ChannelBiz DE

Mit den Advanced Evasion Techniques (AETs) hat Stonesoft, Anbieter für Netzwerksicherheit, im vergangenen Jahr eine neue Art von IT-Angriffen entdeckt. AETs kombinieren und verändern verschiedene Tarnmethoden, so genannte Evasions, um Schadsoftware unbemerkt in Netzwerke einzuschleusen. Dabei nutzen sie schon seit den 90er Jahren bekannte Sicherheitslücken in Netzwerken aus. Advanced Evasion Techniques sind an sich keine Attacken – vielmehr handelt es sich um Methoden zum Einschleusen von Datenpaketen in ungeschützte Zielsysteme, ohne von Firewalls und IPS-Geräten erkannt zu werden. Deshalb gibt es keine Lösung, die einen hundertprozentigen Schutz vor ihnen bietet.

Die meisten Sicherheitssysteme erkennen einen mit AETs getarnten Angriff nicht, da AETs eine dynamische Bedrohung darstellen, die sich ständig weiterentwickelt. Seit der Entdeckung der ersten 23 Advanced Evasion Techniques hat Stonesoft inzwischen 124 weitere AET-Muster der finnischen Sicherheitsbehörde CERT-FI zur Verfügung gestellt. Mit www.antievasion.com hat Stonesoft zudem eine offene Plattform geschaffen, auf der sich Sicherheitsanbieter wie Unternehmen zu dem Thema informieren und austauschen können.

 Nach Erkenntnissen der StoneLabs, der Forschungsabteilung von Stonesoft, ist dies jedoch nur die Spitze des Eisbergs. Stonesoft verwendet dazu intern das Gerät Predator 3.0, die Angriffe simulieren kann und testet dabei gegen die Firewalls aller größeren Hersteller. Beispielsweise besteht der Conficker-Virus aus 35 Bytes. Die AETs zerlegen diese 35 Bytes nun in kleinere Pakete: Während Pakete von ein bis zwei Bytes von den meisten Firewalls gestoppt werden können, scheitern selbst Next-Generation Firewalls an Paketen größer als 19 Bytes. Und die Zerlegung ist nur eine von fast unendlich vielen möglichen Verschleierungstaktiken.

»AETs sind in der Lage, Attacken einzuschleusen, ohne von Sicherheitsgeräten wie IPS-Systemen erkannt zu werden«, sagt Hermann Klein, Country Manager DACH von Stonesoft. »Das Thema Advanced Evasion Techniques (AET) stößt im Fachhandel auf großes Interesse. Wir führen mit unseren Partnern inzwischen auch eine Reihe von Anwender- und Kundenveranstaltungen zum Thema AET gemeinsam durch. In den neuen Sicherheitstechnologien, die ein wirksamer Schutz vor AETs erfordert, sieht der Fachhandel natürlich auch entsprechende Potenziale für Neugeschäft.«
Klein führt weiter aus: »Unser Alleinstellungsmerkmal in der Branche ist sicherlich momentan: der aktuell beste Schutz vor AETs. Auch wenn es noch keinen hundertprozentigen Schutz gibt, sind wir mit unserem Testgenerator dem Wettbewerb doch schon mehrere Schritte voraus.« Aufgrund der hier gewonnenen Erkenntnisse habe Stonesoft unsere Produkte entsprechend angepasst und erweiterte Sicherheitsmechanismen zum Schutz vor AETs integriert. Der Hersteller werde auch weiter verstärkt an AETs forschen, um hier eine langfristige Lösung zu finden.

»Viele Wettbewerber müssten ihre Produkte einem kompletten Redesign unterziehen, um Schutz vor AETs bieten zu können. Das ist besonders bei hardwarebasierten Geräten eine große Herausforderung, oftmals ist es sogar unmöglich. Aus diesem Grund zögern viele Wettbewerber noch, da die nötigen Investitionen doch erheblich sind und auch über keinen Testgenerator wie den Predator in den StoneLabs verfügen.«, betont Klein. Aktuell stellt Stonesoft den finnischen Sicherheitsbehörden so genannte Packet Captures, also Muster von AETs, zur Verfügung, sobald wir wieder neue Kombinationsmöglichkeiten entdeckt haben. Diese können den Herstellern dazu dienen, Patches für die jeweilige Sicherheitslücke zu entwickeln. Das ist aber natürlich nur ein momentaner Schutz vor einer sehr begrenzten Zahl an AETs. Sobald es wieder nur eine leichte Veränderung an einer AET gibt, beispielsweise eine andere Byte-Zahl, greift das Patch nicht mehr. Die Sicherheitsbranche muss also verstärkt und gemeinsam an einem langfristigen Schutz vor AETs arbeiten.