Technologien Schutz vor gezielten Angriffen (APTs)

Schutz vor gezielten Angriffen (APTs)

Die Zeiten, in denen man sich mit klassischen Virenscannern erfolgreich vor Malware schützen kann, sind vorbei. Nicht nur die Hersteller von fortschrittlichen Malware-Erkennungswerkzeugen weisen darauf hin, auch Sicherheitsberater und sogar Hersteller von Antiviruslösungen bestätigen dies.

Die Ursache dafür ist einerseits Malware, die sich so schnell ändert, dass die Virenscanner in Unternehmen auch bei mehrmals täglicher Aktualisierung nie aktuell genug sind. Andererseits wird häufig professionelle und individuelle Malware im Rahmen von APTs beziehungsweise bei gezielten Angriffen eingesetzt.

Als Lösungsmöglichkeit bietet der Markt viele verschiedene technische Ansätze im Bereich Erkennung und Reaktion, doch auch neue Präventionsmechanismen. Die bekanntesten Lösungen sind jene, die heruntergeladene oder an Mails angehängte Objekte bereits am Internetzugang in einer kontrollierten und überwachten Umgebung öffnen beziehungsweise zur Ausführung bringen. Dabei wird beobachtet, ob sich das Objekt bösartig verhält und dann gegebenenfalls Alarm geschlagen.

Inzwischen gibt es jedoch zahlreiche Beispiele, wie solche Sicherheitssysteme einfach umgangen werden können, sodass der Schutz vor gezielten und professionellen Angriffen bei dieser Erkennungsmethode nicht mehr gewährleistet ist. Alternativ oder ergänzend zu dieser Technik versuchen einige Hersteller, ausgehende Kommunikation zu analysieren, um dadurch zu erkennen, wenn eine Malware zu ihrem Steuerungsserver zurück kommuniziert.

Ein ganz anderer Ansatz versucht, Objekte, die aus dem Internet kommen, auf dem Endgerät zu isolieren und das Betrachten oder Bearbeiten solcher Objekte in einer lokalen Sandbox oder Mikro-VM zu kapseln. Insbesondere eine Kapselung externer Browser-Sessions, von der der Anwender nicht einmal etwas bemerkt, kann einen Großteil der heutigen Angriffe unwirksam machen, da Exploits über Schwachstellen im Browser oder Plug-ins wie Flash keinen Kontakt zu internen Ressourcen mehr haben.