
und das CyberEdge Press-Logo sind Marken der Cyber-Edge Group, LLC in den USA und
anderen Ländern. Alle übrigen Marken oder eingetragenen Marken sind Eigentum ihrer
jeweiligen Besitzer.
Sofern nicht laut United States Copyright Act von 1976 zulässig, darf diese Veröffentlichung
ohne vorherige schriftliche Genehmigung durch den Herausgeber nicht vervielfältigt, in
einem Archivsystem gespeichert oder in irgendeiner Form (elektronisch, mechanisch, als
Fotokopie, Aufzeichnung, Scan etc.) weitergegeben werden. Genehmigungsanfragen richten
Sie bitte an den Herausgeber: Permissions Department, CyberEdge Group, 1997 Annapolis
Exchange Parkway, Suite 300, Annapolis, MD, 21401, USA oder per E-Mail an
[email protected].
HAFTUNGSBESCHRÄNKUNG/HAFTUNGSAUSSCHLUSS: HERAUSGEBER UND VERFASSER
MACHEN KEINERLEI ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER
GENAUIGKEIT ODER VOLLSTÄNDIGKEIT DER INHALTE DIESES DOKUMENTS UND SCHLIESSEN
AUSDRÜCKLICH JEGLICHE GEWÄHRLEISTUNGSPFLICHTEN AUS, INSBESONDERE DIE
EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. DIE IN DIESEM DOKUMENT ENTHALTENEN
EMPFEHLUNGEN UND STRATEGIEN SIND MÖGLICHERWEISE NICHT FÜR JEDE SITUATION
GEEIGNET. WEDER DER HERAUSGEBER NOCH DER VERFASSER KÖNNEN FÜR DURCH
DIESES DOKUMENT ENTSTANDENE SCHÄDEN HAFTBAR GEMACHT WERDEN. WIRD EIN
UNTERNEHMEN, EINE BEHÖRDE ODER EINE WEBSITE IN DIESEM DOKUMENT ZITIERT UND/
ODER ALS MÖGLICHE QUELLE FÜR WEITERE INFORMATIONEN GENANNT, BEDEUTET DIES
NICHT, DASS DER VERFASSER ODER HERAUSGEBER DIE ENTSPRECHENDEN INFORMATIONEN
ODER EMPFEHLUNGEN GUTHEISST. WEITERHIN SOLLTEN LESER BEACHTEN, DASS SICH
IN DIESEM DOKUMENT AUFGEFÜHRTE WEBSITES SEIT DEM VERFASSEN DES DOKUMENTS
UNTER UMSTÄNDEN GEÄNDERT HABEN ODER NICHT MEHR AUFRUFBAR SIND..
Wenn Sie allgemeine Informationen zu den Forschungs- und Marketingberatungsleistungen
der CyberEdge Group erhalten oder einen maßgeschneiderten Ultimativen Leitfaden für Ihr
Unternehmen anfordern möchten, wenden Sie sich bitte an unsere Vertriebsabteilung unter
800-327-8711 oder per E-Mail an [email protected].
ISBN: 978-0-9888233-0-3 (Taschenbuch); ISBN: 978-0-9888233-1-0 (eBook)
Gedruckt in den Vereinigten Staaten von Amerika.
10 9 8 7 6 5 4 3 2 1
Danksagung der Herausgebers
Die CyberEdge Group möchte den folgenden Personen für ihren Beitrag danken:
Redaktion: Susan Shuttleworth
Debbi Stocco, Christian Brennan
Valerie Lowery
Phil Lin, Lisa Matichak, Brent Remai, David DeWalt
Inhalt
Vorwort ......................................................................................... v
Einleitung ................................................................................... vii
Kapitel im Überblick ................................................................................vii
Hilfreiche Symbole ................................................................................... ix
.......1
Erschreckende Zahlen ...............................................................................2
Jüngste Opfer .............................................................................................3
Angriffe auf Unternehmen...........................................................3
Angriffe auf staatliche Einrichtungen ......................................... 3
Kostspielige Sicherheitslücken ..................................................................4
Die neue Bedrohungslandschaft ............................................................... 5
Traditionelle Angriffe................................................................... 5
Next-Generation Threats .............................................................8
Feinde im Fokus .........................................................................13
Den Feind verstehen ................................................................................ 13
Cyber-Kriminelle........................................................................ 14
Staatlich beauftragte Bedrohungsakteure ................................. 14
Hacktivists .................................................................................. 15
So geht der Feind vor ................................................................................17
Umgehung signaturabhängiger Abwehrmaßnahmen ................17
Umgehung anomaliebasierter Abwehrmaßnahmen ..................17
Die Anatomie komplexer Cyber-Angriffe .................................19
APTs im Detail ......................................................................................... 19
Abgrenzung von APTs ................................................................20
APTs in den Schlagzeilen ......................................................................... 21
Flame (2012) ..............................................................................22
Der Angriff auf RSA SecurID (2011) ..........................................22
Stuxnet (2010) ...........................................................................23
Operation Aurora (2009)...........................................................24
Die Schockwellen eines groß angelegten APT-Angriffs ..........................24
Der APT-Angriffszyklus ...........................................................................25
Phase 1: Eindringen in das System mittels Exploit ...................26
Phase 2: Installieren von Malware auf dem
kompromittierten System ........................................... 27
Phase 3: Herstellen ausgehender Verbindungen ......................28
Phase 4: Ausbreitung des Angriffs im Netzwerk .......................28
Phase 5: Diebstahl von Daten ....................................................29
Die Täter entkommen unentdeckt .............................................30
Symptome eines APT-Angriffs ................................................................32
Next-Generation Threat Protection – Ein Überblick ...............35
Idealer Bedrohungsschutz – Eine Vision ................................................36
Signaturunabhängige Sicherheitsverfahren ..............................36
iv | Ultimativer Leitfaden zu Next-Generation Threat Protection
Erkennung und Abwehr in einer Appliance ..............................36
........................................... 37
Hochpräzise Erkennungs-Engine (Detection Engine) ............. 37
Nutzung globaler Bedrohungsdaten ..........................................38
...........................38
Vergleich mit traditionellen signaturabhängigen
Sicherheitslösungen ...................................................................40
Vergleich mit Sandbox-Technologien ....................................... 41
Hauptkomponenten.................................................................................43
Malware Protection System .......................................................43
Virtual Execution Engine ...........................................................43
Central Management System .....................................................44
Cloud Threat Intelligence Network ...........................................44
Next-Generation Threat Protection im Detail ..........................47
Funktionsweise ........................................................................................ 47
Inline- und Out-of-Band-Installationen....................................50
Hauptmerkmale ....................................................................................... 51
Virtuelle Ausführung verdächtiger Objekte .............................. 51
Fast-Path-Blocking ....................................................................52
Quarantäne für schädliche Dateien ........................................... 53
Zentrale Verwaltung .................................................................. 53
Austausch von Malware-Informationen.................................... 54
Unterstützung eigener Regeln ................................................... 55
AV-Integration ........................................................................... 55
Rollenabhängige Zugriffsrechte ................................................56
Dashboard ..................................................................................56
Berichte ...................................................................................... 57
Warnungen.................................................................................58
Integration von NGTP in die vorhandene Netzwerk-Infrastruktur .......58
SIEM...........................................................................................59
Security Intelligence and Analytics ........................................... 59
Incident Management ................................................................60
Die Wahl der richtigen NGTP-Lösung .......................................63
Negative Merkmale ..................................................................................63
Wichtige Kaufkriterien ............................................................................64
Integrierte NGTP-Plattform für die Web-, E-Mail- und
Dateiprüfung ..............................................................................65
Überwachung von ein- und ausgehendem Datenverkehr......... 65
Analyse einer Vielzahl von Dateitypen ...................................... 65
Lösung für die manuelle Malware-Analyse ...............................66
Keine falsch positiven oder falsch negativen Ergebnisse .......... 67
Unterstützung eigener Regeln ................................................... 67
....................................68
Schnell erreichbarer Kundensupport ........................................68
Glossar ........................................................................................69
Vorwort
Z
ahlreiche Gespräche mit Kunden und führenden Köpfen
auf der ganzen Welt haben mir eines gezeigt: Es gibt
erhebliche Diskrepanzen zwischen dem benötigten Maß
an Netzwerksicherheit und dem Schutz, den traditionelle
Lösungen bieten. Die Ursache: Cyber-Angriffe der nächsten
Generation sind längst Realität, aber werden mit traditionellen Sicherheitstools bekämpft, die auf Jahrzehnte alten
Technologien basieren.
Die Sicherheitsbranche muss neue Ansätze entwickeln, da sich
das Bedrohungsrisiko durch intelligente Cyber-Kriminelle
mit inkrementellen Verbesserungen nicht beseitigen lässt. Ich
habe mehrfach darauf hingewiesen, dass das aktuelle Modell
für Cyber-Sicherheit nicht ausbaufähig ist und grundlegend
verändert werden muss.
Darum freue ich mich über diesen Leitfaden. Ich bin überzeugt, dass wir uns gegenseitig Informationen zur Verfügung
stellen müssen, um gegen moderne Cyber-Angriffe gewappnet
-
ziellen und geopolitischen Zielen betrieben wird. Die Täter
gehen dabei immer skrupelloser vor.
Für mich ist es eine Ehre, im National Security
Telecommunications Advisory Committee von Präsident
Obama als auch im Aufsichtsrat von Delta Airlines, Mandiant
und Polycom zu sitzen. In dieser privilegierten Stellung bietet
sich für mich die einmalige Gelegenheit, einen Dialog zwischen dem öffentlichen und dem privaten Sektor herzustellen.
Gemeinsam müssen wir innovative Lösungen entwickeln, um
geschäftskritische Infrastruktur umfassend zu schützen.
Es ist schwer zu glauben, dass Cyber-Kriminelle und APTAngreifer scheinbar mühelos in Netzwerke eindringen
können, um Daten zu stehlen und Systeme lahmzulegen –
obwohl Unternehmen und Behörden letztes Jahr mehr als
20 Milliarden Dollar in IT-Sicherheitstechnologien investiert
haben!
vi | Ultimativer Leitfaden zu Next-Generation Threat Protection
In diesem Leitfaden erfahren Sie, wie Sie Lücken in Ihrem
Netzwerk schließen und die neue Generation von CyberAngriffen abwehren können. Der weltweit dramatische
Anstieg von Sicherheitsverletzungen zeigt, wie stark
verbreitet und komplex diese Cyber-Angriffe inzwischen
sind. Ich kann Ihnen nur empfehlen, diesen Leitfaden
zu lesen und die Informationen an Ihre Kollegen und
andere Interessensgruppen weiterzugeben. Ohne moderne
Technologie, eine branchenübergreifende Zusammenarbeit
und engere Verbindungen zwischen dem öffentlichen und
privaten Sektor können wir den Kampf gegen Cyber-Angriffe
der nächsten Generation nicht gewinnen.
Durch meine Arbeit bei FireEye möchte ich einen Beitrag zur
Entwicklung branchenführender Plattformen leisten, die für
umfassende Cyber-Sicherheit sorgen. Seit meinem Abschied
von McAfee wurden mir verschiedene CEO-Positionen
angetragen. Die Entwicklung von FireEye habe ich dabei seit
Jahren intensiv beobachtet. Darum freue ich mich, nun ein
Teil dieses innovativen Unternehmens zu sein. Mit diesem
Leitfaden können Sie den Grundstein für die Bereitstellung
einer NGTP-Plattform legen – und Ihre Netzwerksicherheit
auf eine neue Stufe heben.
David DeWalt
CEO bei FireEye
Einleitung
I
n den letzten Jahren sind zahlreiche Unternehmen und
Behörden Opfer erfolgreicher Cyber-Angriffe geworden.
Dabei haben die Reichweite und Komplexität der Angriffe
stark zugenommen. Trotz jährlicher Sicherheitsausgaben von
20 Milliarden Dollar sehen sich Organisationen einer neuen
Generation von Cyber-Angriffen wie Advanced Malware und
Advanced Persistent Threats (APTs) ausgesetzt. Diese Bedrohungen sind dynamisch, versteckt und extrem erfolgreich,
wenn es um die Kompromittierung von Netzwerken geht.
Um hochspezialisierte Angreifer daran zu hindern, unsere
Systeme anzugreifen, Daten zu stehlen und kritische Infrastruktur zu beschädigen, müssen wir neue Wege beschreiten.
Wir müssen die Beschränkungen traditioneller signaturabhängiger Sicherheitslösungen erkennen und innovative Technologien nutzen, um die neue Generation von Cyber-Angriffen
entdecken und stoppen zu können.
Zum Glück gibt es hierfür eine Lösung: Next-Generation
Threat Protection (NGTP). Hierbei handelt es sich um eine
neue, innovative Plattform für Netzwerksicherheit, mit der
sich Bedrohungen der nächsten Generation zuverlässig abwehren lassen. Für Sicherheitsexperten in Unternehmen ist dieser
Kapitel im Überblick
In Kapitel 1 „Bedrohungen der nächsten Generation
erfahren Sie mehr über die hohe Zahl
an Sicherheitsverletzungen, aktuelle Angriffe auf bekannte
Unternehmen und Behörden sowie die durch erfolgreiche
Angriffe verursachten Kosten. Außerdem vergleichen wir
traditionelle Strategien mit den Cyber-Angriffen der nächsten
Generation.
lernen Sie drei Arten von
Cyber-Angreifern kennen (Cyber-Kriminelle, staatlich beauftragte Bedrohungsakteure und Hacktivists) und erfahren,
viii | Ultimativer Leitfaden zu Next-Generation Threat Protection
warum es Angreifern so leicht fällt, traditionelle Abwehrmaßnahmen zu umgehen.
weltweit Schlagzeilen gemacht haben. Anschließend beleuchten
wir die möglichen Auswirkungen erfolgreicher APT-Angriffe
auf kritische Infrastruktur. Außerdem werden Sie die fünf
Phasen eines APT-Lebenszyklus und eindeutige Anzeichen für
APT-Angriffe auf Ihr Unternehmen kennenlernen.
In Kapitel 4 „Next-Generation Threat Protection –
kommen wir zu unserem eigentlichen
Thema. Hier werde ich Next-Generation Threat Protection
Lösung beschreiben und NGTP mit traditionellen signaturabhängigen Sicherheitslösungen und Sandbox-Technologien
vergleichen.
In Kapitel 5 „Next-Generation Threat Protection im
erfahren Sie, wie mithilfe von NGTP neue CyberDateien verborgen sind, abgewehrt werden können. Außerdem stelle ich Ihnen die wichtigsten Funktionen führender
NGTP-Lösungen sowie bewährte Methoden zur Integration
der Lösungen in vorhandene Netzwerkinfrastrukturen vor.
geht es um die Frage, worauf man bei der Wahl einer geeigneten NGTP-Lösung achten sollte.
Das Glossar
Begriffen bereit, die in diesem Leitfaden wiederholt verKursivschrift
hervorgehoben.
Einleitung | ix
Hilfreiche Symbole
TIPP
Unternehmen umsetzen können.
MERKEN
ACHTUNG
Dieses Symbol kennzeichnet wichtige Informationen, die Sie
sich gründlichst durchlesen sollten.
Lassen Sie hier besondere Sorgfalt walten, um Ihrem Unternehmen kostspielige Sicherheitsverletzungen zu ersparen.
TECHNIK
gerichtet.
INTERNET
Sie möchten mehr erfahren? Klicken Sie einfach auf den Link,
um über das Internet zusätzliche Ressourcen abzurufen.
Kapitel 1
Bedrohungen der
nächsten Generation –
In diesem Kapitel:
Aktuelle Zahlen zu Sicherheitsverletzungen
Traditionelle Cyber-Angriffe
Informationen zu Advanced Malware, Zero-Day Exploits und
Advanced Persistent Threats
H
eutige Cyber-Angriffe sind ausgeklügelter als je zuvor.
Das im vergangenen Jahr beobachtete Ausmaß und die
gestiegene Komplexität von Sicherheitsverletzungen sind alarmierend. Aus diesem Grund müssen CISOs die Sicherheitskonzepte ihrer Organisation von Grund auf neu überdenken.
Cyber-Kriminelle verfolgen heute andere Ziele als früher. Bei
Angriffen geht es nicht mehr um Spaß am Programmieren,
Cyber-Kriminelle
Angriffsmethoden, gegen die aktuelle, signaturabhängige
Abwehrmaßnahmen machtlos sind.
Unternehmen müssen sich also auf eine neue Art von CyberAngriffen einstellen. Multivektorbasierte und
Bedrohungen können traditionelle Abwehrmaßnahmen wie Firewalls,
Intrusion-Prevention-Systeme (IPS), Secure Web- und Email
Gateways sowie Antivirusplattformen problemlos umgehen.
Wie schlimm ist die Lage wirklich? Werfen wir einen Blick
auf aktuelle Zahlen und Beispiele für besonders gefährliche
Cyber-Angriffe.
2 | Ultimativer Leitfaden zu Next-Generation Threat Protection
Erschreckende Zahlen
Renommierte Forschungsinstitute für Cyber-Sicherheit untersuchen Trends bei Cyber-Angriffen auf Unternehmen. Ein
Beispiel hierfür ist das RISK-Team (Response, Intelligence,
beachteten „Data Breach Investigations Report“ veröffentlicht.
Wochen entdeckt (plus 6 Prozent)
Hacking (plus 31 Prozent)
(plus 20 Prozent)
INTERNET
unter www.verizonbusiness.com.
Ebenfalls im letzten Jahr veröffentlichte FireEye, ein führender Anbieter von Bedrohungsschutz der nächsten Generation,
seinen „Advanced Threat Report“ für das erste Halbjahr
2012. Demnach haben es Unternehmen im Durchschnitt mit
traditionelle Abwehrmaßnahmen wie Firewalls, IntrusionPrevention-Systeme und Antivirus-Software umgangen wer-
INTERNET
Eine kostenlose Kopie des Berichts von FireEye erhalten Sie
Trotz jährlicher Ausgaben für Sicherheitsprodukte und
steigt der Prozentsatz der von externen Angreifern verursachten Sicherheitsverletzungen. Das Gleiche gilt auch für Angriffe
mehrere Wochen, um schwere Sicherheitsverletzungen zu
erkennen.
Jüngste Opfer
Wenn Unternehmen und Behörden keinen neuen, intelligenteren Ansatz zur Abwehr von Bedrohungen der nächsten
Generation implementieren, werden sie weiterhin ungewollt
in den Schlagzeilen landen. Hier eine Auswahl der jüngsten
Angriffe auf prominente Unternehmen und staatliche Ein-
Angriffe auf Unternehmen
Global Payments
wird im Januar 2011 Opfer eines Angriffs, bei dem
Citigroup
bekannt, dass ein Cyber-Angriff zum Diebstahl von
über 360.000 Kreditkartennummern geführt hat;
RSA Security
promittieren die Sicherheitsplattform SecurID und
machen deren Tokens zu einem Sicherheitsrisiko.
TIPP
Der Kasten „RSA Security geht mit APT-Angriff an die Öffentlichkeit“ in Kapitel 3 enthält weiterführende Informationen zu
diesem Angriff.
Angriffe auf staatliche Einrichtungen
South Carolina Department of Revenue
nummern extrahieren.
U.S. Environmental Protection Agency (EPA)
-
Iran
Atomprogramm ausbremsen.
Kostspielige Sicherheitslücken
MERKEN
Um neben traditionellen Angriffen auch Bedrohungen der
nächsten Generation abwehren zu können, müssen IT-Abteilungen eine Defense-in-Depth-Strategie mit verschiedenen
Abwehrmaßnahmen für Netzwerk und Endpoints umsetzen.
Im Extremfall ist sogar der Fortbestand Ihres Unternehmens
gefährdet.
2012 hat das Ponemon Institute (www.ponemon.org) seinen
dritten Jahresbericht unter dem Titel „2012 Cost of Cyber
Cyber-Kriminalität lagen im vergangenen Jahr bei durch(ein Plus von 6 Prozent). Außerdem werden laut Ponemon
INTERNET
Ein Gratisexemplar des Berichts von Ponemon erhalten Sie
Auf Unternehmen, die von Sicherheitsverletzungen betroffen
Kosten für Analysen und Forensik
Kosten für die Kommunikation mit Kunden
und Partnern
PR-Kosten
Entgangene Umsätze aufgrund des
angeschlagenen Rufs
Zivilrechtliche Klagen und Anwaltsgebühren
Beim Schutz vor Cyber-Angriffen gilt weiterhin die Regel, dass
Threat Protection in ihre Defense-in-Depth-Architektur
zu integrieren, um neuartige Cyber-Angriffe abwehren zu
können.
Die neue Bedrohungslandschaft
Unternehmen und Behörden sind heute Dutzenden Arten
verschiedener Cyber-Angriffe ausgesetzt. Stark vereinfacht
kann die heutige Bedrohungslandschaft in zwei Kategorien
nächsten Generation.
Traditionelle Angriffe
Zu den herkömmlichen Cyber-Angriffen, die in diesem
Abschnitt beschrieben werden, gehören einige alte Bekannte.
Auch wenn sie von IPS-Geräten, Next-Generation-Firewalls
und Antivirus-Software in den meisten Fällen erkannt wer-
Würmer, Trojaner und Viren
Ein Wurm
in einem Netzwerk selbst repliziert (meist über Schwachstellen im Betriebssystem) und auf diese Weise weiter ausbreitet.
von Bandbreite an. Sie lassen sich jedoch auch als „lateraler“
Angriffsvektor nutzen, der scheinbar sichere interne Systeme
Würmer nicht an andere Programme oder Dateien an.
Ein Trojaner (oder Trojanisches Pferd) tarnt sich als nützliche
Anwendung, um einem Hacker unbefugten Zugriff auf einen
System selbst replizieren, jedoch eigenständig keine anderen
tern bilden sie Netzwerke (siehe Botnets im nächsten Abschnitt),
in denen sie auf weitere Befehle warten und an die sie gestohNetzwerke oder raubkopierte Installationsprogramme bekannter Spiele oder Anwendungen verbreitet werden.
Ein Virus ist schädlicher Code, der ärgerliche bis absolut katastrophale Folgen haben kann. Er hängt sich an ein Programm
oder eine Datei an, um sich von einem Computer auf einen
anderen zu verbreiten. Im Gegensatz zu Würmern können
Spyware und Botnets
Spyware ist Software, die über eine Internetverbindung
verwendet (sogenannte Adware, die Pop-up-Werbung
anzeigt). In manchen Fällen werden jedoch Benutzernamen,
Kennwörter und Kreditkartennummern ausgespäht. SpywareAnwendungen werden meist als versteckte Komponente eines
Shareware- oder Freeware-Programms verbreitet, das Benutzer aus dem Internet herunterladen. Nach der Installation
überwacht Spyware die Aktivitäten von Benutzern und sendet
diese Informationen heimlich an ein anderes System.
TECHNIK
Bei einem Botnet
Computer, die mit dem Internet verbunden sind. Die kompromittierten Geräte werden Bots (oder Zombies) genannt,
während die Person, die ein Botnet steuert, den Namen Bot
Herder (oder Botmaster) trägt. Zur Steuerung und Kontrolle
eines Botnets werden meist Webserver verwendet (sogenannte Command-and-Control- oder CnC-Server). Einige
ältere Botnets werden noch per Internet Relay Chat (IRC)
kontrolliert. Bots werden genutzt, um Denial-of-Service-
auszuführen, Spam zu verbreiten, gestohlene Daten zu speiherunterzuladen.
Social-Engineering-Angriffe
Social-Engineering-Angriffe wie Phishing und Baiting sind
heute weit verbreitet. Wie Sie in Kapitel 3 erfahren werden,
können diese Bedrohungen bei erfolgreicher Umsetzung
deutlich gefährlichere Cyber-Angriffe zur Folge haben.
zernamen, Kennwörter, Kreditkartendaten oder Sozialversicherungsnummern (und damit indirekt Geld) zu stehlen,
ausgibt. Nach dem Klicken auf einen scheinbar harmlosen
Hyperlink wird der Benutzer aufgefordert, persönliche Daten
in ein gefälschtes Webformular einzugeben, das dem Original
täuschend ähnlich sieht.
werden einzelne Personen in
einem Unternehmen angegriffen. Dabei sammeln
Angreifer zuvor personenbezogene Informationen
über ihre Opfer, um die Erfolgswahrscheinlichkeit
zu erhöhen.
werden Führungskräfte und andere
lukrative Ziele innerhalb eines Unternehmens ins
Beim
oder „Streng vertraulich“ beschriftet, um die Aufmerksamkeit
Pufferüberläufe und SQL-Injection-Angriffe
sind Pufferüberläufe und SQL-Injection-Angriffe.
Ein Pufferüberlauf ist ein Cyber-Angriff, bei dem der Hacker
mehr Daten in den Puffer eines Speichers schreibt, als dieser
aufnehmen kann. Ein Teil dieser Daten läuft in den angren-
zenden Speicher über, sodass die Desktop- oder webgestützte
Anwendung jeglichen Code mit erweiterten Rechten ausführt
oder das System zum Absturz bringt. Pufferüberläufe werden
in der Regel durch Eingaben von Hackern oder schädliche
Dateien bzw. Webobjekte verursacht, die Code ausführen oder
die Funktionsweise eines Programms verändern.
SQL Injection werden über eine Website oder
webgestützte Anwendung Datenbanken angegriffen. In einem
Webformular gibt der Angreifer SQL-Befehle ein, damit die
Webanwendung die bösartige SQL-Anweisung an die Datenbank überträgt. Ist der SQL-Injection-Angriff erfolgreich,
kann der Angreifer auf Datenbankinhalte wie Kreditkartendaten, Kennwörter, Adressen und vieles mehr zugreifen.
Next-Generation Threats
Traditionelle, signaturabhängige Abwehrmaßnahmen wie
IPS, NGFW und Antivirusprodukte sind insbesondere zur
Erkennung bekannter Bedrohungen geeignet. Heute sind es
jedoch meist unbekannte Bedrohungen, die besonders großen
Schaden anrichten.
TIPP
In diesem Abschnitt lernen Sie die gefährlichsten CyberAngriffe kennen, denen Unternehmen und Behörden heute
ausgesetzt sind. In Kapitel 2 wird beschreiben, warum traditionelle Abwehrmaßnahmen zur Erkennung und Abwehr von
Bedrohungen der nächsten Generation ungeeignet sind.
Zero-Day Exploits
Ein Zero-Day Exploit ist ein Cyber-Angriff auf eine unbekannte Schwachstelle in Betriebssystemen oder Anwendundavor), also bevor die Schwachstelle öffentlich bekannt
wird. Zum Teil wissen nicht einmal die Hersteller, dass eine
Sicherheitslücke vorhanden ist. (Genauso ist es möglich, dass
Hersteller die Schwachstelle zwar kennen, sie jedoch nicht
öffentlich gemacht haben, da bislang kein Patch verfügbar ist.)
MERKEN
Zero-Day-Angriffe sind äußerst effektiv, da sie lange Zeit
Jahre). Wenn sie endlich erkannt werden, kann es noch Tage
oder Wochen dauern, bis ein entsprechender Patch entwickelt
worden ist.
Advanced Persistent Threats
Advanced Persistent Threats (APTs, auch Advanced Taroder ATAs genannt) sind ausgeklügelte Netzwerkangriffe, mit denen sich eine nicht autorisierte Person
Zugriff auf ein Netzwerk verschaffen und dabei lange Zeit
unerkannt bleiben kann. Das Ziel von APT-Angriffen besteht
hauptsächlich darin, Daten zu stehlen. APT-Angriffe richten
sich an Unternehmen in Branchen, in denen hochsensible
Informationen verarbeitet werden. Hierzu gehören Zahlungsdienstleister, staatliche Behörden und Unternehmen aus der
Finanzindustrie.
Zugang zum gewünschten Netzwerk zu verschaffen (siehe
vorherigen Abschnitt zu Phishing und Baiting). Sobald der
Strategie an, um eine Erkennung zu
verhindern.
TIPP
Kapitel 3 beschäftigt sich näher mit APT-Angriffen und der
Frage, wie intelligente Cyber-Kriminelle langfristige und versteckte Taktiken für besonders schwere Sicherheitsverletzungen verwendet haben.
dass APT-Angriffe ausschließlich von Staaten (wie China oder
Russland) für politische Zwecke eingesetzt werden, während
vieren. Andere Branchenexperten verwenden den Begriff, um
von einem beliebigen „komplexen“ Cyber-Angriff zu sprechen
heitsansicht entspricht.
Polymorphe Bedrohungen
Eine
ist ein Cyber-Angriff (zum
-
tinuierlich seine Gestalt verändert, um signaturabhängige
pher Bedrohungen kann auf verschiedene Weise erfolgen, zum
Beispiel durch Änderung des Dateinamens oder Komprimierung (Dateigröße).
Auch wenn sich das Aussehen des Codes in einer polymorphen
prinzipiell gleich. Ein Spyware-Programm, das als
ohne Erlaubnis Tastatureingaben aufzeichnet, führt diese
Aufgabe beispielsweise weiter aus, auch wenn sich die Signatur
verändert.
Die Entwicklung polymorpher Bedrohungen erschwert
IT-Sicherheitsexperten die Arbeit ungemein. Hersteller, die
signaturabhängige Sicherheitsprodukte anbieten, müssen
kontinuierlich neue Bedrohungssignaturen erstellen und
verbreiten. Dies ist ein extrem teures und zeitaufwändiges
Hosts müssen diese Signaturen regelmäßig aktualisieren.
Kasten „Warum Windows besonders anfällig für CyberAngriffe ist“). Dies ist ein Teufelskreis, in dem Cyber-Kriminelle ihren Opfern immer einen Schritt voraus sind.
Kombinierte Angriffe
Ein
ist ein Cyber-Angriff, bei dem
(Pfade und Angriffsziele), um das Schadensausmaß und
Angriffe.
Ausnutzung von Schwachstellen in BetriebsGeplante Kompromittierung von
Netzwerk-Hosts
ACHTUNG
IT-Sicherheitsexperten stufen kombinierte Angriffe als größte
sind.
Warum Windows besonders anfällig für
Cyber-Angriffe ist
Wenn die Fachpresse von schwerwiegenden Sicherheitsverletzungen berichtet, sind davon meist
-
-
dem Diebstahl von Laptops oder
zu und bieten in der Regel zwei
Deshalb weist Windows zahlreiche
dem Quasi-Monopol zusammen,
-
-
-
es vor allem um Schwachstellen
in Windows-Betriebssystemen
-
-
mit Viren, Malware und anderen
Sicherheit aber eine zentrale Rolle
Worten: Der Benutzer sollte sein
gesamtes Betriebssystem nach
Kapitel 2
Feinde im Fokus
In diesem Kapitel
Kategorisierung von Cyber-Kriminellen
Strategien zur Umgehung traditioneller Sicherheitslösungen
„Wenn du dich selbst und deinen Feind kennst, brauchst
du den Ausgang von hundert Schlachten nicht zu fürchten.
Wenn du dich selbst kennst, aber nicht deinen Feind, wirst
du für jeden Sieg, den du erringst, auch eine Niederlage
erleiden.“
– Sun Tzu, Die Kunst des Krieges
„K
enne deinen Feind“ ist ein berühmter Ratschlag aus
Sunzis viel zitiertem Werk Die Kunst des Krieges.
Auch auf den heute tobenden Cyber-Krieg (oder auch CyberTerrorismus) lässt sich dieser Ausspruch erstaunlich gut
anwenden. Bevor wir uns in Kapitel 3 näher mit Advanced
Persistent Threats beschäftigen und in Kapitel 4 mehr über
effektive Schutzmaßnahmen erfahren, wollen wir einen Blick
hinter die Kulissen werfen: Welche Strategien verfolgen
unsere Feinde, und warum haben sie Erfolg?
Den Feind verstehen
Jahren stark verändert. In den 70er und 80er Jahren des letzten Jahrhunderts erfreute sich das sogenannte Phreaking von
Telefonverbindungen großer Beliebtheit. Dabei wurden Vermittlungssysteme manipuliert, um kostenlose Ferngespräche
zu ermöglichen. Durch den Film „WarGames“ mit Matthew
Broderick aus dem Jahr 1983 lernte die breite Öffentlichkeit
das Hacken von Computern per Modem kennen. Die Legende
des Hackers als modernem Cyber-Held war geboren.
In den 90er Jahren fand der Siegeszug des World Wide
Web statt. In dieser Zeit sabotierten Hacker öffentliche
Websites, um damit anzugeben. Dies änderte sich zur
Jahrtausendwende.
MERKEN
Hacking ist heute eine Industrie, in der Milliarden umgesetzt
werden. Um den einfachen Kick geht es dabei lange nicht mehr.
Wir können heute von drei Arten an Cyber-Angreifern sprechen,
die Unternehmen und Behörden attackieren: Cyber-Kriminelle,
staatlich beauftragte Bedrohungsakteure und Hacktivists.
Cyber-Kriminelle
Gründen betreiben. Meist brechen sie in Netzwerke von
Unternehmen oder Behörden ein, um Kreditkartennummern
zu stehlen (zum Teil Hunderttausende davon) und diese auf
dem Markt zu verkaufen. Anmeldedaten für Facebook, Twitter
oder E-Mail-Konten sind zwar weniger lukrativ, lassen sich
jedoch auch zu Geld machen.
Einer der prominentesten Cyber-Kriminellen, der bislang für
seine Taten verurteilt wurde, ist Albert Gonzales. 2010 wurde
Gonzales verurteilt, weil er die Daten von über 170 Millionen
Kreditkartenbesitzern gestohlen hatte. Das harte Urteil:
20 Jahre Gefängnis. Dies ist die höchste Strafe, die ein
Cyber-Krimineller bislang erhalten hat.
Staatlich beauftragte
Bedrohungsakteure
Die vielleicht wichtigste Entwicklung der letzten zehn Jahre
war das Auftreten staatlich beauftragter Bedrohungsakteure.
Hierbei handelt es sich um Personen, die von einer Regierung
(nicht unbedingt der eigenen Regierung) beauftragt werden,
in Computersysteme von Unternehmen oder Regierungen
anderer Staaten einzudringen, um Daten zu auszuspionieren,
Systeme zu sabotieren oder einen Cyber-Krieg zu entfesseln.
China und Russland sind Länder, die immer wieder genannt
werden, wenn es um staatlich geförderte Bedrohungsakteure
geht. Sie sind jedoch keineswegs die einzigen Länder.
Kapitel 2 : Feinde im Fokus | 15
Nachfolgend einige Beispiele für Cyber-Angriffe, hinter denen
Staaten vermutet werden – darunter auch die USA:
Dem Iran werden Cyber-Angriffe gegen US-amerikanische Banken sowie Ölkonzerne in Saudi-Arabien
und Katar zugeschrieben (2012).
Die USA und Israel sollen hinter der Entwicklung einer
Malware namens Flame stecken, mit der der Iran,
Syrien und weitere Länder angegriffen wurden (2012).
rungsplattform SecurID (2011).
USA und Israel sollen den Stuxnet-Wurm in Umlauf
gebracht haben, um das iranische Programm zur
Urananreicherung zu sabotieren (2010).
China greift mit der „Operation Aurora“ Google an,
um auf die Gmail-Konten chinesischer Menschenrechtsaktivisten zuzugreifen. Angegriffen werden
außerdem Adobe, Juniper, Dow Chemical, Northrop
Grumman und andere (2009).
China stiehlt Pläne für die neuen amerikanischen
Russland greift im Streit um ein Soldatendenkmal
in Tallinn die Websites des estnischen Parlaments
sowie von estnischen Ministerien, Banken und
Zeitungen an (2007).
Der Iran hat kürzlich ein Regierungsprogramm in Höhe von
1 Milliarde Dollar verabschiedet, um das nationale CyberProgramm auf eine neue Stufe zu heben. Experten gehen zwar
davon aus, dass China und Russland dem Iran im Cyber-Krieg
deutlich überlegen sind. Angesichts der angespannten Situation im Zusammenhang mit dem iranischen Atomprogramm
ist es jedoch viel wahrscheinlicher, dass der Iran amerikanische Cyber-Infrastruktur ins Visier nimmt.
Hacktivists
Hacktivism besteht aus der Verwendung digitaler Tools zur
Verfolgung politischer Ziele. Im Gegensatz zu Cyber-Kriminelpolitische Ziele. Typische Cyber-Angriffe von Hacktivists
umfassen die Sabotage von Websites, Weiterleitungen, den
Diebstahl von Daten und virtuelle Sit-Ins mithilfe von DDoSAngriffen (dabei werden Websites mithilfe Hunderter oder
Tausender simultaner und wiederholter Verbindungsanfragen
lahmgelegt).
Manche Hacktivists bilden Netzwerke, um Opfer gemeinsam
anzugreifen. 2011 übernahm LulzSec die Verantwortung für
mehrere Cyber-Angriffe (darunter verschiedene Angriffe auf
Sony) sowie das Lahmlegen der CIA-Website. Im Anschluss
an die Luftangriffe auf den Gazastreifen 2012 übernahm
Anonymous die Verantwortung für Angriffe auf die Websites
israelischer Behörden.
Cyber-Söldner
In einem Bericht vom August
2012 behauptet der American
Foreign Policy Council (AFPC; www.
afpc.org), dass Russland CyberKriminelle (darunter Mitglieder
des einst berüchtigten Russian
Business Network, RBN) mit der
Ausführung staatlicher Cyberdas RBN an verschiedenen cyberkriminellen Aktivitäten beteiligt,
darunter Phishing, Malware und
Laut dem AFPC-Bericht gibt es
zwei Gründe, warum Russland
Cyber-Kriminelle – oder wie ich
sie nennen möchte: Cyber-Söldner
– bezahlt. Zum einen ist dies eine
Söldner auch dann Geld verdienen
können, wenn sie gerade nicht für
den Staat arbeiten. Zum anderen
kann die Spur auch trotz gründlicher forensischer Analysen nicht
auf staatliche Rechensysteme zurückgeführt werden. Viele Bürger
in den westlichen Demokratien
können sich nicht vorstellen, dass
Regierungen auf die Dienste von
Kriminellen zurückgreifen.
Russland ist jedoch nicht das einzige Land, das mit Cyber-Kriminellen
gemeinsame Sache macht. FireEye
(www.fireeye.com), Spezialist für
Netzwerksicherheit und führender
Anbieter für Bedrohungsschutz der
für die gängige Theorie gesammelt,
dass China mit Cyber-Kriminellen
erkaufen und Unternehmen oder
Behörden leichter infiltrieren zu
können.
2011 entdeckten Analysten von
FireEye eine Klasse von APT-Malware, die mit Ghostnet verbunden
war. Bei Ghostnet handelte es sich
um eine groß angelegte CyberSpionage-Operation, deren Command-and-Control-Infrastruktur
in China verortet werden konnte.
Über die gleichen Systeme wurde
auch reguläre Malware von CyberKriminellen verbreitet.
Ein Zufall? Wohl kaum.
Kapitel 2 : Feinde im Fokus | 17
So geht der Feind vor
Nun kennen Sie bereits die drei wichtigsten Cyber-Angreifer:
Cyber-Kriminelle, staatlich beauftragte Bedrohungsakteure
und Hacktivists. Im Folgenden erfahren Sie, worin ihr Erfolgsgeheimnis besteht.
Umgehung signaturabhängiger
Abwehrmaßnahmen
Traditionelle Sicherheitsprodukte für Netzwerke und Endpoints wie Intrusion-Prevention-Systeme (IPS), Next-Generation-Firewalls, Secure Gateways und Antiviruslösungen
nutzen Signaturen (auch Regeln oder Filter genannt) zur
Erkennung von Mustern. So können sie bekannte und – in
manchen Fällen – auch unbekannte Angriffe, die auf bekannte
Diese Abwehrmaßnahmen sind äußerst effektiv, wenn es um
den Schutz vor bekannten Cyber-Angriffen wie Würmern,
Trojanern, Spyware, Botnets und einfachen Viren geht.
Gegen Cyber-Angriffe der nächsten Generation wie Zero-Day
Exploits, gezielte Angriffe, polymorphe Malware, kombinierte
Angriffe und APTs sind sie jedoch machtlos (siehe Kapitel 1).
In vielen Fällen gelingt es Cyber-Kriminellen mit diesen
Angriffen, traditionelle Sicherheitslösungen vollständig zu
umgehen. Es gibt keine Signaturen, mit denen sich die intelligenten Strategien erkennen lassen, die in der ersten Phase
eines Angriffs verwendet werden, um sich die Kontrolle über
das Netzwerk zu verschaffen.
ACHTUNG
Verstehen Sie mich nicht falsch. Traditionelle signaturabhängige Sicherheitslösungen sind weiterhin zentrale
Komponenten einer Defense-in-Depth-Strategie. Sie reichen
jedoch nicht aus, um Cyber-Angriffe der nächsten Generation
abzuwehren, die verschiedene Kommunikationskanäle
(z. B. Web und E-Mail) nutzen und in mehreren Phasen
durchgeführt werden.
Umgehung anomaliebasierter
Abwehrmaßnahmen
Hochwertige IPS- und Network-Behavior-Analysis (NBA)Lösungen wenden anomaliebasierte Methoden an, um
komplexe Cyber-Angriffe zu erkennen. Sie fassen Flow-Daten
(z. B. aus NetFlow, sFlow, cFlow) von Netzwerk-Routern
und Switches zusammen, um für Tage oder Wochen den
„normalen“ Netzwerkverkehr zu errechnen. Nach der
Ermittlung der Baseline lassen sich Anomalien im Netzwerk
erkennen. Beispiele für anomales Verhalten: Ein Host sendet
riesige Datenmengen an Ziele außerhalb des Unternehmens.
Oder: Das Gerät eines Endbenutzers kommuniziert direkt mit
Geräten anderer Endbenutzer.
Auch wenn anomaliebasierte Sicherheitslösungen bestimmte
Ereignisse, die von Bedrohungen der nächsten Generation
verursacht werden, erkennen können, sind sie wenig hilfreich,
da viele falsch positive Meldungen auftreten (legitimer
langfristigen und versteckten Natur von Advanced Persistent
Threats gibt es auch viele falsch negative Einstufungen
(verdächtiger Verkehr wird als unbedenklich eingestuft).
Kapitel 3
Die Anatomie komplexer
Cyber-Angriffe
In diesem Kapitel
I
m ersten Kapitel habe ich die Unterschiede zwischen herkömmlichen Cyber-Angriffen und Cyber-Angriffen der
nächsten Generation erläutert. Im zweiten Kapitel habe ich
dargelegt, weshalb diese neue Generation von Bedrohungen
herkömmliche Abwehrmaßnahmen so wirksam umgeht. In
diesem Kapitel möchte ich nun auf eine Klasse von komplexen
Cyber-Angriffen zu sprechen kommen, die mit Abstand am
sogenannten Advanced Persistent Threats, kurz APTs.
tion eines APT ein. Ausgehend von einigen der spektakulärsten
die betroffenen Unternehmen und Institutionen auf. Abschließend skizziere ich den vollständigen Angriffszyklus eines APT
rung eines Netzwerks durch einen APT-Angriff hinweisen.
APTs im Detail
-
erschöpfend. APTs unterscheiden sich nämlich grundsätzlich
von allen bisher bekannten Cyber-Angriffen.
Advanced:
mit den Techniken von Cyber-Angriffen und
Persistent:
liche Arbeit im Verborgenen zu erreichen sucht.
Threat:
MERKEN
APTs gelten als derzeit gefährlichste Form eines Cyber-
Unternehmen und Behörden entwenden.
APT-Angriffs geworden sind, wenn es bereits zu spät ist. Laut
aufmerksam gemacht.
Abgrenzung von APTs
sind, ist die
Abgrenzung von dem, was sie nicht sind
nur Malware. Bei einem APT handelt es sich nicht um einen
vereinzelten Vorgang. APTs gelten immer einem bestimmten
APTs sind sorgfältig koordinierte, ausgedehnte Kampagnen,
fassen APTs verschiedene Formen von Cyber-Angriffen zu
einem komplexen, koordinierten Angriff zusammen, der aus
mehreren Phasen besteht.
Drei Mythen über APT-Angriffe
APTs sind eines der am meisten
diskutierten Themen im Bereich
-
-
-
Mythos Nr. 1: Nur bestimmte
Branchen sind Ziel von APTs.
-
oder durch eine andere Art von
Mythos Nr. 3: APTs können mit
herkömmlichen Abwehrmaßnahmen beherrscht werden.
-
Mythos Nr. 2: APTs zielen nur auf
-
-
APTs in den Schlagzeilen
den. Im Folgenden werfen wir einen Blick auf die prominentesten APT-Angriffe der vergangen vier Jahre.
INTERNET
Breach Blog des SC Magazine unter www.scmagazine.com/
Flame (2012)
Universität Budapest aufgedeckter APT. Kaspersky Lab wurde
von der Internationalen Fernmeldeunion damit beauftragt,
Ölministeriums nachzugehen.
des iranischen Atomprogramms eingesetzt werden könnten.
ware-Module herunterzuladen. In vollem Umfang ist Flame
Flame gilt als die komplexeste Malware, die jemals entwickelt
geschaffen wurde, um iranische Computernetzwerke auszuvon Informationen gesendet, der zur Vorbereitung auf einen
Cyber-Krieg genutzt werden kann.
Der Angriff auf RSA SecurID (2011)
-
waren. Vor allem die Meldung von Lockheed Martin ließ
andere Unternehmenswerte seien jedoch nicht betroffen.
sein soll.
INTERNET
lichkeit gegangen war, veröffentlichte ein Mitarbeiter der
Firma in einem Blog genauere Angaben zu dem in mehreren
keit“ weiter unten in diesem Kapitel.
Stuxnet (2010)
Stuxnet
-
eines APT-Angriffs auf iranische Urananreichungsanlagen
-
mechanismen, die iranische Anlage schließlich zu verlassen
schließlich entfernen.
Operation Aurora (2009)
einem Blog wurde angedeutet, dass der Angriff von China aus
gestartet wurde und die Gmail-Konten chinesischer Menschen-
space-Kundenkonten betrieben wurden. Anschließend begann
Die Schockwellen eines groß
angelegten APT-Angriffs
-
-
-
Ausfall von Tankstellen
Ausfall von Geldautomaten
verbreitete Malware, die auf die Beschädigung von Industrie-
INTERNET
Der APT-Angriffszyklus
-
Phase 1:
Phase 2: Installieren von Malware auf dem
Phase 3:
Phase 4: Ausbreitung des Angriffs im Netzwerk
Phase 5:
Phase 1: Eindringen in das System
mittels Exploit
mittieren, ist die erste Phase eines APT-Angriffs auf ein
tet sich die Aufdeckung und Bekämpfung des APT wesentlich
in dieser Phase versagen, werden Gegenmaßnahmen wesentheitsmaßnahmen deaktivieren und seine Präsenz verschleiern,
während sich die Malware im Netzwerk verbreitet und per
Callback mit dem Angreifer in Verbindung bleibt.
eingebettet, um ein anfälliges Betriebssystem bzw. eine
bestimmte Anwendung zu kompromittieren. Gelingt dies,
Malware herunterzuladen.
-
-
TECHNIK
belegung eines anfälligen Betriebssystems zu manipulieren
Phase 2: Installieren von Malware
auf dem kompromittierten System
TECHNIK
Dropsite,
Phase 3: Herstellen ausgehender
Verbindungen
des APT betrieben wird. Urheber von APTs wählen den aufherkömmliche sowie Next-Generation-Firewalls zu umgehen,
die Verbindung von innen nach außen aufgebaut wird.
weniger verdächtig ist.
Phase 4: Ausbreitung des Angriffs
im Netzwerk
APT-Angriff breitet sich deshalb weiter im Netzwerk aus, bis
-
Funktionsweise von Flame.
-
TECHNIK
-
Phase 5: Diebstahl von Daten
-
-
-
etwa in komprimierten, mit einem Passwort versehenen
TECHNIK
-
umgehen, könnte der Angreifer beispielsweise einen virtuellen
transfer abgeschlossen ist.
Die Täter entkommen unentdeckt
MERKEN
APT selbst aufzudecken, sind während eines laufenden
personal zu beschäftigen und abzulenken
komplett gelöscht werden
sich um eine virtuelle Cloud-Instanz handelt, oder
vom Angreifer kontrolliert wird
Angriffspunkt
RSA Security geht mit APT-Angriff
an die Öffentlichkeit
-
-
-
-
-
-
Symptome eines APT-Angriffs
regulären Arbeitszeit
Ausgehende Verbindungen zu bekannten
ACHTUNG
nicht gebräuchlich ist, sind ein Grund, besonders misstrauisch
zu sein.
Ungewöhnliche Netzwerkverbindungen mit
und Firewalls hinweisen
TIPP
nicht, APT-Angriffe zu erkennen, weil ihre Abwehrmaßnahund anderer Cyber-Angriffe erheblich.
nung – durch Bedrohungsschutz der nächsten Generation –
CSO von Finanzdienstleister setzt
bei IT-Sicherheit auf FireEye
-
-
-
-
-
-
-
Kapitel 4
Next-Generation Threat
Protection – Ein Überblick
In diesem Kapitel:
Vorstellung einer idealen Lösung zur Abwehr neuartiger
Cyber-Angriffe
U
nternehmen, Universitäten und Behörden sind heute
Cyber-Angriffen ausgesetzt, die sich durch ungeahnte
Komplexität und Gefährlichkeit auszeichnen. In diesem endlosen Katz-und-Maus-Spiel hat die Katze vorübergehend die
Oberhand gewonnen. Wenn Ihr Unternehmen nicht vorbereitet ist, kann es leicht zum nächsten Opfer werden.
Die vorherigen Kapitel haben gezeigt, wie gefährlich Bedrohungen der nächsten Generation sind und warum traditionelle
Abwehrmaßnahmen gegen sie machtlos sind. Nun ist der Zeitpunkt gekommen, Ihnen ein völlig neues Konzept für Netzwerksicherheit vorzustellen. Die Rede ist von Next-Generation
Threat Protection.
Zunächst möchte ich erläutern, was zur Bekämpfung moderner Cyber-Angriffe tatsächlich nötig wäre. Anschließend stelle
ich Ihnen Next-Generation Threat Protection vor. Neben einer
Merkmale erläutert.
In diesem Kapitel geht es um wichtige Themen. Diskutieren
wir zuerst, was zwingend erforderlich ist, um Bedrohungen
der nächsten Generation abwehren zu können.
Idealer Bedrohungsschutz –
Eine Vision
In einer perfekten Welt gäbe es keine Cyber-Angriffe. Es
gäbe keine Malware, keine Trojaner und keine APT-Angriffe.
Unternehmen, Universitäten und Behörden würden nicht
über 20 Milliarden Dollar im Jahr zur Abwehr von Bedrohungen ausgeben.
Doch leider leben wir nicht in dieser perfekten Welt. Geld und
Macht verleiten Cyber-Kriminelle, Hacktivists und staatlich
beauftragte Bedrohungsakteure dazu, mit allen erdenklichen
Mitteln in Unternehmensnetzwerke einzudringen. Wie lässt
sich diesen Verbrechern das Handwerk legen?
Signaturunabhängige
Sicherheitsverfahren
Unternehmen müssen ein neues Sicherheitsmodell implementieren: Ihre Defense-in-Depth-Architektur sollte eine
signaturunabhängige Schicht umfassen, mit der sich neue
Cyber-Angriffe gezielt abwehren lassen.
Traditionelle Abwehrmaßnahmen schützen weiterhin vor
bekannten Cyber-Bedrohungen. Die Realität zeigt jedoch, dass
unbekannte Cyber-Angriffe besonders gefährlich sind und
zahlenmäßig stark zunehmen. Da Zero-Day Exploits sowie
polymorphe und APT-Bedrohungen meist unbekannter Art
sind und mit durchschlagendem Erfolg eingesetzt werden,
wird eine signaturunabhängige Sicherheitslösung benötigt.
Erkennung und Abwehr
in einer Appliance
Vor der Einführung von Intrusion-Prevention-Systemen
(IPS) gab es zunächst nur Intrusion-Detection-Systeme (IDS).
Ein IDS kann von Natur aus ausschließlich bekannte Bedrohungen erkennen (bzw. unbekannte Bedrohungen, die auf
bekannte Schwachstellen abzielen). Unternehmen forderten
jedoch eine Lösung, die Cyber-Angriffe nicht nur erkennen,
sondern auch abwehren kann. Aus dieser Idee entstand IPS.
Die Welt benötigt heute eine Advanced-Threat-ProtectionPlattform, die unabhängig vom Angriffsvektor die Nadel
im Heuhaufen nicht nur suchen, sondern auch unschädlich
machen kann.
In einer perfekten Welt hätte die IT-Abteilung die vollständige
Kontrolle über jedes Gerät im Netzwerk. Eine Bedrohung
ginge nur noch von Angriffen aus, die das Netzwerk von außen
erreichen.
Im mobilen Zeitalter gelangen mit der Implementierung von
BYOD-Richtlinien (Bring your own device) Cyber-Angriffe
zum Teil auch durch die Bürotür in Ihr System. Darum benötigen Sie eine Advanced-Threat-Protection-Lösung, die nicht
nur eingehende Cyber-Angriffe, sondern auch ausgehenden
Datenverkehr überwachen kann. Nur so lassen sich Callbacks
und ein Befall des ganzen Netzwerks verhindern. Wenn Sie
Bedrohungen schon nicht daran hindern können, über das
Internet, E-Mail oder durch die Bürotür einzudringen, müssen Sie wenigstens die Kommunikation nach außen und die
Verbreitung der Malware unterbinden.
Hochpräzise Erkennungs-Engine
(Detection Engine)
Wie bei herkömmlichen signaturabhängigen Lösungen ist
eine präzise Erkennung absolut essentiell. Zur Abwehr von
Bedrohungen der nächsten Generation benötigen Sie eine
Advanced-Threat-Protection-Lösung, die mit höchster Genauigkeit arbeitet: Falsch positive Ergebnisse (harmlose Dateien
werden als schädlich eingestuft) müssen genauso verhindert
werden wie falsch negative Befunde (schädliche Dateien, die
als harmlos eingestuft werden).
ACHTUNG
Falsch positive und falsch negative Befunde treten auf, wenn
Sicherheitsplattformen keine leistungsfähige Erkennung aufweisen. Falsch positive Ergebnisse sind primär ärgerlich, da
sie wertvolle Zeit von Sicherheitsanalysten in Anspruch nehmen. Falsch negative Bewertungen hingegen können für das
Unternehmen extrem gefährlich sein, da Advanced Malware das für die
Netzwerksicherheit zuständige Gerät unerkannt passieren kann.
Nutzung globaler Bedrohungsdaten
Jeder Cyber-Angriff beginnt bei einem bestimmten Host,
der als erster von einer neuen Cyber-Bedrohung betroffen
ist. Wir benötigen ein Verfahren, mit dem Advanced-ThreatProtection-Systeme Daten weitergeben können – nicht nur
innerhalb des Unternehmens, sondern auch an andere Unternehmen weltweit.
Wir leben vielleicht nicht in einer perfekten Welt. Dennoch
gibt es eine ideale Lösung für die Abwehr dieser brandgefährlichen Angriffe.
Ihr Name: Next-Generation Threat Protection.
Next-Generation Threat Protection (NGTP) ist eine neuartige Technologie für Netzwerksicherheit, die speziell für die
Erkennung und Abwehr neuartiger Cyber-Angriffe entwickelt
wurde. NGTP soll traditionelle Sicherheitssysteme nicht
ersetzen, sondern ergänzen. Die Lösung dient als zusätzliche
Schicht in Ihrer Defense-in-Depth-Architektur und wehrt
Cyber-Angriffe ab, die von signaturabhängigen Lösungen
nicht erkannt werden.
NGTP-Plattformen werden meist auf hochleistungsfähigen,
dedizierten Rack-Appliances bereitgestellt. Führende NGTPHersteller bieten eine integrierte Plattform an, die E-Mailund Webverkehr genauso inspiziert wie gespeicherte Dateien.
Außerdem gibt sie für alle Angriffsvektoren Bedrohungsdaten
weiter.
ACHTUNG
NGTP-Plattformen unterscheiden sich von anderen
Netzwerksicherheitsprodukten auf dem Markt. Die Appliances untersuchen Datenverkehr und/oder Dateien auf
Tausende verdächtiger Eigenschaften, darunter auch auf
Verschleierungstechniken wie XOR-Verschlüsselung.
Sitzungen werden in einer sicheren virtuellen Umgebung
ausgeführt. Diese ähnelt einer virtuellen Maschine, nutzt
jedoch eine speziell für Sicherheitsanalysen entwickelte Virtualization
Engine. So können Appliances ermitteln, ob verdächtiger Datenverkehr
tatsächlich Malware enthält (mehr dazu im Abschnitt „Funktionsweise“
dieses Kapitels).
Die Kunst des Bombenentschärfens
Wenn es darum ging, technische
-
-
-
-
-
-
Vergleich mit traditionellen
signaturabhängigen
Sicherheitslösungen
In Kapitel 2 (siehe Abschnitt „So geht der Feind vor“) habe
ich beschrieben, wie neue Cyber-Angriffe traditionelle
signaturabhängige Abwehrmaßnahmen wie Firewalls (mit
Bedrohungssignaturen), IPS-Geräte, sichere E-Mail- und
Webgateways sowie Antiviruslösungen umgehen können.
Ich hatte allerdings die neue NGTP-Technologie noch nicht
vorgestellt und mit den herkömmlichen Verfahren verglichen.
Dies möchte ich nun nachholen.
Die nachfolgende Tabelle vergleicht traditionelle signaturabhängige Sicherheitslösungen mit NGTP-Lösungen. Zur
Erinnerung: NGTP-Lösungen dienen als zusätzliche signaturunabhängige Schicht in Ihrer Sicherheitsarchitektur.
Sicherheitsvergleich
Erkennung bekannter Malware
mithilfe von IPS-ähnlichen
Signaturen
NGTPLösungen
Herkömmliche Abwehrmechanismen
verschlüsselten Binärdateien
Datenverkehr in einer sicheren
virtuellen Umgebung
Inspektion von ausgehendem
Datenverkehr, um dynamische
Tabelle 4-1: Vergleich von NGTP mit herkömmlichen
Schutzmaßnahmen
TIPP
Die Abwehrmaßnahmen in Tabelle 4-1 werden in diesem
Kapitel im Abschnitt „Hauptmerkmale“ genauer beschrieben.
Vergleich mit Sandbox-Technologien
Bei einer Sandbox handelt es sich um eine kleine, in sich abgeschlossene Version einer (meist Windows-basierten) Rechenumgebung mit einer rudimentären Auswahl an Anwendungen
und Services. Sandbox-Technologien wurden ursprünglich für
Softwareentwickler entworfen, damit diese Programmcode in
einer sicheren, produktionsfreien Umgebung testen können.
Später wurde das Konzept von IT-Sicherheitsexperten übernommen, um verdächtige Binärdateien manuell zu analysieren, ohne die Produktionssysteme zu gefährden. Die in der
Sandbox (virtuellen Maschine) ausgeführten Betriebssysteme
und Anwendungen sind in der Regel identisch mit unternehmensweiten Desktopstandards, damit verdächtige Malware
dieselben Schwachstellen ausnutzen kann.
ACHTUNG
(meist große Unternehmen und Behörden) gehen ein hohes
Risiko ein, wenn sie sogenannte NGTP-Lösungen nutzen, die
nur rudimentäre Sandbox-Technologien bieten. Wenn eine
umgebung mit Betriebssystemen und/oder Anwendungen
analysiert wird, die nicht der Zielumgebung der Malware entsprechen, wird diese Datei möglicherweise als harmlos eingestuft. Ein solcher falsch negativer Befund kann dramatische
Folgen haben.
Eine Sandbox dient als sichere Umgebung für die
„Zündung“ möglicher Malware (siehe Kasten „Die Kunst des
Bombenentschärfens“ in diesem Kapitel) und eine Analyse
der beabsichtigten Effekte. Angesichts der Zunahme an
verdächtigen Objekten und Dateitypen, die schädlichen
Code enthalten, stellt eine Sandbox allein keine skalierbare
Analysemethode dar. Außerdem können Cyber-Kriminelle
und APT-Bedrohungsakteure erkennen, ob ihre Malware in
einer Sandbox-Umgebung ausgeführt wird, und in diesem Fall
schädlichen Code unterdrücken. Aus den genannten Gründen
sind einfache Sandbox-Technologien gegen komplexe
Bedrohungen machtlos.
ACHTUNG
Eines sollte noch zum Sandbox-Ansatz gesagt werden: Unabhängig davon, wie ein NGTP-Hersteller seine Lösung nennt:
Wenn der Anbieter die Sandbox „in der Cloud“ bereitstellt,
können Sicherheits-, Performance- und Datenschutzprobleme
auftreten (siehe Kasten „Kein Verlass auf Cloud-Lösungen“). Führende
NGTP-Lösungen stellen hochleistungsfähige, dedizierte Appliances
bereit, mit denen sich Malware in Sekundenschnelle vor Ort testen
lässt. Die Vertraulichkeit Ihrer Daten bleibt so stets gewährleistet.
Kein Verlass auf Cloud-Lösungen
-
-
-
-
-
Hauptkomponenten
Sie wissen nun, was Next-Generation Threat Protection
ist, und kennen die Vorteile gegenüber herkömmlichen
Abwehrmaßnahmen und Sandbox-Technologien. Werfen
wir jetzt einen Blick auf die Hauptkomponenten führender
NGTP-Lösungen.
Malware Protection System
Das Herzstück jeder NGTP-Lösung bildet das Malware Protection System (MPS). Diese Komponente analysiert verdächtige
Objekttypen, die in Webverkehr, E-Mail-Nachrichten oder
gespeicherten Dateien enthalten sind. Bekannte Bedrohungen
werden mithilfe MPS-generierter Daten abgewehrt, um eingehende Angriffe und nicht autorisierte ausgehende Kommunikationsversuche zu stoppen.
ACHTUNG
Zur Erkennung von Malware in Webverkehr und E-MailNachrichten werden unterschiedliche Verfahren eingesetzt.
Manche Hersteller bieten ein Standard-MPS-System an, das
versucht, Bedrohungen in allen drei Medien zu erkennen
(bzw. zwei Medien, wenn gespeicherte Dateien nicht analysiert werden). Ich rate von solchen Lösungen ab, da sie oft
falsch positive und falsch negative Befunde verursachen.
Ebenfalls rate ich von sogenannten NGTP-Lösungen ab, die
MPS-Funktionen mit anderen Komponenten für Netzwerksicherheit wie Firewall, IPS und Anwendungskontrolle kombinieren. Diese Lösungen verfügen in der Regel über rudimentäre Analysefunktionen, die lediglich auf EXE-, PDF- und/
oder DLL-Dateien beschränkt sind.
Virtual Execution Engine
In diesem Kapitel habe ich bereits die Rolle der Virtual
Execution Engine beschrieben und sie mit der herkömmlichen
Sandbox-Technologie verglichen. Hier möchte ich noch einmal
die Wichtigkeit dieser Komponente für die Effektivität von
Next-Generation Threat Protection betonen – und damit auch
für die Fähigkeit Ihres Unternehmens, sich vor modernen,
gefährlichen Cyber-Angriffen zu schützen.
ACHTUNG
Eine gute Virtual Execution Engine sucht systematisch nach
verdächtigen Code in den ins Visier genommenen Betriebssystemen und Anwendungen aus. So lässt sich die Auslösung des
System-Exploits und des schädlichen Codes besser herbeiführen. Falsch positive oder falsch negative Ergebnisse treten nur
noch äußerst selten auf. Dies kann ein entscheidender Vorteil
im Kampf gegen Cyber-Angriffe der nächsten Generation sein.
TECHNIK
Gute NGTP-Lösungen umfassen Virtual Execution Engines,
die Dutzende von Dateitypen untersuchen können (nicht nur
EXE- oder DLL-Dateien). Hierzu gehören unter anderem:
ASF, COM, DOC, DOCX, DLL, EXE, GIF, ICO, JPEG, JPG,
MOV, MP3, MP4, PDF, PNG, PPSX, PPT, PPTX, QT, RTF,
SWF, TIFF, UNK, VCF, XLS, XLSX und ZIP.
Stuft die Virtual Execution Engine eine mögliche Bedrohung
als Malware ein, werden automatisch neue Bedrohungsdaten
erzeugt und an die übrigen MPS-Appliances verteilt (wenn
Sie über ein Central Management System verfügen; siehe
nächster Abschnitt). Gegebenenfalls werden die Daten auch
an andere Unternehmen auf der ganzen Welt verteilt (siehe
Abschnitt „Cloud Threat Intelligence Network“).
Central Management System
Während die meisten NGTP-Appliances nur eine webgestützte
führende NGTP-Hersteller neben der lokalen GUI auch
eine Central-Management-System-Appliance bereit – eine
Schaltzentrale für die Verwaltung, konsolidierte Bedrohungsüberwachung, Berichterstellung, Benachrichtigung und
Verteilung von Malware-Daten.
Cloud Threat Intelligence Network
Der Kasten „Kein Verlass auf Cloud-Lösungen“ in diesem
Kapitel hat bereits erörtert, warum Malware-Analysen in der
Cloud ein Risiko für Sicherheit, Skalierbarkeit und Datenschutz bedeuten. Die Cloud ist jedoch der ideale Ort für die
Bereitstellung einer zentralen NGTP-Komponente: das Cloud
Threat Intelligence Network.
Über das Cloud Threat Intelligence Network sind alle MPSAppliances, die über einen derartigen Service verfügen,
miteinander verbunden, um Bedrohungsdaten über neu
und Callback-Ziele).
NGTP-Hersteller mit einem Cloud Threat Intelligence Network
(und das sind beileibe nicht alle) bieten ihren Kunden meist
zwei Optionen: 1. die Fähigkeit zum Empfangen von Bedrohungsdaten und 2. die Fähigkeit zum Empfangen und Senden
von Bedrohungsdaten. Die meisten Unternehmen entscheiden
sich für die zweite Option, da für die Weitergabe von Daten
meist ein Rabatt gewährt wird.
TIPP
Da zur Erstellung von Bedrohungsdaten lediglich Metadaten
der verdächtigen Objekte erforderlich sind, können Unternehmen und Behörden sicher sein, dass keine vertraulichen
Daten das Netzwerk verlassen.
Sie kennen nun die Hauptkomponenten einer NGTP-Lösung
und wissen, wie sich NGTP von traditionellen signaturabhängigen Sicherheitslösungen und Sandbox-Technologien
unterscheidet. In Kapitel 5 erfahren Sie mehr über die
Funktionsweise von NGTP-Lösungen.
Kapitel 5
Protection im Detail
In diesem Kapitel
Bekämpfung neuartiger Bedrohungen in E-Mail-Nachrichten,
im Webdatenverkehr und in gespeicherten Dateien durch NGTP
Hauptmerkmale führender NGTP-Lösungen
Integration von NGTP in die vorhandene Netzwerkinfrastruktur
H
erkömmliche, signaturabhängige Sicherheitslösungen
sind gegen neuartige Cyber-Angriffe wie Zero-Day
Exploits, polymorphe Malware, kombinierte Bedrohungen
und vor allem APTs machtlos. Eine neue Generation von
Cyber-Angriffen erfordert neue Lösungen.
Nachdem Sie sich in Kapitel 4 einen ersten Überblick über
den Bedrohungsschutz der nächsten Generation verschafft
haben, kommen wir nun zu den praktischen Aspekten: der
Funktionsweise, den wichtigsten Funktionen und der möglichen Integration einer NGTP-Plattform in Ihre vorhandene
IT-Infrastruktur.
Funktionsweise
Beginnen wir mit der Anordnung von MPS-Appliances im
Unternehmen im Hinblick auf die möglichen Einfallstore
für Bedrohungen. Administratoren ordnen MPS-Appliances
in der Regel so an, dass sie als letzte Verteidigungslinie den
Web- bzw. E-Mail-Datenverkehr auf Bedrohungen prüfen,
welche die Firewall und das IPS überwinden konnten.
Web-MPS-Appliances werden hinter Secure Web Gateways
angeordnet, E-Mail-MPS-Appliances hinter Antispam- und
Secure Email Gateways, aber vor dem E-Mail-Server des
Unternehmens. Abbildung 5-1 zeigt schematisch eine typische
Web- und E-Mail-MPS-Implementierung. MPS-Appliances
sollten zudem zur Prüfung von Dateifreigaben im Rechenzentrum eingesetzt werden, um die Ausbreitung von Malware
zu verhindern und sensible Daten zu schützen.
Cloud-Dienst
(E-Mail)
Internet
AntispamGateway
Mail-Server
EgressRouter
Firewall
Web-MPS
(Prüft URLs
auf schädliche
Inhalte)
Core Switch
Anwender
CMS
E-Mail-MPS
(Prüft E-MailAnhänge
auf APTs)
SIEM
Abbildung 5-1: Schema einer typischen NGTP-Implementierung.
MERKEN
APT-Angriffe erfolgen in mehreren Phasen. Eine MPS-Plattform sollte in jeder Phase Schutz bieten – vom ersten Exploit
setzungen dafür gegeben, den Angriff zu vereiteln und ein
Eindringen in die Systeme zu verhindern.
Wenn die MPS-Plattform bereitsteht, erfüllt ein NGTPSystem in der Regel folgende, hier schrittweise dargestellten
Funktionen:
Schritt 1: Das MPS überprüft den ein- und ausgehenden
Datenverkehr sowie die gespeicherten Daten auf bekannte
Kapitel 5 : Next-Generation Threat Protection im Detail | 49
Bedrohungen, CnC-Callbacks, Spear-Phishing-Versuche und
verdächtige Binärdateien bzw. Webseiten. Wird eine bekannte
Bedrohung oder ein CnC-Callback erkannt, wird die Verbindung blockiert und eine Warnmeldung ausgelöst.
Schritt 2: Zur Erkennung unbekannter Zero-Day Exploits
erfasst das MPS eine verdächtige Binärdatei, Webseite bzw.
einen verdächtigen Anhang und führt den betreffenden Code
in der Virtual Execution Engine (innerhalb der Appliance)
aus, um ihn zu analysieren. Dabei handelte es sich Byte für
Byte um eine Rekonstruktion des verdächtigen Datenstroms,
der gegen das Ziel gerichtet ist.
TIPP
Bei der Evaluierung einer NGTP-Lösung sollte darauf geachtet
werden, dass ihre MPS-Komponente mehr als nur HTTPDatenverkehr analysieren kann, da Bedrohungen diverse
Protokolle wie HTTP, FTP, IRC, Eigenprotokolle und andere
nutzen können.
Schritt 3: Die Virtual Execution Engine wird mit einer
bestimmten Version von Microsoft Windows (mit oder ohne
Patches) sowie den relevanten Anwendungen (beispielsweise
gestartet, die dem Ziel des mutmaßlichen Angriffs entsprechen. Das betreffende Objekt wird in der virtuellen Umgebung
ausgeführt bzw. verarbeitet, wobei Anzeichen für schädliches
Verhalten gesucht werden. Dazu zählen eine Beschädigung
des Stammdateisystems, ein Angriff auf eine Anwendung mittels Heap Spraying, das Registrieren eines neuen WindowsDienstes oder ein Callback an eine URL, die als schädlich gilt.
Ist die Binärdatei als ungefährlich eingestuft, wird der Vorfall
protokolliert und die virtuelle Maschine zurückgesetzt.
Schritt 4: Wenn sich der Zero-Day-Angriff bestätigt, erfasst
die virtuelle Maschine dessen weiteren Verlauf. Die fragliche
Binärdatei wird ausgeführt, und alle von der Malware ausgehenden Aktivitäten auf dem Host sowie der NetzwerkDatenverkehr werden aufgezeichnet. Um Callback-Versuche
über das Netzwerk zu unterbinden, werden Informationen
über die Bedrohung gesammelt. Außerdem wird eine
Warnung mit hoher Priorität protokolliert, forensische Daten
zu der Schadsoftware werden aufgezeichnet und ein neues
Bedrohung abzuwehren.
MERKEN
Da der Callback-Datenverkehr das Netzwerk des Ziels nicht
verlässt und der Angreifer keine Rückmeldung erhält, ist der
Angriff fehlgeschlagen. Sensible Daten im Unternehmen
bleiben sicher.
Schritt 5: Die Informationen über die Bedrohung, die sogenannte Threat Intelligence, werden an die CMS-Appliance
(Central Management System) weitergeleitet und von dort an
andere MPS-Appliances im Unternehmen verteilt. Wenn das
Unternehmen am Cloud Threat Intelligence Network (siehe
Kapitel 4) teilnimmt, sind alle ebenfalls teilnehmenden Unternehmen unverzüglich geschützt.
Inline- und Out-of-Band-Installationen
Prinzipiell bestehen zwei Möglichkeiten zum Einsatz von
E-Mail- und Web-MPS-Appliances: Sie können im Inline(aktiv) oder im Out-of-Band-Modus (passiv) betrieben werden.
(MPS-Appliances zur Überwachung von Dateifreigaben werden ausschließlich im Out-of-Band-Betrieb eingesetzt. Sie prüfen gespeicherte Dateien und verschieben schädliche Dateien
Eine Inline-Installation kann neu erkannte Cyber-Angriffe
abwehren, indem ein Callback zu CnC-Servern verhindert
wird. Eine Wiederholung dieses nunmehr bekannten Angriffes
kann ebenfalls unterbunden werden. In diesem Fall wird das
MPS direkt in den Datenverkehr eingebunden – wie ein IPS
oder MTA (Message Transfer Agent).
MPS-Appliances können auch für den Out-of-Band-Betrieb
reinen Überwachungsmodus, in dem die MPS-Engine wie ein IDS vor
erkannten Cyber-Angriffen warnt, oder im TCP RESETModus, in dem das MPS TCP RESET-Pakete an alle Verbindungsteilnehmer sendet, um schädliche TCP-Verbindungen
zu trennen.
TIPP
Im Out-of-Band-Betrieb wird das Web- bzw. E-Mail-MPS mit
einem SPAN-Port am Switch verbunden, der den Datenverkehr spiegelt. Falls kein SPAN-Port zur Verfügung steht,
genügt auch ein Netzwerk-TAP (von Gigamon, VSS Monitoring, NetOptics und anderen Anbietern). Alternativ kann der
gehenden Nachrichten an das E-Mail-MPS sendet.
Viele Unternehmen beginnen zunächst mit Out-of-BandÜberwachung, um die Treffsicherheit und Stabilität des
Systems zu beurteilen. Wenn sich das System bewährt hat,
werden die MPS-Appliances auf den Inline-Modus umgestellt.
ACHTUNG
Wenn Sie MPS-Appliances im Inline-Betrieb einzusetzen
gedenken, achten Sie auf Modelle, die blockierungsfreie, bei
Ausfall offene Verbindungen („Fail Open“) unterstützen. Bei
diesen Modellen wird der Datenverkehr im unwahrscheinlichen Fall einer Stromunterbrechung oder eines anderweitig
bedingten Ausfalls der Appliance an den Kupferschnittstellen
nicht unterbrochen. Ein Ausfall der Appliance führt also nicht
zu einem Totalausfall des Netzwerks. (Optische Schnittstellen
unterbrechen den Datenverkehr unabhängig vom Status der
Appliance grundsätzlich nicht.)
Hauptmerkmale
Nachdem Sie sich nun einen Überblick über NGTP im Allgemeinen und über seine Funktionsweise verschafft haben,
betrachten wir nun die Hauptmerkmale, mit denen moderne
NGTP-Lösungen auf die verschiedenen Phasen eines APTAngriffs reagieren.
TIPP
NGTP-Lösungen unterscheiden sich deutlich in ihrem Funktionsumfang. Achten Sie bei der Lektüre der folgenden Funktionen auf solche, die für Ihr Unternehmen besonders relevant
Virtuelle Ausführung
verdächtiger Objekte
Eine signaturunabhängige Analyse ist für die Erkennung
unbekannter Bedrohungen unverzichtbar. Achten Sie auf die
Möglichkeit, Datenverkehr mit verdächtigen Objekten wie
Webseiten, Binär- und anderen Dateien auf sichere Weise in
einer virtuellen Umgebung auszuführen. Diese Lösung ist nicht
mit dem Weiterleiten einer verdächtigen Datei an eine Sandbox
zu verwechseln. Der Datenverkehr wird vielmehr Byte für Byte
erfasst und in der virtuellen Umgebung rekonstruiert. Eine
einzige Webseite kann zum Beispiel aus 20 oder sogar 200 verschiedenen Objekten bestehen, die aus Dutzenden von Quellen
im Web stammen. Die Rekonstruktion ist die einzige Lösung,
um komplexe Webangriffe wie Drive-by-Downloads zu erfassen.
ACHTUNG
Geben Sie sich nicht dem Glauben hin, die Bedrohung durch
moderne Cyber-Angriffe ginge nur von EXE- und DLLDateien aus. Wie in Kapitel 4 dargelegt, kann Malware in
Webseiten und Dutzende von Dateitypen eingebettet werden.
Die Fähigkeit der Virtual Execution Engine, die Zahl der
falsch positiven und falsch negativen Befunde zu minimieren,
ist unerlässlich. Ein falsch positives Ergebnis (eine harmlose
Datei wird als schädlich eingestuft) kann dazu führen, dass
wichtige Inhalte ihr Ziel nicht erreichen. Ein falsch negatives
Ergebnis (eine schädliche Datei wird als harmlos eingestuft)
kann verheerende Folgen haben – vor allem dann, wenn eine
Datei mit Advanced Malware im Rahmen eines APT-Angriffs
die Schutzmaßnahmen umgeht.
Fast-Path-Blocking
Die Blockierung ausgehender Callbacks und die Abwehr der
entsprechenden, nunmehr bekannten eingehenden Bedrohungen gehen Hand in Hand mit einer signaturunabhängigen
Analyse. Die Grenzen herkömmlicher, signaturabhängiger
Sicherheitslösungen wurden weiter oben ausführlich thematisiert. Ihr Nutzen bei der Bekämpfung bekannter Angriffe
im Rahmen einer Defense-in-Depth-Strategie ist allerdings
unstrittig. Suchen Sie NGTP-Lösungen, die signaturabhängige
und signaturunabhängige Techniken miteinander verbinden,
um bekannte und unbekannte Angriffe wirksam zu vereiteln.
Falls ein Angriff mit weithin bekannter Malware von Abwehrvorrichtungen wie IPS, NGFW, Secure Web Gateways, Antispamlösungen und anderen Netzwerkgeräten nicht erkannt
wird, kann die Fast-Path-Blocking-Funktion einer MPSAppliance (im Inline-Modus) die Schadsoftware unverzüglich
blockieren bzw. in die Quarantäne verschieben.
Wenn Advanced Malware erst einmal in ein Unternehmen
eingedrungen ist, nimmt sie Kontakt zu ihrem CnC-Host auf,
um RAT-Software herunterzuladen (siehe Kapitel 3) oder
weitere Anweisungen des Angreifers zu erhalten. Dabei ist
zu bedenken, dass Malware auch durch die Mobilgeräte von
Mitarbeitern ins Büro gelangen kann. Die MPS-Appliance
kann Verbindungen zu schädlichen URLs und als gefährlich
bekannten IP-Adressen sowie solche mit eigens für Malware
entwickelten Protokollen unterbinden. Wenn der Callback-
Filter der MPS-Appliance den Versuch eines netzinternen
Hosts erkennt, eine Verbindung zu einem bekannten externen
CnC-Host aufzunehmen, wird die Verbindung blockiert
(sofern das MPS im Inline-Betrieb eingesetzt wird) und eine
Warnmeldung ausgelöst (siehe Abbildung 5-2).
Abbildung 5-2: Beispiel für von FireEye erkannte Callback-Vorgänge.
MERKEN
Im Gegensatz zu herkömmlichen Sicherheitsgeräten sind
MPS-Appliances darauf ausgelegt, sowohl ein- als auch ausgehenden Datenverkehr zu prüfen.
Quarantäne für schädliche Dateien
Schädliche Dateien, E-Mails und Anhänge, die von der Virtual
Execution Engine erkannt wurden, können auf der MPSAppliance (oder ggf. der zentralen Verwaltungskonsole, siehe
nächster Abschnitt) in die Quarantäne verschoben werden, wo
eine weitere, über die Möglichkeiten des MPS hinausgehende
forensische Analyse möglich ist. Die Dateien können auch von
Strafverfolgungsbehörden als digitales Beweismaterial für ein
Verbrechen gesichert werden.
Zentrale Verwaltung
Für Unternehmen mit drei oder mehr MPS-Appliances
Central
Management System), welche die zentrale Überwachung und
Steuerung des gesamten NGTP-Systems mithilfe einer benutVerwaltungskonsole können verschiedene Routineaufgaben
erfüllt werden:
Zusammenführung der Ereignisdaten aller MPSAppliances und Aufbereitung der Daten in Form von
Dashboards, Berichten und Warnmeldungen
Zentrale Zusammenführung von in die Quarantäne
verschobenen Malware-Objekten
Zusammenführung und Verteilung der Bedrohungsdaten, die von internen MPS-Appliances generiert
und aus der Malware Protection Cloud bezogen
wurden; Hochladen von Bedrohungsdaten in die
Malware Protection Cloud (sofern gewünscht)
und Anwendung der Einstellungen auf einzelne MPSAppliances oder Gruppen
Herunterladen und Verteilen von Software-Updates
an alle MPS-Appliances von einem zentralen Ort
Überwachung der Leistung aller MPS-Appliances
Export von Ereignisdaten an SIEM-Plattformen
(Security Information and Event Management),
Incident-Management-Systeme und externe
Anwendungen
Kontrolle von Zugriffs- und Administratorrechten
Einige NGTP-Hersteller bieten bei ihren Verwaltungsappliances verschiedene Modelle an, deren Kapazität sich
nach der Zahl der zu steuernden MPS-Appliances und dem
Angriffsvolumen richtet.
Austausch von MalwareInformationen
Die Eleganz einer NGTP-Lösung liegt zum Teil darin, dass
Unternehmen durch ihre selbst generierten Malware-Informationen (automatisch) geschützt werden und außerdem die
Möglichkeit haben, diese Daten mit anderen Unternehmen
auszutauschen. Die Daten werden über ein Cloud Threat
Intelligence Network verteilt, das vom NGTP-Anbieter betrieben wird. Sobald ein Unternehmen eine neuartige Bedrohung
erkannt hat, sind alle anderen teilnehmenden Unternehmen
innerhalb weniger Minuten ebenfalls geschützt. In diesem
Zusammenhang ist oft die Rede von kollektiver Immunität.
Zwar können Unternehmen APT-Angriffe mit ihrem MPS
auch isoliert abwehren. Die kollektive Immunität macht ihre
nen MPS-Ressourcen auf die Analyse wirklich neuer CyberAngriffe konzentriert werden. Zudem bieten die Hersteller
meist Preisnachlässe auf das Jahresabonnement des Cloud
Threat Intelligence Network für Unternehmen an, die zu
einem anonymisierten Austausch von Bedrohungsdaten über
die Cloud bereit sind.
MERKEN
In diesem Zusammenhang ist zu betonen, dass unter keinen
Umständen ganze Dateien oder auch nur Teile ihres Inhalts
an das Cloud Threat Intelligence Network übermittelt werden.
misierte Daten wie etwa eine Prüfsumme der Datei.
Unterstützung eigener Regeln
Bei führenden NGTP-Systemen haben erfahrene Anwender
die Möglichkeit, eigene Regeln zur Erkennung von Schadsoftware in der Regelbeschreibungssprache YARA zu importieren. (Bei YARA handelt es sich um ein Tool, das die ErfasWenn eine importierte YARA-Regel vom MPS ausgelöst wird,
prüft die Virtual Execution Engine unverzüglich die zugehörigen Objekte auf einen möglichen Cyber-Angriff. Die Funktion
einer bestimmten Klasse von Cyber-Angriffen sind.
INTERNET
http://code.google.com/p/yara-project/.
AV-Integration
Gute NGTP-Lösungen ermöglichen die Einbindung gängiger
Antiviruslösungen (siehe Abbildung 5-3) von McAfee,
Symantec, Sophos und anderen Anbietern. Durch Verbindung
der NGTP-Lösung mit einem AV-Paket kann jedes schädliche
Objekt weiter analysiert werden, um festzustellen, ob die
AV-Plattform die vom MPS gestoppte Malware erkennen
konnte. Damit können Unternehmen bei der Reaktion auf
Abbildung 5-3: Beispiel für die Einbindung einer
Antivirusplattform in FireEye.
Rollenabhängige Zugriffsrechte
Die meisten NGTP-Systeme unterschieden zwischen verschiedenen Anwenderrollen, damit IT-Mitarbeiter nur Administratorrechte erhalten, die sie für ihre Arbeit benötigen. In der
Regel werden unter anderem die folgenden NGTP-Anwenderrollen unterschieden:
Systemadministrator – voller administrativer
Zugriff auf die gesamte NGTP-Installation
Bereichsadministrator – administrativer Zugriff
auf eine oder mehrere MPS-Appliances
Sicherheitsanalyst – nur Zugriff auf Dashboards
und Berichte, keine Änderung oder Löschung
von Ereignisdaten und keine Änderung der
Systemeinstellungen
Dashboard
Das NGTP-Dashboard (siehe Abbildung 5-4) ist die zentrale
und der Auslastung der MPS-Appliances im Unternehmen.
Auf die Dashboards wird üblicherweise mit einem Webbrowser zugegriffen. Sie sollten möglichst leicht verständlich
sein. Gute Dashboards bieten die Möglichkeit, innerhalb
der Ereignisdaten weitere Details anzuzeigen, um über die
nächsten Schritte zu entscheiden.
Abbildung 5-4: Beispiel für ein FireEye-Dashboard.
Berichte
Moderne NGTP-Lösungen verfügen über leistungsfähige
und komfortable Funktionen für die Suche nach und die
Zusammenfassung von Daten zu bestimmten Arten von
Cyber-Angriffen. Die Daten können nach Name und Typ aufgeschlüsselt werden. Damit stehen verschiedene Zusammen-
Callback-Ereignisse mit den entsprechenden Geodaten. Einige
NGTP-Lösungen unterstützen sogar die Lokalisierung von
Sicherheitsereignissen in Google Earth.
Die Berichte können entweder nach Bedarf abgerufen oder
mithilfe der zentralen Verwaltungskonsole in bestimmten
Abständen (täglich, wöchentlich, monatlich) automatisch
erstellt werden.
MERKEN
Vor allem die Trendberichte geben Aufschluss über Fortschritte bei der Senkung der Zahl befallener Systeme.
Warnungen
Mithilfe von Warnungen halten Sicherheitsanalysten mit
möglichen Angriffen Schritt. Warnmitteilungen können per
SMTP, SNMP, Syslog und HTTP POST übermittelt werden.
Verwaltungsappliance angezeigt (siehe Abbildung 5-5).
Abbildung 5-5: Beispiel für eine Warnungsübersicht von FireEye.
TIPP
Sobald ein neuer Cyber-Angriff mit zugehörigem Callback
erkannt wird, löst das MPS eine oder mehrere Warnungen mit
hoher Priorität aus. Die MPS-Appliance kann die CallbackVerbindung unterbrechen und den Angriff so vereiteln (sofern
eine weitere Verfolgung des Vorfalls wichtig, um mögliche
Schäden an dem vom Angriff betroffenen Host zu beseitigen.
Integration von NGTP in die
vorhandene Netzwerk-Infrastruktur
IT-Sicherheitssysteme sollten nie isoliert voneinander
betrieben werden. Die verschiedenen Sicherheitsprodukte
sollten vielmehr im Verbund miteinander und mit der ihnen
zugrunde liegenden Netzwerkinfrastruktur arbeiten. So liefern sie der IT-Abteilung einen umfassenden Einblick in die
zu schützende Umgebung und senken damit das Risiko eines
erfolgreichen Cyber-Angriffs.
Dieser Abschnitt beschreibt die Verbindung von NGTP-Systemen mit drei gängigen IT-Plattformen. Den Anfang macht
SIEM.
SIEM
Eine SIEM-Plattform (Security Information and Event
um NGTP-Integration geht, vor allem bei Out-of-BandInstallationen. Das ist nicht verwunderlich. Schließlich hat
ein SIEM-System die Aufgabe, Sicherheitsereignisse im
gesamten Unternehmen zusammenzuführen und (mithilfe
Duzender vorgegebener und selbst erstellter Regeln) zueinander in Beziehung zu setzen, um verdeckte Cyber-Angriffe
aufzudecken.
Sicherheitsereignisse können in Echtzeit-Streams an SIEMPlattformen exportiert werden. Dies geschieht per Syslog, im
Common Event Format (CEF) oder in proprietären Formaten,
die für eine eingehende Analyse mehr Informationen über den
Angriff enthalten.
TIPP
Produkten verbunden. Wie eine SIEM-Plattform führt auch
eine Log-Management-Lösung Sicherheitsereignisse (aus
Syslog-Daten) zusammen. Im Gegensatz zu einer SIEM-Plattform kann sie aber in der Regel keine Beziehungen zwischen
den Daten herstellen. Log-Management-Lösungen werden
weise PCI DSS zu erfüllen, dienen aber auch als komfortabler
Zugang zu kumulierten Log-Daten.
Bekannte Anbieter sind HP ArcSight, IBM Q1 Labs,
LogRhythm, McAfee, RSA und Splunk.
Security Intelligence and Analytics
Der auch als Netzwerkforensik bekannte Bereich Security
Intelligence and Analytics (SIA) erfasst jedes einzelne Paket
im Netzwerk. Damit werden verschiedene Zwecke verfolgt:
Reaktion auf Sicherheitsvorfälle (Forensik)
Erkennung von Cyber-Angriffen
Überwachung und Analyse von Datenverlusten
Sobald ein NGTP-System eine neue Form von Malware
eingesetzt werden, um die SIA-Datenbank zu durchsuchen
und den Kontext zu rekonstruieren, in dem der Host
kompromittiert wurde. Auf diese Weise lassen sich andere
Hosts ermitteln, die möglicherweise von demselben Angriff
betroffen sind.
Einige SIA-Hersteller bieten eine universelle ConnectorSchnittstelle, die eine direkte Einbindung in den Webbrowser
ermöglicht. Damit können NGTP-Anwender in der zentralen
Verwaltungskonsole auf eine IP-Adresse klicken, um die
SIA-Datenbank abzufragen, was die Reaktion auf Vorfälle
beschleunigt.
Bekannte Anbieter sind NetWitness (RSA), Niksun und Solera
Networks.
Incident Management
Incident-Management-Plattformen (auch: Ticketing-Plattformen) sind schon seit einigen Jahren auf dem Markt. Sie
det, um IT-Vorfälle und ihre Bearbeitung zu verfolgen. Ein
Vorfall kann ein einfacher Anruf beim Helpdesk oder eine so
komplexe Aufgabe wie die Bekämpfung eines APT sein.
Warnmeldungen in ein vorhandenes Incident-ManagementSystem gewünscht. Dies ist zum Beispiel mithilfe von
entsprechend formatierten Warnungen möglich, die vom zentralen NGTP-Verwaltungssystem per SMTP an das IncidentManagement-System gesendet werden. Alternativ können
Warnungen im XML-Format verarbeitet und an vorhandene
Vorlagen für Incident-Warnungen angepasst werden.
Bekannte Anbieter sind BMC Remedy, Numara Software und
RSA Archer.
Renommierte Forschungseinrichtung erprobt
Next-Generation Threat Protection
Einem Sprichwort zufolge ist Unwissenheit ein Segen. Für den CSO
einer staatlichen US-Forschungseinrichtung, deren Aufgabe die
Fortschritts in den Bereichen
Energie, Umwelt und nationale
Sicherheit ist, gilt das allerdings
nicht. Die Einrichtung hat täglich
mit einer Vielzahl von Staatsgeheimnissen und sensiblen Daten
zu tun – ein verlockendes Ziel für
gehende Cyber-Kriminelle.
Zum Schutz vor Datendiebstahl
wird deshalb eine Reihe von Sicherheitsgeräten der Enterprise-Klasse
eingesetzt, darunter Firewalls,
IPS- und AV-Lösungen. Eines
Tages musste der erfahrene CSO
allerdings in einer Fachzeitschrift
lesen, dass eine Organisation
vergleichbarer Größe Opfer eines
verheerenden APT geworden war.
Er erfuhr auch, wie APT-Angriffe
ablaufen und weshalb herkömmliche Abwehrmaßnahmen gegen
sie machtlos sind.
Sein Team aus erfahrenen Sicherheitsprofis machte ihn auf eine
neue Klasse von AbwehrmaßnahThreat Protection. Wie sich herAnbieter mehr Kompetenz bei der
Erkennung moderner Bedrohun-
gen vorweisen als alle anderen
NGTP-Anbieter zusammen: FireEye
Nach am selben Tag wandte sich
ein Teammitglied an FireEye, um
einen Termin zu vereinbaren. Kurz
Ort durchgeführt. Die Implementierung eines Pilotsystems zur
Überwachung des Datenverkehrs
im Netzwerk nahm lediglich einen
Tag in Anspruch. Die Web-MPSAppliance von FireEye lieferte umhalb weniger Stunden wurden die
ersten Warnungen ausgelöst – von
schädlichem Code, der von den
vorhandenen Abwehrmaßnahmen
der Einrichtung nicht erkannt
worden war.
Einige Wochen später nahm die
MPS-Appliance von FireEye den
regulären Inline-Betrieb auf. Die
Fast-Path-Blockierung der Appliance stoppt bekannte, eingehende
Angriffe sowie Malware-Callbacks. Die leistungsfähige Virtual
Execution Engine erkennt zuverDer CSO der Forschungseinrichtung kann wieder ruhig schlafen.
Er weiß, dass er den Namen seines
Labors so schnell nicht in einer
Fachzeitschrift für IT-Sicherheit
lesen wird.
Kapitel 6: Die Wahl der richtigen NGTP-Lösung | 63
Kapitel 6
Die Wahl der richtigen
NGTP-Lösung
In diesem Kapitel
Fallstricke bei der Evaluation von NGTP-Lösungen
Erstellen einer Liste von NGTP-Kaufkriterien
D
utzende Anbieter von Cyber-Sicherheitslösungen werben
damit, komplexe Cyber-Angriffe erkennen und stoppen
zu können – auch Zero-Day Exploits, polymorphe Bedrohungen und APTs. Und vielleicht können alle diese Anbieter
bekannte Angriffe tatsächlich erkennen und abwehren. Nur
wenige sind jedoch imstande, auch unbekannte Angriffe zu
vereiteln. Dies gilt insbesondere, wenn diese Angriffe (zumindest der breiten Öffentlichkeit) unbekannte Schwachstellen in
Betriebssystemen oder Anwendungen zum Ziel haben.
Bei der Wahl des richtigen NGTP-Systems muss man wissen,
worauf zu achten und was zu vermeiden ist. Beginnen wir mit
dem zweiten Punkt.
Negative Merkmale
Die folgende Liste fasst negative Merkmale zusammen, die bei
der Wahl einer NGTP-Lösung zu meiden sind:
Keine reine Erkennungslösung. Gute NGTP-Lösungen
unterstützen den Inline- und Out-of-Band-Betrieb. Viele
Unternehmen beginnen mit dem Out-of-Band-Modus, um
sich mit einer Lösung vertraut zu machen, und gehen dann zu
Malware, Callbacks und das erneute Auftreten kürzlich entdeckter Schadsoftware zu stoppen. Bei MPS-Appliances mit
Kupferschnittstellen ist außerdem darauf zu achten, dass sie
im Inline-Betrieb blockierungsfreie, bei Ausfall offene Verbindungen („Fail Open“) unterstützen.
Keine Sandbox-Lösung. NGTP-Lösungen, die auf veralteter Sandbox-Technologie beruhen, können von routinierten
Angreifern leicht überlistet werden. Dazu wird die Malware
so aufgebaut, dass sie herkömmliche Sandbox-Technologie
unerkannt zu bleiben.
Keine Cloud-Analyse.Eine NGTP-Lösung sollte sich
durchaus die Möglichkeiten und die Skalierbarkeit von Cloud
Computing zunutze machen. Gute NGTP-Lösungen nutzen
die Cloud allerdings nur für den Datenaustausch, nicht für die
Malware-Analyse. Dieser Punkt betrifft auch multifunktionale
Netzwerk-Sicherheitslösungen, die grundlegende NGTP-Funktionen beinhalten. Für die Malware-Analyse ist eine Integration der Virtual Execution Engine in die MPS-Appliance ideal,
weil dies die Malware-Erkennungsraten und die Skalierbarkeit
deutlich steigert. Zudem ist gewährleistet, dass vertrauliche
Daten das Netzwerk unter keinen Umständen verlassen.
Keine MPS-Komplettappliances. Eine optimale Erkennung moderner, neuartiger Cyber-Angriffe ist nur durch
separate, spezialisierte MPS-Appliances für die Bereiche
E-Mail, Web und Dateifreigabe gewährleistet. Sie sollten
allerdings im Verbund arbeiten und Erkennungsdaten untereinander austauschen.
Nachdem wir die Punkte erörtert haben, die es zu vermeiden
gilt, wenden wir uns nun den NGTP-Merkmalen zu, die jedes
sicherheitsbewusste Unternehmen als Kaufkriterien zugrunde
legen sollte. Dabei hilft Ihnen der folgende Abschnitt.
Wichtige Kaufkriterien
Die folgenden NGTP-Kaufkriterien sollten in Unternehmen,
Behörden und anderen Organisationen unabhängig von Größe
und Tätigkeitsbereich an erster Stelle stehen.
TIPP
Einige dieser Kaufkriterien wurden bereits erörtert. Die
betreffenden Beschreibungen dienen lediglich als kurze
Zusammenfassung. Falls Sie eine eingehende Erklärung
benötigen, blättern Sie zurück zu den Kapiteln 3 und 4.
Kapitel 6 : Die Wahl der richtigenNGTP-Lösung | 65
Integrierte NGTP-Plattform für die
Web-, E-Mail- und Dateiprüfung
Dieser Aspekt wurde bereits mehrfach erwähnt, muss aber
auch in diesem Zusammenhang erneut genannt werden. Um
einen APT-Angriff zu vereiteln, ist ein integrierter Schutz
unerlässlich, der alle gängigen Eintrittspunkte von Malware
abdeckt: Web, E-Mail und Dateien. Gute NGTP-Plattformen
verwenden zur Erkennung von Malware in E-Mail-Nachrichten, im Webdatenverkehr und in gespeicherten Dateien
spezialisierte MPS-Appliances mit individuell angepassten
Heuristiken und Algorithmen. Die Erkennungsdaten werden
dabei abgeglichen, um APT-Angriffe wirksam und unternehmensweit zu stoppen.
Der Kauf einer MPS-Appliance von einem Anbieter, der nach
eigener Aussage zwei bis drei dieser Bereiche abdeckt, mag
kurzfristig kostengünstig erscheinen. Langfristig lohnt es sich
nicht, das Risiko einer unvollständigen Lösung einzugehen.
Überwachung von ein- und
ausgehendem Datenverkehr
NGTP-Systeme überwachen in der Regel den eingehenden
Datenverkehr von Websites sowie eingehende E-Mail-Nachrichten auf verdächtige Binärdateien, die Advanced Malware enthalten könnten (Ingress-Filterung). Den ausgehenden Datenverkehr hingegen (Egress-Filterung) überwachen die meisten
NGTP-Systeme überhaupt nicht. Andere wiederum überwachen
erstaunlicherweise nur den ausgehenden Datenverkehr. Durch
Überwachung des ein- und ausgehenden Datenverkehrs kann
eine MPS-Appliance sowohl eingehende Malware als auch die
entsprechenden ausgehenden Callback-Versuche erkennen.
MERKEN
Die Überwachung sowohl des ein- als auch des ausgehenden
Datenverkehrs ist ein wichtiges Merkmal, das nur führende
NGTP-Lösungen bieten. Es stellt eine zusätzliche SicherheitsMobilgeräte wichtig ist, die ins Büro mitgebracht werden.
Analyse einer Vielzahl von Dateitypen
So erschreckend es klingt, aber einige fragmentarische NGTPLösungen erkennen Malware nur in unverschlüsselten EXE-
und DLL-Dateien. Allerdings kann Malware in eine Vielzahl
von Objekttypen eingebettet werden. Das kann eine einfache,
XOR-kodierte Binärdatei sein, wie im Fall von Operation
Aurora, oder eine Microsoft Excel-Datei, die einen Zero-Day
Exploit in Flash ausnutzt, wie im Fall des Angriffs auf RSA
Security (siehe dazu den Kasten „RSA Security geht mit APTAngriff an die Öffentlichkeit“ in Kapitel 3).
MERKEN
Hybride Exploits dieser Art unterstreichen die Bedeutung
eines breit angelegten Netzwerkschutzes. Im Fall des Angriffs
auf RSA zielte die Excel-Datei nicht auf Microsoft Excel ab,
sondern diente als Einfallstor für einen Exploit, der gegen eine
vollkommen andere Anwendung gerichtet war.
Eine gute NGTP-Lösung bedient sich komplexer Heuristik und
fortschrittlicher Algorithmen, um Advanced Malware in Webseiten und in einer Vielzahl von Dateitypen zu erkennen, darunter COM, DOC, DOCX, GIF, JPG, MOV, MP3, MP4, PDF, PNG,
PPT, PPTX, SWF, TIFF, XLS, XLSX, ZIP und viele andere.
Lösung für die manuelle
Malware-Analyse
Die Virtual Execution Engine in der MPS-Appliance prüft alle
auch nur im Ansatz verdächtigen Dateien auf Advanced Malware. Dabei liefert sie Sicherheitsexperten forensische Daten
über den Exploit. So kann beispielsweise ermittelt werden,
welche Schwachstelle ausgenutzt wurde, um einen Pufferüberlauf zu erzwingen, ob versucht wurde, die Rechtezuweisung
von Windows zu manipulieren und welche Adressen für Callbacks zur Übermittlung erbeuteter Daten verwendet wurden.
Erfahrende Sicherheitsexperten ziehen in einigen Fällen eine
manuelle Analyse von Malware vor, um sich einen umfassenden Überblick über den Angriff zu verschaffen – vom ursprünglichen Exploit und der Ausführung der Schadsoftware bis zu
den anschließenden Download-Versuchen von Binärdateien.
Um diesen Bedarf an erschöpfenden forensischen Daten zu
erfüllen, sind von NGTP-Anbietern eigenständige Malware
Analysis Systems (MAS) erhältlich, die meist in Form einer
praktischen Appliance für die Rackmontage angeboten werden.
nen mit verschiedenen Versionen von Microsoft Windows
Kapitel 6 : Die Wahl der richtigenNGTP-Lösung | 67
und einer Reihe von Softwareanwendungen wie Microsoft
können IT-Experten verdächtige bzw. eindeutig als Malware
erkannte Binärdateien untersuchen, um die Ziele und Absichten der Angreifen näher zu analysieren, ohne mit zusätzlichem
Aufwand verschiedene Testumgebungen einrichten zu müssen.
Keine falsch positiven oder falsch
negativen Ergebnisse
Sogenannte falsch positive oder falsch negative Ergebnisse
durch unzureichende NGTP-Erkennung können sich für
Unternehmen als äußerst kostspielig erweisen. Ein falsch
positives Ergebnis (eine harmlose Datei wird als schädlich eingestuft) kann dazu führen, dass eine geschäftskritische Datei
Einbußen führt. Ein falsch negatives Ergebnis (eine schädliche
Datei wird als harmlos eingestuft) hat noch gravierendere
Folgen, da eine Malware-Datei ohne weitere Analysen ihr Ziel
erreicht. Es liegt auf der Hand, was dies bedeuten kann.
Der Anspruch, dass die besten NGTP-Systeme auf dem Markt
niemals ein falsch positives oder falsch negatives Ergebnis
liefern, ist möglicherweise überzogen, aber dieser Fall sollte
zumindest sehr selten und nur in großen Abständen eintreten.
MERKEN
Um die Erkennungsrate einer NGTP-Lösung einschätzen zu
können, die Sie in die engere Auswahl genommen haben,
unterziehen Sie diese einem Testlauf vor Ort. Falls Sie zwei
konkurrierende Lösungen bewerten, testen Sie beide gleichzeitig anhand des regulären Datenverkehrs (im passiven
Out-of-Band-Modus), und vergleichen Sie die Ergebnisse.
Unterstützung eigener Regeln
Wie in Kapitel 5 erörtert, benötigen NGTP-Administratoren
mitunter eine Importmöglichkeit für eigene Regeln auf ByteEbene, die in der Regelbeschreibungssprache YARA vorliegen,
um alle relevanten Objekte auf gezielt gegen das Unternehmen
gerichtete Bedrohungen zu untersuchen. Dies ist vergleichbar
mit der Erstellung eigener Signaturen für ein Netzwerk-IPS.
Berücksichtigen Sie bei der Kaufentscheidung deshalb
auch die Erweiterungsmöglichkeiten der konkurrierenden
NGTP-Lösungen sowie die Unterstützung für eigene
Malware-Erkennungsregeln.
Intuitiv bedienbare
Wie leistungsfähig eine Sicherheitsanwendung auch sein mag:
Wenn sie in der Anwendung kompliziert ist, wird sie von der
IT-Abteilung nicht eingesetzt werden – jedenfalls nicht in der
Breite. NGTP-Lösungen sind da keine Ausnahme.
Im Gegensatz zu Sicherheitslösungen, die eine Feinanpassung
oder eigens entwickelte Richtlinien erfordern, wie herkömmliche Firewall- und IPS-Appliances, ist ein NGTP-System eine
weitgehend automatisierte Lösung. Dennoch muss die Oberdie Einrichtung von Berichten und Warnmeldungen sollte
nicht nur erfahrenen Experten vorbehalten sein.
Schnell erreichbarer Kundensupport
Die Wahl des NGTP-Anbieters ist ebenso wichtig wie die
Wahl des Produkts – wenn nicht sogar wichtiger. Technischer
Support von hoher Qualität wird von Unternehmen und
Behörden regelmäßig als wichtiges Kriterium bei der Entscheidung für ein IT-System genannt.
TIPP
Prüfen Sie die Qualität des Kundensupports immer vor Ihrer
Kaufentscheidung. Wenden Sie sich dazu in der Evaluationsphase mindestens zweimal direkt an den technischen Support,
und nicht nur an den Vertriebsmitarbeiter, von dem Sie
betreut werden. Wenn Sie keine konkreten Probleme haben,
suchen Sie einen anderen Anlass, indem Sie beispielsweise
eine allgemeine Frage zu den Funktionen des Produkts
stellen. Bewerten Sie dabei, wie gut und wie schnell die
Supportmitarbeiter reagieren. Notieren Sie auch, wie lange es
gedauert hat, bis Sie zu einem Mitarbeiter durchgestellt
wurden. Wenn Sie 30 Minuten warten müssen und der
Supportmitarbeiter eine einfache Frage zur SystemAngebot in Erwägung ziehen.
Glossar
Advanced Persistent Threat (APT): Ein komplexer
Cyber-Angriff, der mehrstufig aufgebaut ist und dank
ausgeklügelter Tarnung für längere Zeit unbemerkt
bleiben kann.
Advanced Targeted Attack (ATA): Ein Synonym für
Advanced Persistent Threats.
Ausgehender Verkehr: Datenverkehr im
Computernetzwerk, der von innerhalb an Hosts außerhalb
des Netzwerks übertragen wird.
Baiting: Ein Social-Engineering-Angriff, bei dem
mit Malware infizierte Datenträger wie USB-Sticks im
Arbeitsumfeld eines Unternehmens als „Köder“ ausgelegt
werden.
Bot: Ein infizierter Computer (oder Endpoint), der von
einem Command-and-Control (CnC)-Server zentral
gesteuert wird.
BYOD (Bring Your Own Device): Eine Unternehmensrichtlinie, die regelt, inwieweit Mitarbeiter mit eigenen
elektronischen Geräten auf betriebliche Daten zugreifen
dürfen.
Central Management System (CMS): Eine RackAppliance zur Überwachung und Verwaltung von MPSAppliances in einer NGTP-Umgebung.
Cloud Threat Intelligence Network: Ein von einem
NGTP-Anbieter verwalteter Webservice, um neueste
Bedrohungsdaten an MPS-Appliances von Kunden zu
senden bzw. diese zu empfangen.
Command-and-Control-Server (CnC): Ein Server,
der von Cyber-Kriminellen betrieben wird, um
Anweisungen an Bots zu versenden.
Cyber-Krieg: Politisch motivierte Hacking-Aktivitäten
zur Sabotage und/oder Spionage in staatlichen Systemen.
Cyber-Krimineller: Hacker, der sich aus finanziellen
Motiven unberechtigten Zugang zu fremden Computern
verschafft und Daten entwendet.
Cyber-Terrorismus: Der Einsatz von internetbasierten
Angriffen für terroristische Zwecke (z. B. Lahmlegung
kompletter Netzwerke).
Data Leakage Prevention (DLP): Ein System, das
potenzielle Datenlecks anhand bestimmter Muster
(z. B. Kreditkartennummern) erkennt.
Defense-in-Depth-Strategie: Eine Reihe
hintereinander geschalteter Sicherheitssysteme, um
Bedrohungen auf unterschiedlichen Ebenen ausfindig zu
machen.
Denial-of-Service (DoS)-Angriff: Ein CyberAngriff, der ein Zielsystem beeinträchtigt oder
lahmlegt, indem der Host mit einer größeren Anzahl an
Kommunikationsanfragen überlastet wird.
Eingehender Verkehr: Datenverkehr im
Computernetzwerk, der von außerhalb an Hosts innerhalb
des Netzwerks übertragen wird.
Fail Open: Die Fähigkeit von Kupferschnittstellen einer
Netzwerk-Appliance, die Konnektivität auch bei einer
Unterbrechung der Stromversorgung oder anderweitigen
Störungen aufrechtzuerhalten.
Falsch negativ: Fehleinstufung einer infizierten Datei
als harmlos.
Falsch positiv: Fehleinstufung einer harmlosen Datei
als schädlich.
Hacktivism: Die Nutzung von Computern und
Netzwerken zu Protestzwecken und aus politischen
Motiven.
Inline-Modus: Platzierung einer Netzwerk-Appliance
entlang des Netzwerkverkehrs, um Cyber-Angriffe stoppen
zu können.
Glossar | 71
Intrusion Detection System (IDS): Ein
signaturabhängiges Out-of-Band-Sicherheitsgerät, das
den Netzwerkverkehr überwacht und bei Erkennung
bekannter Cyber-Angriffe Warnmeldungen versendet.
Intrusion Protection System (IPS): Ein aktives
signaturabhängiges Inline-Sicherheitsgerät, das den
Netzwerkverkehr überwacht und bei Erkennung bekannte
Cyber-Angriffe abwehrt.
Keylogger: Eine Anwendung, die meist ohne Kenntnis
des Benutzers Tastatureingaben auf einem Computer
aufzeichnet.
Kombinierter Angriff: Ein Cyber-Angriff, der mehrere,
auf verschiedene Schwachstellen abzielende Angriffe
umfasst.
Malware: Schadsoftware wie Viren, Würmer oder
Trojaner, die den Betrieb von Computern stören,
sensible Daten sammeln oder sich Zugang zu privaten
Computersystemen verschaffen. Siehe auch Spyware,
Trojaner und Wurm.
Malware Analysis System (MAS): Eine Appliance, die
mit einer virtuellen Ausführungs-Engine ausgestattet ist,
damit Benutzer verdächtige Objekte manuell untersuchen
können.
Malware Protection System (MPS): Eine RackAppliance zur Erkennung und Weiterleitung verdächtiger
Netzwerkobjekte an die gehostete Virtual Execution
Engine, um eine signaturunabhängige Analyse
vorzunehmen.
Mehrstufig: Ein Cyber-Angriff, bei dem verschiedene
Malware-Typen miteinander kombiniert und
nacheinander ausgeführt werden.
Multivektorbasiert: Ein Cyber-Angriff, bei dem
verschiedene Zielsysteme eines Unternehmens mit
unterschiedlichen Verfahren angegriffen werden.
Next-Generation Threats (Bedrohungen der
nächsten Generation): Heutige Cyber-Angriffe
lassen sich nicht ausschließlich mit signaturabhängigen
Sicherheitslösungen erkennen. Beispiele sind polymorphe
Malware, Zero-Day Exploits und APT-Angriffe.
Next-Generation Threat Protection (NGTP):
Software, die auf speziellen Rack-Appliances installiert
wird, um Cyber-Angriffe der nächsten Generation zu
erkennen und abzuwehren.
Out-of-Band-Modus: Der Betriebsmodus einer
Netzwerk-Appliance zur Analyse von Datenverkehr, der
von einem Netzwerk-TAP oder Switch-SPAN-Port kopiert
wird.
Phishing: Der Versand einer E-Mail, die dem Empfänger
unter Vorspiegelung falscher Tatsachen sensible Daten
wie Kreditkarten- und Sozialversicherungsnummern
entlocken soll.
Polymorphe Bedrohung: Malware, die ihre Signatur
(ihr binäres Muster) bei jeder Replikation verändert, um
von Sicherheitsgeräten und -anwendungen nicht erkannt
zu werden.
Pufferüberlauf: Ein Angriff, bei dem mehr Daten in
einen Speicherbereich geschrieben werden als dieser
bewältigen kann. So erhalten Angreifer die Möglichkeit,
eigenen Code auszuführen (oftmals mit erweiterten
Rechten für die betroffenen Anwendungen oder
Netzwerkservices).
Remote Administration Tool (RAT): Software,
die Hackern eine Hintertür zum infizierten System
öffnet, damit diese Daten ausspionieren oder den Host
übernehmen können.
Sandbox: Eine Softwareanwendung für die
Untersuchung verdächtiger binärer Muster auf einer
isolierten virtuellen Maschine. Kann von intelligenten
Cyber-Kriminellen leicht umgangen werden.
Spear Phishing: Ein Phishing-Angriff, der sich gegen
ein bestimmtes Unternehmen oder eine Person in diesem
Unternehmen richtet.
Glossar | 73
SQL-Injection-Angriff: Ein Angriff auf eine
datenbankbasierte Webanwendung, bei dem der Angreifer
nicht zulässige SQL-Befehle verwendet, um CodeSchwachstellen auszunutzen.
Spyware: Malware, die Daten über Benutzer sammelt
(mit oder ohne deren Kenntnis).
Staatlich beauftragter Bedrohungsakteur: Ein
Cyber-Krimineller, der von einer Regierung beauftragt
wird, politisch motivierte Cyber-Angriffe gegen
Staatsfeinde durchzuführen.
Trojaner: Malware, die sich als harmlose Datei oder
nützliche Anwendung tarnt und einem Hacker unbefugten
Zugriff auf einen Computer verschafft.
Virtual Execution Engine: Eine Komponente von
MPS-Appliances für die signaturunabhängige Analyse
verdächtiger Objekte auf einer isolierten virtuellen
Maschine.
Whaling: Ein Cyber-Angriff, der Führungskräfte und
andere lukrative Ziele innerhalb eines Unternehmen ins
Visier nimmt.
Wurm: Eine Art von Malware, die Schwachstellen in
Netzwerken ausnutzt, um sich auf andere Computer zu
verbreiten.
Zero-Day Exploit: Ein Cyber-Angriff, der eine
unbekannte (oder noch nicht gemeldete) Sicherheitslücke
in Betriebssystemen oder Anwendungen ausnutzt.
EINE NEUE ART VON CYBERANGRIFFEN
IST IN 95 % ALLER NETZWERKE EINGEDRUNGEN.
ZÄHLEN SIE WIRKLICH ZU DEN ÜBRIGEN 5 %?
Sie glauben, dass Ihre Sicherheitslösungen auch neuartige
Cyber-Angriffe daran hindern können, in Ihr Netzwerk
einzudringen und Daten zu entwenden. Diese Sicherheit
ist trügerisch. Neuartige Cyber-Angriffe umgehen mit
Leichtigkeit traditionelle und Next-Generation-Firewalls,
IPS- und AV-Lösungen sowie Gateways.
FireEye kann sie aufhalten. Setzen Sie neuartigen CyberAngriffen ein Ende – mit Next-Generation Threat Protection. Besuchen Sie uns unter www.FireEye.com. Gemeinsam schließen wir die Sicherheitslücke in Ihrem Netzwerk.
© 2013 FireEye, Inc. Alle Rechte vorbehalten.
Über den Autor
2

fireeye_leitfaden_next-generation_threat_protection_WEB

Transcrição

Documentos relacionados

2014: Advanced Threat Investigation, Detection und Automatic

- Trojaner

File

Gebrauchsanweisung Instructions

Programmverhalten analysieren - VB

Vue d`ensemble du produit Produktübersicht Wichtige Hinweise für

TGRT

Schutz vor Adobe Flash‑Exploits

- schoeller network control

zuverlässiger schutz egal, wo.

The impact of text framing on the understanding of - regener

Dokument 1

Agentenlose Netzwerkzugriffskontrolle (NAC) für

PDF, 207 KB nicht barrierefrei

PureMessage für Windows/Exchange Produkttour

McAfee Endpoint Security 10.1.0 Installationshandbuch Zur