Stonesoft hat heute erstmals ausführliche technische Details zu 23 Advanced Evasion Techniques (AETs) veröffentlicht. Mitte Oktober 2010 hatte das Unternehmen erste Informationen zu dieser neuen Art der IT-Bedrohung bekannt gegeben.\r\n
München - 16. Dezember 2010 - Stonesoft, Anbieter integrierter Lösungen für Netzwerksicherheit, veröffentlicht heute erste ausführlichere technische Details zu 23 Advanced Evasion Techniques (AETs): http://www.antievasion.com/principles/principles/part-3. Muster dieser Evasion-Methoden mit den entsprechenden Beschreibungen hatte das Unternehmen zuvor im Mai, September und Oktober 2010 an die Sicherheitsbehörde CERT-FI übergeben. Im Rahmen des so genannten Vulnerability-Coordination-Prozesses des CERT-FI hatten Anbieter von Sicherheitslösungen seitdem Zeit, um die neuen Evasion-Techniken selbst zu untersuchen, dazu Stellung zu nehmen und ihre Systeme gegen die neuen Bedrohungen abzusichern. Laut der gestern veröffentlichten Sicherheitsempfehlung des CERT-FI haben sich bis jetzt allerdings nur wenige Anbieter zu möglichen Lösungen geäußert.
"Anscheinend besteht momentan bei vielen bereitgestellten Sicherheitsupdates der Evasion-Schutz darin, verdächtige Verbindungen zu beenden, die auf den spezifischen Parametern der Muster-AETs basieren. Sobald also Evasions mit nur leicht veränderten Werten auftreten, greift der Schutz nicht mehr. Außerdem kann diese Methode zu Störungen des Netzwerkverkehrs führen", erklärt Mika Jalava, Chief Technology Officer bei Stonesoft. Die richtige Herangehensweise erfordert hingegen, das Protokoll zu analysieren und vor der Dateninspektion zu normalisieren. Es reicht nicht aus, nur nach spezifischen Evasions zu suchen, da diese ganz einfach verändert und so bei einem bloßen Vergleich mit bekannten Evasion-Methoden nicht mehr erkannt werden können. Diese Art der Überprüfung ist außerdem anfällig für Fehlalarme (False Positives). Bei vielen Evasions handelt es sich um Protokollvariationen, die heutige Standards zulassen. Aus diesem Grund müssen Sicherheitssysteme mehr können als Datenverkehr, der über Evasion-Techniken getarnte Attacken enthalten könnte, einfach zu blockieren. Vielmehr benötigen Administratoren konkrete Informationen über die möglicherweise dahinter verborgenen Schadcodes.
Aktueller Schutz
Netzwerk-Sicherheitssysteme, die den Datenverkehr kontrollieren, müssen die unterschiedlichen Protokollebenen so erfassen, wie dies bei der Decodierung durch das Endsystem geschieht. Da durch die Vielzahl von Kombinationsmöglichkeiten ständig neue Evasion-Techniken entstehen, muss sich das für diese Aufgabe verantwortliche Normalisierungstool mit ihnen weiterentwickeln. Die Stonesoft StoneGate IPS-Lösungen sowie die StoneGate Firewalls mit Deep-Inspection-Funktion lassen sich dafür per Fernzugriff vollständig aktualisieren - einschließlich sämtlicher Ebenen der Normalisierung des Netzwerkverkehrs - und sind nicht an spezifische Hardware-Implementierungen gebunden.
Langfristig empfiehlt Stonesoft Programmierern, Entwicklern und Internet-Standardisierungsbehörden, sich stärker gegen die Mehrdeutigkeit in Netzwerkprotokollen einzusetzen. Die Sicherheit ist bei Netzwerken mittlerweile häufiger ein Problem als die Kompatibilität mit älteren Systemen. Sicherheitsprobleme, vor allem im Zusammenhang mit Evasions, werden oft von Protokollanwendungen verursacht, die unterschiedlichen Codierungstechniken zu entsprechen versuchen. Deshalb sollte Sicherheit bereits bei der Protokollentwicklung eine wichtige Rolle spielen, nicht erst danach.
Entdeckung neuer AETs
Die Forschungs- und Entwicklungsabteilung von Stonesoft arbeitet weiterhin eng mit der Sicherheitsbehörde CERT-FI zusammen, um weitere Informationen zu AETs offen legen zu können. Im Gegensatz zu den heute bekannt gegebenen ersten 23 Techniken befinden sich unter den neu protokollierten AETs noch höher entwickelte sowie unterschiedlich kombinierbare Methoden, die gleichzeitig über mehrere Protokolle und Layerschichten hinweg agieren.
Stonesoft geht davon aus, dass der Koordinationsprozess diesmal mehr Zeit in Anspruch nehmen wird, da die neuen AETs komplexer sind als die zuvor analysierten Techniken. Außerdem wurden sie noch in keinerlei aktuell verfügbare Testsysteme integriert, noch sind sie momentan Teil von Zertifizierungs- oder Testkriterien.
"In der Zwischenzeit setzen wir unsere Forschung fort, um Cyber-Kriminellen weiterhin einen Schritt voraus zu sein und so Unternehmen und Organisationen dabei zu helfen, ihre digitalen Datenobjekte vor AETs zu schützen", sagt Hermann Klein, Country Manager DACH bei Stonesoft. "AETs stellen Intrusion-Prevention-Systeme nachgewiesenermaßen vor neue Herausforderungen. Anbieter von Sicherheitslösungen können diese Bedrohung nicht länger ignorieren und sollten eine Aussage darüber treffen, wann und wie sie ihre Systeme aktualisieren, um sie vor AETs zu schützen."
Mehr technische Details zu AETs gibt es unter: http://www.antievasion.com/principles/principles/part-3
Die aktualisierte Sicherheitsempfehlung des CERT-FI ist abrufbar unter http://www.cert.fi/en/reports/2010/vulnerability385726.html.
Weitere Informationen zu Stonesoft finden sich unter www.stonesoft.de sowie www.antievasion.com.
Folgen Sie uns auf Twitter: http://twitter.com/Stonesoft_DE
Stonesoft Corporation
Hermann Klein
Nymphenburger Str. 154
80634 München
089.452.352.727
www.stonesoft.de
Pressekontakt:
Schwartz Public Relations
Angelika Dester
Sendlinger Straße 42A
80331
München
ad@schwartzpr.de
089.211.871.31
http://www.schwartzpr.de
X