BLOG
10/11/2015 09:11 CET | Aktualisiert 10/11/2016 06:12 CET

Bedrohung durch Hacker: Warum wir neue Sicherheitsmodelle brauchen

Westend61 via Getty Images

Seit Jahren ist Sicherheitsexperten bekannt, dass signaturbasierte Sicherheitsverfahren an ihre Grenzen stoßen. Aufgrund der sich schnell verändernden Bedrohungslandschaft können diese Ansätze keine hundertprozentige Sicherheit garantieren.

Soweit die Erkenntnis. Wie kommt es dann, dass die Security-Branche immer noch darauf aus ist, Signaturen schneller zu machen, anstatt das eigentliche Problem anzugehen?

Threat Feeds liefern immer schneller Signaturen, Malware Sandboxes generieren beim Auftauchen neuer Malware umgehend neue Signaturen. Nichtsdestotrotz finden Hacker immer neue Wege, Sicherheitsmethoden wie diese gekonnt zu umgehen.

Die Lösung: Um wirklich vorankommen zu können, müssen die grundlegenden Beschränkungen der Signaturen endlich angegangen, verstanden und neue Gegenmaßnahmen geschaffen werden, die auf die Erkennung von Bedrohungen fokussiert sind.

Warum Signaturen nicht funktionieren

Firewalls, Intrusion-Prevention-Systeme und andere traditionelle Abwehr-mechanismen blockieren Bedrohungen, sobald diese eine gewisse Grenze überschreiten. Allerdings sind sie trotz ihres Mehrwerts grundlegend eingeschränkt, denn es gibt nur ein kurzes Zeitfenster, in dem sich ein potentieller Angriff verifizieren lässt.

Oft sind es gerade einmal wenige Millisekunden. Ähnlich wie bei In-Line-Netzwerkgeräten ist die Auswirkung auf die Netzwerkleistung beachtlich und die Sicherheit muss so schnell wie möglich gewährleistet werden. Einfach ausgedrückt: Viel Zeit zum Nachdenken bleibt nicht.

Das führt dazu, dass sich Unternehmen auf Signaturen verlassen, die Anzeichen bereits zuvor identifizierter Bedrohungen erkennen. Dazu gehören beispielsweise bekannte Exploits, Malware oder eine bekannte bösartige IP oder URL. Es werden also lediglich die Risiken aufgedeckt, die bereits zuvor erkannt wurden.

Allerdings muss zur ihrer Verteidigung gesagt werden, dass Lösungen, die auf einer Signatur basieren, beim Schutz vor großangelegten Bedrohungen mit bekannten Indikatoren wie Botnetzen, automatisierten Crawlern und gut bekannten Exploits, durchaus effektiv sein können. Sie sind wichtige Komponenten.

Dennoch bieten Signaturen nur einen dürftigen Schutz gegen gezielte Angriffe, die darauf ausgelegt sind, nicht entdeckt zu werden.

Das wissen auch professionelle und erfahrene Hacker und daher sind sie darauf bedacht, ihre Attacken stets zu modifizieren, um eine Aufdeckung zu vermeiden. Deswegen lässt sich Malware einfach verändern oder verschlüsseln, um sicher zu stellen, dass sie keiner bekannten elektronischen Signatur entspricht.

Darüber hinaus können Angreifer auch problemlos IP-Adressen oder URLs nutzen, denen vertraut wird und die auf keiner Blacklist stehen. Besonders einfallsreiche Hacker greifen zudem via Zero-Day-Exploit an. Er steht von sich aus in keinem Zusammenhang mit elektronischen Signaturen.

Unglücklicherweise sind die Hacker, die sich besonders viel Mühe bei ihrer Arbeit geben auch die, die einem Unternehmen den größten Schaden bereiten können und das größte Risiko darstellen. Dabei handelt es sich um gezielte Attacken, die zum Ziel haben, Kundendaten, geistiges Eigentum und Geschäftsgeheimnisse zu stehlen.

Um Bedrohungen wie diese zu stoppen, muss sich unser Ansatz zur Aufdeckung von Malware daher so schnell wie möglich weiterentwickeln. Signatur-basierte Sicherheitsmethoden opfern verlässliche Absicherung zugunsten der Schnelligkeit.

Es bedarf neuer Sicherheitsmodelle, welche Intelligenz und umfassenden Schutz miteinander vereinen, um so Bedrohungen aufzudecken, die die größten Risiken darstellen.

Es geht um das Vorgehen der Hacker, nicht um ihre Namen

Angreifer mögen in der Lage sein, ihre Erscheinung kontinuierlich neu zu verpacken, aber sie können nicht die Grundlagen, also das was sie vorhaben zu tun, ändern: das Ausspionieren, die Verbreitung und Diebstähle in Netzwerken der Opfer.

Diese Verhaltensweisen sind elementar und von grundlegender Bedeutung für eine Attacke - und sie lassen sich beobachten.

Durch eine Fokussierung auf Angriffsverhalten statt Taktik, können Bedrohungen selbst dann erkannt werden, wenn Hacker ihre Methoden weiter entwickeln. Das erfordert jedoch einen radikal neuen Ansatz der Netzwerksicherheit, der den wahren Zweck des Datenverkehrs im Netzwerk versteht und sich nicht auf Signaturen, Reputationslisten oder Blacklists verlässt.

Werden stattdessen Datenwissenschaft, maschinelles Lernen und Verhaltensanalysen auf den Netzwerkverkehr angewendet, ist es möglich, die grundlegenden Methoden und Aktionen eines Angriffes aufzudecken.

Dieser Ansatz greift alle Phasen einer Bedrohung auf, darunter Steuerung und Kontrolle, Botnet-Monetarisierung, interne Aufklärung, laterale Bewegungen und Datenexfiltration.

Und das kann fortschrittliches automatisches Bedrohungsmanagement:

• Interne Darknet-Scans als eine Art Hackerkarte aus internen Netzwerken erkennen, Ports scannen sowie zur Verfügung stehende Dienste auf neu entdeckten Hosts identifizieren.

• Verhaltensweisen erkennen, die häufig bei Kerberos Client-Attacken vorkommen, wie beispielsweise gestohlene Berechtigungsnachweise oder „Pass the hash".

• Warnen, sobald ein Host automatisierte Replikationen nutzt, um ähnliche Payloads wie MSI Packing im Netzwerk zu verbreiten und damit weitere Hosts infiziert.

• Aufdeckung von Bedrohungen in SSL ohne Entschlüsselung des Traffics. So können sich Angreifer nicht länger hinter scheinbar legitimen Kommunikationsmethoden verstecken.

• Erkennung von Unterschieden zwischen URLs, die ausschließlich für Angreifer entwickelt wurden, sowie legitimen Webseiten.

Und das ist erst der Anfang dieser Innovationswelle.

Sicherheitsexperten sind Tag für Tag mit dieser Sisyphusarbeit konfrontiert: Sie schieben den Felsen kontinuierlich den Berg hinauf, um ihn jeden Abend wieder herunterzurollen. Es ist Zeit für einen schlaueren Ansatz.

Eine Herangehensweise, die es ermöglicht, eine strategisch gute Position auf dem Gipfel des Berges zu besetzen und von hier alles zu überwachen und automatisch zu erkennen, wo mögliche Bedrohungen auftauchen könnten. So ist es möglich, den Felsen wieder zurückrollen zu lassen.

Wer erfahren möchte, wie sich dieser Plan in die Tat umsetzen lässt: Vectra's Whitepaper „Automated Threat Management: No signature required" beantwortet alle wichtigen Fragen zu diesem Thema.

Ihr habt auch ein spannendes Thema?

Die Huffington Post ist eine Debattenplattform für alle Perspektiven. Wenn ihr die Diskussion zu politischen oder gesellschaftlichen Themen vorantreiben wollt, schickt eure Idee an unser Blogteam unter

blog@huffingtonpost.de.

Video: "Big Bang Theorie"-Star: Kaley Cuoco kontert mit einem Nacktbild gegen Hackerangriff

Lesenswert:

Hier geht es zurück zur Startseite