13.03.2013, 11:14 Uhr

Schneller als die Zero-Day-Angreifer

FireEye hat Produkte entwickelt, die sogenannte Zero-Day-Attacken frühzeitig erkennen. Nun will das US-Unternehmen vermehrt in der Schweiz tätig werden.
So hat FireEyeim Rahmen einer Veranstaltung seines Schweizer Partners, der Zürcher IT-Security-Dienstleisterin Avantec, seine Produktereihe erstmals hierzulande präsentiert. Gleichzeitig kündigten die Firmenvertreter an, in den nächsten zwei Monaten, eine Schweizer Niederlassung zu gründen. FireEye stellt Appliances her, die mit neuen Bedrohungsformen wie Zero-Day-Attacken und sogenannten ATP (Advanced Persistent Threat) fertig werden. Auf den Radar der Industrie geriet die bereits 2004 gegründete FireEye denn auch nach den Aurora genannten Attacken von chinesischen Hackern auf Google und andere Hightech-Firmen im Jahr 2009. «Durch Aurora ist man sich dieser Methoden bewusst geworden», meint Alexander Bünning, DACH-Chef von FireEye. Die Firmen, die angegriffen wurden, hätten einen hohen IT-Security-Level gehabt, gibt er zu bedenken. «Trotzdem gingen die Angriffe durch diese Unternehmen wie ein warmes Messer durch die Butter», betont Bünning.
Grund hierfür ist unter anderem die Verwendung von sogenannten Zero-Day-Attacken. Diese verwenden Sicherheitslücken, die noch nicht bekannt sind. «Die Bedrohungen sind allerdings unbekannt in dem Sinne, dass die Applikationshersteller diese noch nicht kennen. In der Hacker-Szene sind diese Schwachstellen meist schon bekannt», präzisiert Bünning. «Wir fokussieren uns daher auf Attacken, die unbekannte Schwachstellen mit unbekannten Exploits benutzen.» Nächste Seite: Funktionsweise der Lösung Und so kann FireEye diese Bedrohungen erkennen: Mails samt ihre Attachments sowie Webseiten werden in einer virtuellen Umgebung getestet. Die hauseigene Multi-Vector Virtual Execution (MVX) besteht laut Martin Zeitler, Systems Engineer bei FireEye, aus zahlreichen virtuellen Instanzen. Auf der Betriebssystemseite laufen auf der Appliance diverse Versionen von Windows mit und ohne den verschiedenen Service Packs. In diesen werden bekannte Applikationen ausgeführt.Insgesamt sind bis zu 96 Instanzen möglich. Die FireEye-Appliance beobachtet sodann das Verhalten des zu untersuchenden Verkehrs und der Attachments in diesen Umgebungen. Auffälligkeiten können dann sein, dass die Malware ihren Urheber erreichen will (Callback) oder Binär-Dateien nachzuladen versucht.
FireEye betont, dass man mit der eigenen Appliance nicht auf angestammte Security-Lösungen wie Firewall, Intrusion Prevention System, Antiviren- und Spam-Schutz verzichten sollte. Vielmehr stelle man die letzte Verteidigungslinie dar, wie Zeitler betont. «Wir untersuchen denn auch den von diesen Appliances bereits 'gereinigten' Datenstrom», sagt er. Stellt FireEye eine Attacke fest, könnten Anwender diese automatisch blocken lassen oder diese forensisch untersuchen. An Letzterem sind beispielsweis Kunden aus dem Geheimdienst- oder Cyberabwehr-Umfeld interessiert, die herausfinden wollen, wer hinter bestimmten Angriffen steckt. Daneben unterhält die Firma eine Datenbank mit den Ergebnissen der Untersuchungen in den verschiedenen virtuellen Instanzen, sodass viele Zero-Day-Exploits für FireEye-Kunden keine solche mehr sind. Diese Informationen würden auch mit Applikationsherstellern wie Microsoft geteilt, damit diese Patches veröffentlichen können, erklärt Zeitler.



Das könnte Sie auch interessieren