Den Cyber-Spionen auf der Spur

Klassische Abwehr-Appliances genügen nicht

­Generell wird der von Computerworld befragten Expertenrunde der Nutzen klassischer Abwehr-Appliances wie Firewalls, Intrusion-Prevention-Systeme, Web-Proxies und E-Mail-Gateways nicht infrage gestellt. Sie reichen aber nicht mehr aus. «Leider stossen schon seit geraumer Zeit traditionelle signaturbasierte Abwehrsysteme zunehmend an ihre Grenzen, da sich der gleiche Schadcode stetig verändert», gibt Ernesto Hartmann von InfoGuard zu bedenken.
Um die klassischen Methoden zu ergänzen, werden Systeme eingesetzt, die zum Teil unterschiedliche Namen aufweisen, aber in der Regel dasselbe bezwecken: Sie halten nach Unregelmässigkeiten im Netzwerk Ausschau, um so mögliche Eindringlinge zu finden. «Um APT-Angriffe zu iden­ti­fizieren, werden etwa Threat-Intelligence-Lösungen ein­gesetzt, die mittels verschiedener Mechanismen wie beispielsweise Logdaten- und Verhaltensanalyse in der Lage sind, Attacken oder infizierte Systeme zu erkennen», führt Cyrill Peter von Swisscom aus. Auch Andreas Jaggi von Open Systems meint, dass sich durch die Verknüpfung von Daten aus verschiedenen Abwehrmassnahmen und Events Anomalien im Netzwerk schneller identifizieren liessen. Solche Systeme arbeiten heute schon relativ selbstständig. «Die  Auswertung der ganzen Log- und Event-Daten sowie der Vergleich zum Normalzustand einer IT-Infrastruktur laufen automatisiert ab», berichtet Jaggi. Die Sicherheitsspezia­listen bräuchten sich bei der Auswertung der Daten nur auf diejenigen Vorfälle zu fokussieren, die vom System als «aussergewöhnlich» eingestuft würden.
Denn – und das ist die gute Nachricht – komplett unsichtbar sind auch APT nicht. Die eingesetzte Malware muss schliesslich in irgendeiner Form von den Urhebern gesteuert werden und daher mit diesen kommunizieren. «Sogenannte Calling-Home-Funktionen sind für die Angreifer essenziell, um stetig in Kontakt mit dem infiltrierten Gerät zu bleiben», erklärt Hartmann. Mithilfe der Netzwerkanalyse könnten solche C2-Verbindungen aufgespürt werden. «Dabei rückt die Auswertung von DNS-Anfragen immer mehr in den Vordergrund, da die Kommunikation nicht auf IP festgelegt ist, sondern die C2-Server mithilfe von DNS-Namen gefunden werden», erklärt er.



Das könnte Sie auch interessieren