Für IT-Sicherheitsexperten wie Richard Werner von Trend Micro war die erste Jahreshälfte sehr arbeitsreich. Er fasst seine Erkenntnisse zusammen. Allein der Hack des Hacking-Teams hielt Branche und Anwender lange in Atem. Was zum einen an der hohen Zahl von Zero-Day-Sicherheitslücken liegt, die daraus zutage gefördert wurden – und zum anderen daran, dass sich durch solche Sicherheitslücken die Bedrohungslandschaft allgemein geändert hat. Dass die Risiken bei der Nutzung von Betriebssystemen wie „OS X“, „iOS“ und „Android“ und Anwendungen wie „Flash Player“ in den ersten sechs Monaten dieses Jahres größer geworden sind, zeigen die Daten von Hacking Team ebenso wie die von Trend Micro: Die Sicherheitsforscher entdeckten und veröffentlichten zwischen Januar und Juni 26 Sicherheitslücken, davon acht Zero-Days. Nicht zu vergessen die kritische Microsoft-Sicherheitslücke, die alle Betriebssystem-Versionen bis hinunter zu Windows-XP betraf. Zero-Day-Sicherheitslücken werden in erster Linie dazu genutzt, zielgerichtete Angriffe auszuführen. Sie sind per Definition unbekannt, nicht vorhersagbar und gefährden auch die Systeme der gründlichsten IT- und Security-Verantwortlichen.

Die Sicherheitsforscher von Trend Micro konzentrieren sich in ihrer Arbeit auf die Analyse entsprechender Muster, die sie von Opfern gezielter Angriffe erhalten. Aus diesen Informationen können sie nicht nur viele Zero-Day-Angriffe aufspüren, wie in den ersten sechs Monaten dieses Jahres – mithilfe von Statistikanalysen, Fuzzing (einer speziellen Technik für Software-Tests) und Penetrationstests lassen sich auch proaktiv Sicherheitslücken finden und dann den Anbietern melden, bevor Hacker sie nutzen können.

Einigen ist bei der öffentlichen Nennung von Details unwohl, immerhin kann man sie auch als „Blaupause“ für Angriffe interpretieren. Die Frage, ob veröffentlichte Informationen Cyberkriminelle erst zum Angriff „motivieren“ oder deren Beutezüge überhaupt ermöglichen, ist durchaus berechtigt. Es gibt im Untergrund ganze Gruppierungen, deren Geschäftsmodell darin besteht, Sicherheitslücken zu finden und an den Meistbietenden zu verkaufen. Ohne sie selbst auszunutzen, das überlassen sie den Käufern.

Daher sollten solche Berichte als die positiven Informationen gesehen werden, die sie sind: Erst wenn Lücken bekannt werden, können Software-Hersteller sie adressieren und Sicherheitshersteller Lösungen zur Schließung bereitstellen. Sei es als temporäre Lösung, bis die Software oder der Dienst gepatcht wurde – Stichwort „virtuelles Patchen“ –, oder als dauerhafte Lösung, falls mangels Support keine Patches mehr veröffentlicht werden können. Deshalb sprechen sich Sicherheitsanbieter wie Trend Micro mit den betroffenen Herstellern ab, auch über die Kommunikationsmaßnahmen.

Die Möglichkeit, Zero-Days zu erkennen, ist für Anwender noch wertvoller als deren Aufdeckung und die Reaktion darauf. Dass aufgrund der Vielzahl an Informationen der Blick fürs Wesentliche manchmal getrübt bleibt, ist auch und gerade bei der Bekämpfung von Schadsoftware sichtbar – und vielfach auch gewünscht: Sicherheitsbeauftragte interessieren sich oft gar nicht für die Details hinter einzelnen Vorfällen, sondern nur dafür, dass ein Problem gelöst ist. Aus verschiedenen Gründen vergehen Monate bis Jahre zwischen Infektion und Entdeckung; man kann im Ernstfall nicht mehr feststellen, wie weit das Problem bereits verbreitet ist und muss dann ein solches Netzwerk bereinigen. Eine Sisyphusaufgabe! Es kommt also darauf an, dass Angriffe frühzeitig erkannt werden, dass Informationen ausgetauscht werden und dass dann Gegenmaßnahmen eingeleitet werden können.

Neben klassischer Malwarebekämpfung geht es dabei auch um Funktionen wie „Sandboxing“: Mit modernen Varianten lassen sich viele der 2015 entdeckten Zero-Day Exploits erkennen, ohne dass ein Update notwendig wäre. Natürlich ist es wichtig, dass die Bedrohungsforscher eng mit den Entwicklern zusammenarbeiten, um die Effizienz der Produkte und Erkennungsmethoden kontinuierlich zu validieren und zu verbessern. Dieses Benchmarking und die fortschrittliche Erkennung helfen, den Angreifern einen Schritt voraus zu sein. Sandboxing spielt dabei eine Schlüsselrolle. Doch Sandbox ist nicht gleich Sandbox: Die „smarte Sandbox“ ist anpassbar und umfasst neben Payload-Verhaltenserkennung auch die Verhaltenserkennung von Scripts und Shell-Code. Anders als bei einem standardisierten, nicht individuell konfigurierbaren Lösungsansatz können hier auch reale Produktivumgebungen nachgebildet werden.

Siehe auch:

http://blog.trendmicro.de/erste-haelfte-2015-zeigt-os-x-zero-days-im-anmarsch/#more-4830