Sicherheit im Netzwerk

Advanced Evasion Techniques - Neue Herausforderung für Sicherheitssysteme im Netzwerk

Schutzmöglichkeiten vor AETs

Geräte, die den Datenverkehr inspizieren, arbeiten in der Regel mit Protokollanalyse und Signaturerkennung. Das bedeutet, dass ein IPS-System Angriffsmuster bereits kennen muss, um sie abwehren zu können. Wegen der riesigen Zahl potenzieller AETs macht genau das den Schutz vor ihnen so schwierig. Zwar werden in der Regel nach Entdeckung einer neuen IT-Bedrohung innerhalb weniger Tage entsprechende Erkennungsmethoden in den Geräten hinterlegt. Bestehende Analysefunktionen machen es darüber hinaus häufig auch möglich, Schadprogramme zu erkennen und abzuwehren, die bereits bekannten Schädlingen ähneln. Manchmal reicht jedoch schon eine minimale Veränderung etwa bei der Byte-Anzahl, und eine AET-Variante ähnelt keinem der im IPS-System hinterlegten Angriffsmuster mehr. Als Konsequenz daraus erkennt das Sicherheitssystem den mit AETs verschlüsselten Schadcode nicht und lässt ihn ungehindert ins Netzwerk. Der Angreifer kann sich dann unbemerkt nach einer möglichen Schwachstelle oder einem ungepatchten Server umsehen.

Die Wirkmechanismen von IPS-Systemen haben also mehr als die Merkmale bekannter Schadcodemuster zu berücksichtigen, wenn sie mit AETs getarnte Angriffe erkennen können sollen. Sicherheitsapplikationen, die vom Ziel-Host empfangene Angriffssignaturen mit bereits bekannten vergleichen müssen, sind nicht fähig, jedes einzelne Paket des Netzwerkverkehrs zu berücksichtigen. Es reicht nicht aus, alle Pakete in der richtigen Reihenfolge zu ordnen und alle Fragmente wieder zusammenzusetzen. Aus diesem Grund schützen klassische Funktionen eines IPS wie Fingerprinting oder die signaturbasierte Erkennung, die in der Regel zum Schutz vor Exploits verwendet werden, nicht vor AETs.