|
|
McAfee: Kombination von signaturbasiertem und verhaltensbasiertem Schutz Brennpunkt "McAfee IPS: Datenverkehr blocken, bevor Attacke durchgeführt werden kann (03.05.05) - Man kann davon ausgehen, dass ein Unternehmen egal welcher Größe seine Netzwerke grundsätzlich mit Firewalls und klassischer Antiviren-Software schützt. Diese Investitionen sind in jedem Fall unverzichtbar, jedoch angesichts der Veränderung von Bedrohungen heutzutage eventuell nicht ausreichend. Unternehmen sind weiterhin verletzbar, denn traditionelle Sicherheitslösungen schützen nicht vor allen heutigen Angriffen wie verschlüsselte Attacken, Würmer und Zero-Day-Attacken.
Anzeige
Das sogenannte Fenster der Verwundbarkeit wird immer größer, die Zeitspanne zwischen der Entdeckung einer Sicherheitslücke und der Verbreitung eines Exploits, das diese Lücke ausnutzt, wird dagegen in der Regel kürzer. Die Anzahl der Patches, die ein Unternehmen wie Highfair verteilen muss, um Sicherheitslücken zu stopfen, wächst. Viele Attacken sind so lange unbekannt, bis ein Schaden entstanden ist. Der einzige Weg, um sich gegen diese Bedrohungen zu schützen, ist die Fähigkeit, Datenverkehr zu blocken, bevor eine Attacke erfolgreich durchgeführt werden kann. Der einzige erfolgreiche Weg, unbekannte Gefahren rechtzeitig abzublocken , ist die Kombination von signaturbasiertem und verhaltensbasiertem Schutz. Im Falle von Highfair muss ein mehrstufiges Sicherheitskonzept mit ineinandergreifenden und sich ergänzenden Technologien, die sowohl Netzwerke als auch Systeme schützen, entwickelt werden. Host-basierte Angriffsabwehr
für geschäftskritische Server und Desktops Hier bieten die Intrusion Prevention-Lösungen von McAfee umfassende, genaue und skalierbare Angriffsabwehrlösungen, die Highfair dabei helfen, das Angriffsrisiko zu verringern, die Verfügbarkeit aufrecht zu erhalten und Gesamtbetriebskosten zu reduzieren. Da in diesem Fall speziell nach dem Schutz der Hosts gefragt wurde, kommt die "McAfee Entercept Standard Edition" zum Einsatz. Sie liefert Host-basierte Angriffsabwehr für geschäfts-kritische Server und Desktops und schützt Systeme sowohl vor bekannten als auch vor unbekann-ten Attacken. Host-IPS ist ein Softwareprogramm, das sich auf einzelnen Systemen wie Servern, Workstations oder Notebooks befindet. Der Datenverkehr in dieses oder aus diesem System wird kontrolliert. Zudem kann das Verhalten der Anwendungen und des Betriebssystems bei dem geringsten Anzeichen für einen Angriff überprüft werden. Diese auf Host-Systeme spezifizierten Programme oder "Agenten“ können sowohl das Betriebssystem als auch Anwendungen schützen, die auf dem Host laufen (z.B. Webserver). Sobald ein Angriff entdeckt wird, kann die Host-IPS-Software diese Attacke entweder auf Netzwerkschnittstellen-Ebene blockieren oder Befehle an die Anwendung oder das Betriebssystem erteilen, um das durch die Attacke ausgelöste Verhalten zu stoppen. Buffer Overflow-Angriffe
abwehren So können Buffer Overflow-Angriffe abgewehrt werden, indem die Ausführung des bösartigen Programms, das beim Angriff in den missbrauchten Speicherbereich eingefügt wurde, untersagt wird. Versuche, Back-Door-Programme über Anwendungen wie Internet Explorer zu installieren werden geblockt, indem der von Internet Explorer ausgegebene Befehl, die Datei zu schreiben, abgefangen und abgelehnt wird. Jeder zentral verwaltete Agent kombiniert Verhaltensregeln mit Signaturen, um Angriffe mit größtmöglicher Genauigkeit zu erkennen. Dies passiert, indem Systemaufrufe an das Betriebssystem vor ihrer Verarbeitung mithilfe von Verhaltensregeln evaluiert werden. Die Verhaltensregeln bieten auch Schutz vor Zero-Day-Angriffen, die durch neue Sicherheitslücken eindringen und für die es noch keinen Patch gibt. Signaturen schützen die Hosts, da sie bekannte schädliche Inhalte exakt identifizieren und gefährliche Schadensfunktionen blocken, bevor diese ausgeführt werden. Das Auftreten von Fehlalarmen lässt sich dadurch erheblich reduzieren. Wie funktioniert die McAfee Entercept Standard Edition? Jeder Agent der Lösung wird mit einer vollständig konfigurierten Standardrichtlinie geliefert, die als Highfair als Vorlage dient und ohne weitere Änderung verwendet werden kann. Der Agent enthält zudem leistungsstarke Optionen zur Anpassung, die erlauben, dass die Sicherheitsspezialisten bei Highfair Sicherheitsrichtlinien erstellen können, die speziell auf die vorhandene Umgebung abgestimmt werden können, um das Auftreten von Fehlalarmen zu verringern. Agenten rufen automatisch verschlüsselte und authentisierte Updates vom Management-System ab. Dadurch ist sichergestellt, dass jeder Agent mit den neuesten Richtlinien und Angriffssignaturen arbeitet. Der Agent überprüft bestimmte System- und API-Aufrufe. Er vergleicht schnell und effizient die Verhaltungsregeln und bekannten Angriffssignaturen mit den verfügbaren Informationen zu jedem individuellen Aufruf. Alle Aufrufe, die ein böswilliges Verhalten oder Malware auslösen würden, werden vom Agenten geblockt. Mit einem
Security-Management-System eine große Anzahl von Agenten effizient verwalten Oft steht ein Unternehmen vor der Aufgabe, sowohl die Zentrale als auch Niederlassungen und die Geräte mobiler Mitarbeiter zu schützen. Diese Aufgabe kann groß sein, deshalb ist ein Security-Management-System nötig, das eine ganze Anzahl von Agenten effizient verwalten, dabei exzellenten Angriffsschutz bieten und gleichzeitig den Verwaltungsaufwand minimieren kann. Das Entercept Management-System bietet ein umfassendes Enterprise-Class Management für die Agenten. Es handelt sich um eine skalierbare, stabile und benutzerfreundliche Management-Infrastruktur, in der ein Management-Server bis zu fünftausend Agenten verwalten kann. Alle Entercept-Agenten nutzen gemeinsam die vom Entercept-Management-System bereitgestellte Management-Infrastruktur. Highfair kann Sicherheitskonfigurationen problemlos über mehrere Anwendungen, Benutzergruppen und Agenten hinweg nutzen und dadurch die Installations- und Wartungskosten senken. Die Sicherheitsadministratoren in Unternehmen werden in die Lage versetzt, Konfigurationen über mehrere Management-Server hinweg zu importieren oder zu exportieren und so eine konsistente Durchsetzung der Sicherheitslinien zu gewährleisten. Der plattformübergreifende Schutz umfasst die Betriebssysteme Windows, Solaris und HP-UX. Dadurch schafft Entercept eine konsistente, zuverlässige Host-basierte Abwehr für moderne heterogene Server-Umgebungen. Das Entercept Management-System besteht aus einem hochskalierbaren Management-Server und einer Konsole. Der Management-Server dient als Zwischenschicht zwischen den Entercept-Agenten und der Konsole. Er regelt die Kommunikation und beherbergt die Ereignis- und Konfigurations-datenbank. Mehrere Konsolen an geografische verteilten Standorten können sich gleichzeitig am Management-Server anmelden und die Agenten verwalten und überwachen. Aktive Sicherheitsrichtlinien
durchsetzen Wenn Agenten Angriffe entdecken und blockieren, senden sie wichtige Informationen an den Entercept-Management-Server. Vom Server aus werden diese Informationen an Konsolen weiter-geleitet und in der zentralen SQL-Datenbank gespeichert. Auf der Konsole werden ähnliche Vorfälle zusammengefasst, um die Menge der angezeigten Daten zu reduzieren und den Gesamtsystem-status auf einem Dashboard einheitlich und kompakt darzustellen. Das Management-System bietet eine große Auswahl an Optionen zur Ergreifung von Gegenmaß-nahmen und Meldung von Angriffen, z.B. Alarm mittels E-Mail oder Pager, SNMP-Traps und Erzeugen eines Prozesses. Die Konsole kommuniziert mit den Agenten über verschlüsselte und authentisierte Kanäle. Auf der Basis der Intrusion Prevention-Technologie setzt das Entercept Management-System aktiv Sicherheitsrichtlinien durch. Der Einsatz von Entercept als Host-IPS hat etliche Vorteile. Die Software, die direkt auf das System installiert wird, schützt nicht nur gegen Angriffe, sondern letztendlich auch gegen deren Folgen, indem z.B. ein Programm daran gehindert wird, eine Datei zu schreiben oder indem eine Berechtigungseskalation geblockt wird. Die mobilen Systeme der Außendienstmitarbeiter werden vor Angriffen auch dann geschützt, wenn das System außerhalb des geschützten Netzwerks angeschlossen ist. Laptops werden häufig dazu missbraucht, Würmer in ein geschütztes Netzwerk einzuschleusen. Die Anwendung von Network-IPS auf mobilen Systemen ist nicht zu empfehlen. Host-IPS schützt vor verschlüsselten
Angriffen Nicht zu unterschätzen sind Angriffe von innen, sei das aus der Zentrale eines Unternehmens oder dessen Niederlassungen. Benutzer mit physischem Zugang zu einem System können lokale Angriffe lancieren, indem sie Programme ausführen, die sie über Datenträger einschleusen. Diese Angriffe konzentrieren sich häufig darauf, mithilfe von Berechtigungseskalationen eine Root- oder Administrator-Berechtigung zu erlangen, um so andere Systeme im Netzwerk leichter schädigen zu können. Host-IPS schützt vor verschlüsselten Angriffen, denn der verschlüsselte Datenfluss wird vor dem zu schützenden System angehalten. Die Daten und/oder deren Verhalten werden überprüft, nachdem verschlüsselte Daten auf dem Host-System entschlüsselt wurden. Unabhängig von der Netzwerk-architektur, die in einem Unternehmen wie Highfair manchmal veraltet oder unüblich sein kann (s. Token Ring, FDDI etc.) schützt Host-IPS alle Systeme. Auch wenn Firewall und Virenscanner installiert sind, sie können doch umgangen werden. Host-IPS ist die sogenannte "Last Line of Defense", die letzte Verteidigungslinie gegen Angriffe. Denn genau das System, das Ziel von Angriffen sein könnte, ist der letzte Verteidigungspunkt, der den Sicher-heitsbeauftragten in Unternehmen zur Verfügung steht, um mögliche Angriffe abzuwehren. (McAfee: ma) |
||
|
