Den Cyber-Spionen auf der Spur

Klassische Abwehr-Appliances genügen nicht

­Generell wird der von Computerworld befragten Expertenrunde der Nutzen klassischer Abwehr-Appliances wie Firewalls, Intrusion-Prevention-Systeme, Web-Proxies und E-Mail-Gateways nicht infrage gestellt. Sie reichen aber nicht mehr aus. «Leider stossen schon seit geraumer Zeit traditionelle signaturbasierte Abwehrsysteme zunehmend an ihre Grenzen, da sich der gleiche Schadcode stetig verändert», gibt Ernesto Hartmann von InfoGuard zu bedenken.
Um die klassischen Methoden zu ergänzen, werden Systeme eingesetzt, die zum Teil unterschiedliche Namen aufweisen, aber in der Regel dasselbe bezwecken: Sie halten nach Unregelmässigkeiten im Netzwerk Ausschau, um so mögliche Eindringlinge zu finden. «Um APT-Angriffe zu iden­ti­fizieren, werden etwa Threat-Intelligence-Lösungen ein­gesetzt, die mittels verschiedener Mechanismen wie beispielsweise Logdaten- und Verhaltensanalyse in der Lage sind, Attacken oder infizierte Systeme zu erkennen», führt Cyrill Peter von Swisscom aus. Auch Andreas Jaggi von Open Systems meint, dass sich durch die Verknüpfung von Daten aus verschiedenen Abwehrmassnahmen und Events Anomalien im Netzwerk schneller identifizieren liessen. Solche Systeme arbeiten heute schon relativ selbstständig. «Die  Auswertung der ganzen Log- und Event-Daten sowie der Vergleich zum Normalzustand einer IT-Infrastruktur laufen automatisiert ab», berichtet Jaggi. Die Sicherheitsspezia­listen bräuchten sich bei der Auswertung der Daten nur auf diejenigen Vorfälle zu fokussieren, die vom System als «aussergewöhnlich» eingestuft würden.
Denn – und das ist die gute Nachricht – komplett unsichtbar sind auch APT nicht. Die eingesetzte Malware muss schliesslich in irgendeiner Form von den Urhebern gesteuert werden und daher mit diesen kommunizieren. «Sogenannte Calling-Home-Funktionen sind für die Angreifer essenziell, um stetig in Kontakt mit dem infiltrierten Gerät zu bleiben», erklärt Hartmann. Mithilfe der Netzwerkanalyse könnten solche C2-Verbindungen aufgespürt werden. «Dabei rückt die Auswertung von DNS-Anfragen immer mehr in den Vordergrund, da die Kommunikation nicht auf IP festgelegt ist, sondern die C2-Server mithilfe von DNS-Namen gefunden werden», erklärt er.
Seite 4/5
Auf einer Seite lesen
  1. Den Cyber-Spionen auf der Spur
  2. Die APT Kill Chain: Angriff in 7 Schritten
  3. Abwehr durch Training
  4. Klassische Abwehr-Appliances genügen nicht
  5. Einfache, aber effektive Mittel
Artikel drucken
Jens Stark
Das könnte Sie auch interessieren
Volle Breitseite
Samsung Schweiz mit TV-Line-up für 2024
 
vor 22 Stunden
Fachkräftemangel in der IT
Entwickeln Sie noch oder kreieren Sie schon?
 
vor 22 Stunden
Telekommunikation
18-Millionen-Busse für Swisscom von Weko im Glasfaserstreit
 
vor 1 Tag
Zwischen 0 und 1
Zukunftsorientierung – wo bist du?
 
vor 1 Tag