Blitzschnell auf Attacken reagieren

Es geht blitzschnell. Zero-Minute-Attacken sind ausgeklügelte, technisch versierte Angriffe, die sofort nach Bekanntwerden einer Schwachstelle lanciert werden und direkt auf die Anwendungen zielen. Würmer verbreiten sich sekundenschnell im Netzwerk, durch Botnetze ist die Identität eines Nutzers im Nu geklärt. Statt wie bisher rund 24 Stunden haben die Sicherheitsbeauftragten in Unternehmen eigentlich nur noch Minuten Zeit, um nach Bekanntwerden einer Schwachstelle die nötigen Schutzmassnahmen zu ergreifen. Auf die Unterstützung der Hersteller können sie dabei nicht zählen. Die Entwicklung der Patches dauert viel zu lange.

Was sich nach «Mission Impossible» anhört, ist eine zwar schwierige, aber durchaus lösbare Aufgabe. Dazu bedient man sich drei unterschiedlicher Methoden, die alle auf eines abzielen: Angriffsmuster zu erkennen und die dahinter steckende Attacke im Keim zu ersticken.

Im ersten Ansatz geht es um die Ereignis- und Sequenzperspektive. Bei der herkömmlichen Vorgehensweise wird nur der Netzwerkverkehr betrachtet, um ungewöhnliche Ereignisse zu identifizieren. Dazu zählen ausserordentliche Aktivitäten, wie sie beispielsweise Botnetze verursachen. Verdächtig sind auch schädliche Inhalte, die von einem User verschickt wurden.

Bei dieser Vorgehensweise laufen Sicherheitsbeauftragte allerdings unwissentlich Gefahr, jene Attacken zu ignorieren, die es vielmehr auf Sequenzen von Ereignissen im Netzwerk als auf das Ereignis selbst abgesehen haben. Im Klartext: Häufig führen Angreifer Attacken unter dem Deckmantel legaler Netzwerkaktivitäten durch. Anhand der dabei auftretenden unregelmässigen Sequenzen kann auf bösartige Handlungen geschlossen werden.

Ein zweiter Punkt im Kampf gegen die Blitz-angriffe ist die Konzentration auf die spezifischen Aspekte im Netzwerk - also auf den Schutz der Client-Seite. Meist legen Security-Beauftragte den Schwerpunkt auf die zentralen Services der Server, welche die Anwendungen für Endanwender betreiben. Dennoch dürfen mögliche Angriffe, die direkt die Endanwender-PC betreffen und gleichzeitig von solchen stammen, nicht vernachlässigt werden. Es ist wichtiger denn je, auch nach Angriffen zu spähen, die sich ebenso auf dem Service-Level wie auf der Client-Ebene abspielen könnten. Dazu benötigt man Lösungen, die Nutzer eindeutig identifizieren und Datenströme inhaltlich erfassen können. Und zwar auch dann, wenn die Datenströme auf SSL-Basis (Secure Socket Layer) verschlüsselt wurden.

Der dritte Schritt zum ganzheitlichen, minutengenauen Applikationsschutz ist es, Schwachstellen und Anomalien auf Anwendungs- und gleichzeitig auf Netzwerkebene im Auge zu behalten. Auch hier gibt das "Big-Picture" den Ausschlag, um Zero-Minute-Angriffe rechtzeitig abzuwehren. Die heute eingesetzten, ausgefeilten Botnetze simulieren legitime Anwender auf Netz-werkebene. Daher sind sie häufig sehr schwer von echten Usern zu unterscheiden. Folglich können die Anwendungen auf Netzwerk-ebene gar nicht kritisch genug untersucht werden und haben Vorrang gegenüber den weniger relevanten Anwendungen wie -E-Mail und Messaging und jenen, die nur unregelmässig genutzt werden. Sicherheitskontrollen direkt auf Anwendungsebene tragen dazu bei, Angriffe im Keim ersticken zu können und sorgen für ein Plus an Applikationsschutz.

Sicherheitsbeauftragte müssen Angriffe schnell erkennen und ebenso schnell darauf reagieren können. Betrachten sie das System aus den beschriebenen Blickwinkeln - Ereignis- und Sequenzperspektive, Client- und Server-Seite sowie Netzwerk- und Anwendungsebene - ist ein hohes Mass an Applikationssicherheit erreichbar. Der Aufwand lohnt sich. Denn in einer so überwachten IT-Infrastruktur können die geschäftskritischen Anwendungen das Netzwerk jederzeit unbeschadet durchlaufen.

Martin Krömer ist Regional Director Central Europe bei Radware.