Suchen Suchen Kontakt Kontakt Home Home
Über uns
Lösungen &
Services
Events
Schulungen
Partner
Presse
Medienmitteilungen
Fachartikel
Jobs & Karriere

InfoTrust AG
IT Security Solutions
Riedhofstrasse 11
Postfach
CH-8804 Au ZH
Tel. +41 (0)43 477 70 10
Fax +41 (0)43 477 70 12
info@infotrust.ch
Presse
>> Fachartikel

Proaktive Security – Prävention statt Bekämpfung

Quelle: ICT-Jahrbuch vom 12. März 2008
Autor: Tom Hager, CEO, InfoTrust

Reaktive Sicherheitsmechanismen genügen den heutigen Sicherheitsanforderungen eines
Unternehmens nicht mehr. Der Einsatz von innovativen proaktiven Sicherheitstechnologien
trägt wesentlich zur Steigerung des Unternehmensschutzes bei.

Unternehmen mit massgeblich IT-unterstützten Geschäftsprozessen müssen ihre IT-Infrastruktur vor Angriffen und Sabotage schützen. Unter Angriff verstehen wir hier alle mutwilligen Aktionen mit dem Ziel, die IT-Infrastruktur des Unternehmens zu stören. Unternehmen setzen in der Regel neben dem Zugangsschutz mittels Firewall auch inhaltsbasierte Filter wie Virenscanner und URL-Filter ein. Diese Filter arbeiten mit Pattern, die automatisch regelmässig, beispielsweise stündlich, aktualisiert werden. Die Pattern werden dabei vom Hersteller des Filters zur Verfügung gestellt. Der Filter vergleicht laufend die übertragenen Daten mit den Patterns. Beim Auffinden einer Übereinstimmung wird eine Aktion ausgelöst. Beispielsweise wird bei gefundenem Malicious Mobile Code wie einem Virus oder einem Trojaner die Verbindung abgebrochen und der Benutzer informiert. Die Qualität der Filter hängt von den erhaltenen Pattern ab. Virenmuster, die nicht in der Patterndatenbank enthalten sind, können auch nicht erkannt werden.

Neue Ansätze mit proaktiver Security
Ein anderer Ansatz wird mit der proaktiven, also voraushandelnden Security verfolgt. Das Ziel dieser Methode ist der Schutz gegen Zero-Day-Attacken und gegen Angriffe auf verwundbare Systeme mit unzureichend installierten Patches. Unter Zero-Day-Attacken werden Angriffe verstanden, bei denen eine Sicherheitslücke genau an dem Tag für einen Angriff ausgenutzt wird, an dem die Schwachstelle allgemein bekannt wurde. Verschärft wird diese Problematik dadurch, dass viele gefundene Schwachstellen nicht mehr veröffentlicht, beziehungsweise den entsprechenden Herstellern direkt gemeldet werden. Stattdessen versuchen Individuen, ihre Entdeckungen über einschlägige Seiten im Internet zu verkaufen. Über diese dubiosen Vertriebskanäle werden auch fertige Angriffsprogramme zum Ausnutzen der gefundenen Schwachstellen angeboten. Bei der proaktiven Security werden Verhaltensweisen zwischen den Kommunikationspartnern untersucht. Verhält sich ein Kommunikationspartner nicht wie erwartet, oder versucht er kritische Aktionen auszulösen, wird die Kommunikation abgebrochen. In diesem Zusammenhang wird auch von Anomaly Detection gesprochen. Die Entscheidung, welche Aktionen kritisch sind, hängt vom Kontext innerhalb der Kommunikationsverbindung ab. Gegenüber den inhaltsüberprüfenden Verfahren, wie sie etwa bei patternbasierten Viren-scannern üblich sind, gibt es bei der proaktiven Security keine «Wahr-oder-falsch»-Betrachtung. Der Ansatz beruht auf Wahrscheinlichkeiten. Die Herausforderung bei Die geschickte Kombination von proaktiven Sicherheitstechnologien schützt vor Zero-Day-Attacken und gegen Angriffe auf verwundbare Systeme. Proactive-Security-Lösungen besteht darin, die False-Positive-Rate möglichst tief zu halten und trotzdem eine angemessene Performance zu erzielen. Unter einem False Positive wird unkritischer Datenverkehr verstanden, der fälschlicherweise als kritisch eingestuft wurde. Durch die geschickte Kombination verschiedener proaktiver Sicherheitstechnologien kann dieses Ziel erreicht werden (siehe Abbildung 1).

Zu den proaktiven Sicherheitstechnologien gehören unter anderem Media Type Filtering, Signature Checking und Verification, Heuristic Scanning, Exploit Method Detection und Emulation.

Die verschiedenen proaktiven Sicherheitstechnologien
Beim Media Type Filtering werden alle übertragenen Objekte anhand einer Kombination von Dateierweiterungen, MIME Type und Byte Patterns, den so genannten «Magic Bytes», eindeutig als Media Type identifiziert. Eine Veränderung einer Dateierweiterung, beispielsweise von .exe in .txt, wird erkannt, und die Datei entsprechend richtig behandelt. Durch die Erkennung des Media Types können auch innerhalb einer http-Verbindung einzelne Media Types identifiziert werden. Nach der Identifizierung des Media Types wird das Objekt entsprechend der definierten Aktion gesperrt oder erlaubt. Dies bedingt die vorausgehende Definition der im Unternehmen verwendeten Media Types. Sollen beispielsweise keine ausführbaren Dateien über E-Mail und Web ins Unternehmen gelangen oder auf Webradio verzichtet werden, können die entsprechenden Media Types am Gateway geblockt werden. Müssen aus geschäftlichen Gründen ausführbare Dateien übertragen oder ActiveX Controls verwendet werden, können diese über die Methoden Signature Checking und Verification auf ihren Ursprung hin geprüft werden. Ausführbare Programme können digital signiert werden. Diese Signatur identifiziert den Ersteller des Programms, zum Beispiel Microsoft oder Adobe, gibt aber keinen weiteren Aufschluss über die Funktionsweise des Programms. Durch die nachträgliche Veränderung des Programmcodes verliert die Signatur ihre Gültigkeit. Dies wird mit der Methode Signature Checking erkannt und die Übertragung des malträtierten Codes ins Unternehmensnetzwerk verhindert. Dabei wird auch der Programmcode von Anbietern gesperrt, denen wir nicht trauen, oder deren Signatur abgelaufen oder zurückgezogen wurde. Die Anwendung dieser Methoden erlaubt das Übertragen von Programmen vertrauenswürdiger Anbieter, etwa um Patches und Updates herunterzuladen. ActiveX Controls, Java Scripts, Java Applets, VBA Scripts oder VBA Macros werden zwar von Angreifern oft verwendet, sie stehen aber heute auf breiter Front produktiv im Einsatz. Ein einfaches Sperren ist daher in der Praxis nicht möglich, da sonst eine Vielzahl von Webapplikationen nicht mehr funktionieren würde. Mit dem Heuristic Scanning werden die Verhaltensweisen der einzelnen Programmelemente in den Webapplikationen untersucht und entsprechend behandelt, die Kommunikation wird weitergeführt oder abgebrochen. Der Versuch, auf das lokale File-System eines Clients zuzugreifen, beziehungsweise zu schreiben, oder Netzwerkverbindungen vom Client zu anderen Systemen aufzubauen, deutet auf einen möglichen Angriff hin. Es gibt eine Vielzahl dieser Verhaltensweisen, die als kritisch einzustufen sind. Malicious Mobile Code wendet verschiedenste Techniken an, um sich zu «tarnen». Verbreitete Mechanismen sind das dynamische Generieren von Programmcode, das dynamische Nachladen von Programmteilen sowie das Verstecken von Programmteilen durch komplexe Konstrukte im Programmcode. Durch die Exploit Method Detection werden solche Tarnmechanismen erkannt und das Ausführen des Malicious Mobile Codes verhindert. Bei der Emulation wird in einer virtuellen Umgebung, einer so genannten Sandbox, der verdächtige Programmcode ausgeführt. Zu diesem Zeitpunkt hat der Benutzer den Programmcode noch nicht erhalten. Bei der Ausführung in der Sandbox werden Unregelmässigkeiten erkannt. Der Benutzer wird über die Resultate informiert, und der Programmcode wird nicht zu ihm übertragen. Auf den ersten Blick sieht das Konzept mit der Sandbox vielversprechend aus. In der Praxis hat sich dieser Ansatz jedoch bei Gateway-Lösungen nicht durchgesetzt. Der Grund liegt in den hohen Performance-Einbussen.

Sicherheit und Performance durch Kombination
Die Kombination von verschiedenen innovativen proaktiven Sicherheitstechnologien zusammen mit reaktiven Sicherheitsmechanismen, wie beispielsweise patternbasierten Antivirenscannern und URL-Filtern, schützen das Unternehmen erfolgreich sowohl vor «Zero-Day Attacks» wie auch vor bekanntem Malicious Mobile Code (siehe Abbildung 2).

Auch eine hohe Performance wird beim kombinierten Einsatz der verschiedenen Technologien nicht beeinträchtigt.

top