Newsfeed abonnieren
Thema: Security

Web-Reputation

Die Malware-Detektive

Aus MONITOR 11-12/2009
Drucken | Versenden | Feedback

Einfallsreich und äußerst kreativ machen Internetkriminelle das World Wide Web zu ihrem Spielfeld. Doch es gibt eine wirksame Verteidigungsstrategie gegen die agile Bedrohung: Absicherung am Web-Proxy mit kombinierten Sicherheitstechnologien einschließlich einer Reputationsanalyse, die schon weit vor dem Angriff stattfindet.

Achim Kraus

Kompromittierte Websites greifen häufig auf Malware aus externen Quellen zu. Dies lässt sich nur verhindern, wenn jede HTTP-Transaktion einzeln geprüft wird (Quelle: Cisco).

Eine äußerst wirkungsvolle und kostengünstige Methode zur Verbreitung von Malware sind Botsites, also gehackte oder verseuchte Webserver, die Anweisungen von Command-and-Control-Netzwerken, so genannten Botnetzen, folgen. Denn mit jedem Computer des Botnetzes kann automatisch eine Spam-Mail erzeugt und versendet werden, die einen Link zu einer verseuchten Zielseite enthält. Damit verbreitet sich die infizierte Website quasi eigenständig. Die Intelligenz dahinter ist erstaunlich: Ein einziges Netzwerk ist in der Lage, Tausende Malware-beladene Botsites zu publizieren, die nur ein paar Stunden oder auch nur einige Minuten aktiv sein können.

Generell zeichnet sich ab, dass die Cyberkriminellen verstärkt mehrfach einsetzbare Plattformen nutzen. Diese können dynamische Attacken aktivieren, synchronisieren und verteilen. Ein gefährlicher Mix aus Spam, Viren, Phishing, Trojanern und sonstiger Malware sorgt dafür, dass ein Angriff mit Hilfe der Plattform weitere Web- und E-Mail-Attacken auslöst.

Hinter den Angriffen stecken längst keine Amateure mehr. Vielmehr sind gut organisierte Spezialisten am Werk, die ihre unseriösen Dienste kommerziell vertreiben, inklusive Update und Support. Auch wenn der Verkauf von Malware nichts Neues ist - das professionelle Angebot setzt neue Maßstäbe. So können beispielsweise die Käufer ganz einfach ihren "Erfolg" verifizieren und Daten wie Infektionsraten oder die Zahl der Besucher pro infizierter Web-Seite abrufen.

Die Offensive: Kombinierte Technologien

Gegen die oben beschriebenen, hoch entwickelten Methoden helfen in der Regel keine einfachen Einzelmaßnahmen mehr. Gefragt sind daher ausgeklügelte, kombinierte Sicherheitstechnologien, die auf mehreren Stufen schützen. Als äußerer Schutzschild haben sich reputationsbasierte Verfahren bewährt, welche die Seriosität von Web-Adressen oder E-Mail-Domains schon am Gateway genau analysieren und Schädlinge erst gar nicht ins Netzwerk lassen. Dieses Vorgehen bietet sowohl auf Netzwerk- als auch auf Applikationsebene eine sehr frühzeitige Abwehr von Spyware- und Malware-Attacken. Denn die Einschätzung über die Seriosität einer Webseite ist in vielen Fällen bereits verfügbar, bevor der Angriff beginnt.

Das Prinzip hinter dem reputationsbasierten Verfahren ist die genaue Analyse einer URL anhand verschiedener Parameter. Dabei werden zahlreiche Faktoren hinterfragt, etwa wie lange und in welchem Land eine Domäne bereits registriert ist oder ob der Webserver eine dynamische IP-Adresse nutzt

Beim Sicherheitsanbieter Cisco beispielsweise stammen diese Informationen von Senderbase (www.senderbase.org), einem System zur Analyse und Bewertung des weltweiten E-Mail- und Webverkehrs. Diese Datenbank erfasst täglich Daten zu rund 25 % des weltweiten Web- und E-Mailverkehrs und analysiert mehr als 20 vordefinierte Parameter. Daraus resultiert eine Seriositätsbewertung, die "Reputation", die von -10 bis +10 reichen kann. Unternehmen können so die Intelligenz eines hoch spezialisierten Sicherheitszentrums nutzen, in dem mehr als 500 Analysten rund um die Uhr den weltweiten E-Mail- und Webverkehr beobachten. Auf Basis dieser Information kann der Reputationsfilter gezielt einzelne HTTP-Transaktionen zulassen oder blockieren. Durch aktive weltweite Kooperationen lassen sich neue Spam- oder Wurmwellen sehr frühzeitig erkennen und die betreffenden URLs blockieren.

Regulierbare Sicherheitsstufe

Wie anhand der unterschiedlichen Reputationswertegrundsätzlich mit den HTTP-Transaktionen verfahren wird, entscheidet der Administrator der Web Security Appliance. Auf der Appliance sind mehrere Sicherheitsmechanismen kombiniert, unter anderem auch ein Malware-Scan, der bösartige Inhalte erkennt. Je nach Einstellung des Administrators kann der Scan für alle Transaktionen durchgeführt oder beispielsweise für stark positive Reputationen weggelassen werden. Der integrierte Exploit-Filter erkennt Malware aus dem Internet selbst dann, wenn eine eigentlich seriöse Website gehackt ist. Denn die Web Security Appliance prüft jede einzelne HTTP-Transaktion.

Achim Kraus, IronPort Systems Engineer bei Cisco (Quelle: Cisco)

Das bedeutet, dass der Filter nachgeladene Webseiten in Form von Redirects, Embedded Sites oder Frames nur zulässt, wenn diese alle Scans durchlaufen haben und als unbedenklich eingestuft wurden. Verdächtige Inhalte hingegen werden vom Browser ferngehalten. Auf diesem Weg prüft die Technologie jede Anfrage des Browsers - vom anfänglichen Seitenaufruf bis zu den nachfolgenden HTTP-Transaktionen, die durch die ursprüngliche Seite ausgelöst werden. Dies ist unabhängig vom Inhalt oder dem Format, also lässt sich Malware auch von so unterschiedlichen Quellen wie Multimedia-Streams oder Flash-Einblendungen blockieren.

Eine weitere wichtige Funktion: Die Analyse von HTTPS-Datenströmen. HTTPS ist eine verschlüsselte Verbindung zwischen dem Client und dem adressierten Server. Vielen Sicherheitslösungen fehlt der Einblick in oder die Kontrolle über einen HTTPS-Datenaustausch. Eine große Sicherheitslücke. Denn eine Webseite zu fälschen und per HTTPS anzubieten, ist heute kein Problem mehr. Hinzu kommt, dass sich Benutzer durch Sicherheitsabfragen meist ohne große Aufmerksamkeit durchklicken. Ist so der Web-Schutz erst einmal unterwandert, stehen Angriffen aller Art Tür und Tor offen - vom Phishing über illegale Transaktionen bis zum Einschleusen von Malware.

www.ironport.com/de

Malware hat viele Gesichter

Web Threats nutzen Sicherheitslücken in PCs, um Malware über infizierte Webseiten einzuschleusen. Sie bestehen aus verschiedenen Komponenten wie Verbreitungsfunktionen zum Aufbau von Botnetzen.

Spyware hat das Ziel, Unternehmens- oder Nutzerdaten auszuspähen. Die Spionagefunktionen können etwa über Webseiten, E-Mail-Nachrichten oder Instant Messaging-Nachrichten heruntergeladen werden.

Phishing ist darauf ausgerichtet, über Spam-E-Mails oder gefälschte Webseiten dem Benutzer beispielsweise Passworte oder Einzelheiten zu Bank- und Kreditkartenkonten zu entlocken.

 

weitersagen: drucken
Security
maximize
Termine

18. Juni - 22. Juni

In ganz Österreich

SAP Mittelstandstage

Print-Archiv
Folgen Sie uns
Leser empfehlen
MONITOR-Newsletter

Abonnieren Sie unseren Newsletter!

E-Mail:
Die von Ihnen angegebene E-Mail Adresse wird von MONITOR Online weder an Dritte weitergegeben noch zu anderen Zwecken verwendet.
MONITOR-Autoren

© Copyright 1983-2012 by MONITOR / Bohmann Druck und Verlag Gesellschaft m.b.H. & Co. KG (www.bohmann.at)

Add to Google  | Abo | Themenvorschau | Mediadaten | Inserate buchen | Kontakt | Impressum