Das Forschungsteam von Stonesoft entdeckte die neuen Evasion-Techniken nicht bei der Analyse von schadhaften Datenpaketen im Internet, sondern in einer Laborumgebung. Das heißt jedoch nicht, dass Cyberkriminelle oder Hacker mit böswilligen Absichten diese Methoden nicht bereits entdeckt und gegen reale Zielsysteme eingesetzt haben. Schließlich bleibt ein großer Teil der IT-Sicherheitsvorfälle unbemerkt. Laut dem Data Breach Investigations Report 2010 von Verizon Business wird bei 20 Prozent der Fälle, in denen Malware erkannt wird, als Infektionsüberträger „unbekannt“ angegeben.
Ob und inwiefern bei diesen Vorfällen Advanced Evasion Techniques im Spiel sind, ist nicht bekannt. Vor allem bei hochentwickelten, gezielten Attacken ist der Einsatz unbekannter Evasion-Tools jedoch relativ wahrscheinlich. Die Forscher von Stonesoft haben herausgefunden, dass viele – wenn nicht alle – auf dem Markt erhältlichen IPS-Systeme von Evasion-Techniken umgangen werden können. Zumindest war dies bei allen getesteten Geräten der Fall. Bei einigen Systemen gestaltet sich die Entwicklung entsprechender Sicherheitspatches aufgrund ihrer Architektur als äußerst schwierig.
Die meisten Netzwerksicherheits-Bedrohungen (und fast alle schwerwiegenden Angriffe) gehen von Kriminellen mit finanziellen Motiven aus. Da die Ausbeute sehr groß sein kann, sind die Angreifer durchaus bereit, in Attacken und Evasions zu investieren. Hier drängen sich einige Fragen auf: Warum wurde die Forschung seit den letzten veröffentlichten Ergebnissen nicht von mehr IT-Sicherheitsanbietern fortgesetzt? Ist das Problem für die bisher eingesetzten Sicherheitsarchitekturen zu komplex?
In der Vergangenheit waren die wichtigsten Verkaufsargumente und Vergleichspunkte für Sicherheitsgeräte Durchsatz, Leistung und Preis. Das wichtigste Merkmal ist jedoch der von ihnen gebotene Schutz. Es ist merkwürdig, dass die Präzision der Dateninspektion sowie die effiziente Reaktion auf entdeckte Attacken und Evasions von IT-Sicherheitsanbietern derart vernachlässigt wurden. Denn obwohl der Datendurchsatz ein bedeutender Faktor ist, ist die Sicherheit immer noch wichtiger – zumindest sollte sie das sein. Vielleicht sind manche IT-Sicherheitsanbieter der Ansicht, dass der Verkauf schneller Systeme mit deutlich eingeschränkten Sicherheitsfunktionen zu lukrativ ist, um dieses Geschäft durch das Erforschen und Lösen von Bedrohungen wie den von Stonesoft entdeckten Evasions zu gefährden. Denn das Aufspüren dieser Bedrohungen ist mit leistungsoptimierten Systemen relativ schwierig.
Die Autoren
Mark Boltz ist Senior Solutions Architect bei der Stonesoft Corporation und seit über 18 Jahren als Experte für Netzwerksicherheit tätig. Er ist Certified Information Systems Security Professional (CISSP) und Certified Information Systems Auditor (CISA). Mika Jalava ist Chief Technical Officer (CTO) der Stonesoft Corporation. Jack Walsh ist Antispam und Network IPS Program Manager bei ICSA Labs, einem unabhängigen Geschäftsbereich von Verizon Business.
Neueste Kommentare
Noch keine Kommentare zu Advanced Evasion Techniques: eine Herausforderung für Intrusion-Prevention-Technologien
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.