Die Angriffe auf die Netzwerke von Unternehmen fallen immer gezielter und raffinierter aus: Cyber-Kriminelle scheuen keine Kosten und Mühen, um an die wertvollen Daten der angegriffenen Firmen heranzukommen. Viele Security-Anbieter reagieren bereits auf diese neuen - in der Branche oft auch als "Advanced Persisted Threats" genannten - Gefahren.
So hat beispielsweise Trend Micro auf der diesjährigen RSA Conference ihre Sicherheits-Appliance "Deep Discovery" vorgestellt. Dabei handelt es sich um eine Lösung, die auf den Prinzipien der Spionageabwehr und der Selbstverteidigung beruht, das heißt, die zwischen den Netzwerk-Segmenten platzierte Appliance, protokolliert nicht nur alle sicherheitsrelevanten Ereignisse, sondern wertet sie in Echtzeit aus und korreliert diese miteinander in einer tiefer gehenden Analyse.
Auf diese Weise soll "Deep Discovery" in der Lage sein, die Immunabwehr der im Netzwerk vorhandenem Security-Systeme möglichst sofort nach dem ersten Angriff zu aktivieren. Denn einfache Firewalls lassen nach Ansicht von Trend Micro schon heute viel zu viel durch: "Der Perimeter-Schutz hat in Zeiten von Cloud Computing und der wachsenden Nutzunt von mobilen Endgeräten im Arbeitsalltag endgültig ausgedient. Immer höhere Schutzmauern schützen nicht mehr vor individuell entworfenen Angriffen, die auf ganz bestimmte Personen in dem angegriffenen Unternehmen zielen", analysiert Trend Micro-CTO Raimund Genes die aktuelle Situation im IT-Security-Markt.
Angriffe werden nicht bemerkt
Das Wesen dieser neuartigen Bedrohungen besteht eben darin, dass die Cyberkriminelle oft unbemerkt ins Unternehmensnetzwerk eindringen, sich dort verstecken und erst nach einer gewissen Zeit die dort untergebrachten Daten stehlen. Diese "Advanced Persisted Threats" sind deshalb so gefährlich, weil sie komplex aufgebaut sind, erstmals nicht entdeckt und erst dann detektiert werden, als es zu spät ist. Dies geschah beispielsweise auf diese Weise bei dem Angriff auf das Sony-Netzwerk, bei dem vor knapp einem Jahr Cyber-Kriminelle die Zugangsdaten von 77 Millionen Kunden ausspioniert haben.
Mehr zum Thema: IDC-Marktübersicht Endpoint Security
Deswegen beharrt auch Trend Micro darauf, bereits die ersten Hinweise auf "Unregelmäßigkeiten" im Netzwerk zu beachten und sie alle miteinander in Verbindung zu bringen. Und genau dies ist die Aufgabe der "Deep Discovery"-Appliance, die vom Hersteller in Form von Hardware oder aber als virtuelle Instanz ausgeliefert wird. Dabei agiert die Appliance selbst nicht als eine eigenständige SIEM-Plattform (Security Information und Event Management). Das Sammeln der sicherheitsrelevanten Vorfällen überlässt Trend Micro spezialisierten SIEM-Anbietern wie IBM (Q1 Labs), McAfee (NitroSecurity), Attachmate (NetIQ), Loglogic und LogRhythm.
Lesetipp: Trend Micro, McAfee oder Symantec: Wer schützt virtuelle Landschaften am besten?
Denn nach Ansicht des Anbieters kann erst die sinnvolle Korrelation der in den ellenlangen Protokolldateien gelisteten Einträge zum Aufspüren des Angriffs führen. Insoweit ergänzt "Deep Discovery" Trend Micros Selbstverteidigungssystem in der Cloud, und in virtualisierten Umgebungen "Deep Security 8". Außerdem soll Trend Micros neue Waffe auch in industriellen Netzwerken eingesetzt werden, so hätte auch der Stuxnet-Angriff auf eine iranische Atomanlage verhindert werden können, glaubt Trend Micro.
CTO Genes vertritt gar die Meinung, dass einzelne Sensoren und Horchstationen in so genannte SCADA-Kontrollsystemen (Supervisory Control and Data Acquisition) zum Einsatz gelangen könnten, also auch industrielle Netzwerke vor Angriffen schützen könnten. (rw)