Eine Sicherheitslösung, die erst im Nachhinein Dateien überprüft? Ja das geht und ist angesichts moderner und ausgeklügelter Attacken nötiger denn je. Volker Marschner, Security Consultant bei cisco Security, erklärt in seinem aktuellen silicon.de-Blog wie retrospektive Sicherheit ablaufen kann.
Bis vor kurzem hatten IT-Verantwortliche bei Vorgängen in puncto IT-Sicherheit im Kampf gegen die Gefahren nur eine einzige Chance, um diesen entweder zu gewinnen oder zu verlieren. War diese verspielt, gab es kein Zurück mehr. So hatte die entsprechende Abteilung genau einen Versuch, um zu entscheiden, ob eine Datei als sicher eingestuft und somit zugelassen werden konnte. Oder ob man sie stattdessen als infiziert kategorisiert und blockiert. Vor einigen Jahren, als die Gefahren weniger ausgetüftelt waren und sich eher im Verborgenen abspielten, mögen diese Verteidigungen ja noch angemessen gewesen sein. Doch die Angriffe vermehren sich stetig und es wäre heutzutage schlichtweg falsch, ausschließlich auf ‚Point-in-time‘-Verteidigungsmaßnahmen zu vertrauen.
Heute planen Angreifer ihre Aktionen deutlich detaillierter – häufig sogar, indem sie Tools benutzen, die eigens entwickelt wurden, um die vom Zielunternehmen gewählte Sicherheitsinfrastruktur zu überlisten. Sie nehmen dabei viel Aufwand auf sich, um unerkannt zu bleiben. Dies gelingt ihnen nicht selten dadurch, dass sie Technologien und Methoden nutzen, die kaum als Gefahr wahrgenommen werden.
Bekommen fortgeschrittene Malware, Zero-Day-Attacken und Advanced Persistent Threats erst einmal Zutritt zu einem Netzwerk, können die meisten IT-Sicherheitsbeauftragten diese nicht mehr nachverfolgen. Auch wenn aufgrund der eingedrungenen Fremdkörper irgendwann “bösartige” Aktivitäten innerhalb des Netzwerks in Gang gesetzt werden, können viele Sicherheitsverantwortliche daran nichts mehr ändern.
Damit Sicherheitsprogramme effektiv arbeiten können, müssen sie sich jedoch stetig weiterentwickeln. Sicherheitsexperten müssen dazu in der Lage sein, auch im Nachhinein Dateien erneut prüfen zu können. Dafür wird ein Sicherheitsmodell benötigt, das sowohl Big-Data-Architektur, als auch Sicherheit und Transparenz miteinander kombiniert – und zwar während des gesamten Angriffskontinuums.
Besonders ein Faktor sticht bei diesem Modell hervor: die retrospektive Sicherheit. So können Dateien und Prozesse kontinuierlich beobachtet und über einen langen Zeitraum mit umfassenden Daten sowie fortschrittlichen Algorithmen abgeglichen werden – damit Attacken dann erkannt, werden, wenn sie tatsächlich passieren. Unbekannte, verdächtige Dateien, aber auch solche, die vorher als unbedenklich eingestuft wurden, können damit erneut untersucht werden.
Und das funktioniert so:
- Nach dem Durchlaufen der Detection-Analyse gleicht eine so genannte File Retrospection Dateien kontinuierlich weiter mit aktuellen Informationen ab. So können also Dateien auch im Nachhinein untersucht und anders eingestuft werden – und nicht nur dann, wenn sie das erste Mal auftauchen.
- Die Communication Retrospection untersucht durchgehend jede Kommunikation von und zu einem End Point sowie auch die damit verbundene Anwendung und den Prozess. So können auch die entsprechenden Kontextdaten bei der Analyse mit in Betracht gezogen werden.
- Ähnlich wie die File Retrospection, untersucht und analysiert auch die Process Retrospection Prozess-In- und –Output – und zwar über einen längeren Zeitraum hinweg.
Dateien, Kommunikation und Prozessdaten werden also ständig miteinander verwoben, um so größtmögliche Transparenz zu haben, wenn Angriffe stattfinden. Mit diesen Informationen können Sicherheitsexperten einen Angriff nicht nur schnell erkennen, sondern auch das Abmaß abschätzen und entsprechende Gegenmaßnahmen einleiten – und zwar nicht nur für diesen speziellen Angriff, sondern über automatisierte Updates auch gegen ähnliche Angriffe in der Zukunft.
Großmutters Spruch, jeder habe eine zweite Chance verdient, trifft also auch im Bereich IT-Sicherheit mittlerweile zu – ja, ist sogar absolut unabdingbar. Denn: Die Technologien schreiten immer weiter voran und Sicherheitsexperten brauchen mehr als nur einen Versuch, um infizierte Dateien entdecken und vernichten zu können. Das gelingt ihnen auch durch retrospektive Untersuchungen.