Jede Anwendung – einschließlich Malware – hat ein anderes Muster als ihre Aktionen, ihre Dateigröße, ihre Datei-Hashes und ihren kompilierten Code. Dieses Muster wird als Signatur bezeichnet. Signature-basierte Erkennung von Eindringlingen untersucht den Datenverkehr in einem Netzwerk, um bösartige Softwaresignaturen zu erkennen. Obwohl es sich um eine ältere Form der Malware-Erkennung handelt, ist die signaturbasierte Erkennung genau und in Bezug auf Cybersicherheit und Datenschutz immer noch praktikabel.
Was ist Signature-basierte Intrusion Detection?
Signature-basierte Erkennung von Eindringlingen identifiziert Bedrohungen, indem sie die Systemaktivität mit einer Datenbank bekannter Angriffsmuster oder Signaturen vergleicht, um böswilliges Verhalten zu erkennen.
Malware wird wie jedes Programm in binärer Computersprache kompiliert. Sein kompilierter Code kann gehasht werden, um eine eindeutige Signatur zu erstellen, aber auch andere Merkmale können eine Signatur erstellen. Die Aktionen, die Malware zusammen mit seinem In-Memory-Code durchführt, können seine eindeutige Signatur bestimmen. Manche Malware zeigt Autorenphrasen an, die im Speicher gespeichert sind, während andere bestimmte Dateien an bestimmten Orten speichern, die auch in ihr spezifisches Muster einfließen.
Moderne Malware kommuniziert oft mit einem C2-Standort (Command-and-Control). Die Malware hat festcodierte IP-Adressen oder Domainnamen, um mit dem Autor zu kommunizieren. Mit der Kommunikation weiß der Angreifer, dass eine gezielte Maschine jetzt die Malware ausführt und ihr Angriff erfolgreich war. Firewalls und Systeme zur Erkennung von Eindringlingen können Anfragen zur Kommunikation über diese IP-Adressen und Domänen erkennen, um Administratoren auf verdächtige Aktivitäten aufmerksam zu machen.
Wie Signature-basierte Intrusion Detection funktioniert
Um mit der Signature-basierten Angriffserkennung zu arbeiten, müssen Sie zunächst Malware-Signaturen speichern. Signaturen werden in einer Datenbank gespeichert, die in der Regel vom Eindringlingserkennungsanbieter bereitgestellt wird. Die Unterschrift, die als Indikator gewählt wurde, wird von Sicherheitsforschern entschieden, die ihre Ergebnisse häufig an Open-Source-Standorten weitergeben. Zum Beispiel kann das beliebte YARA-Tool zum Klassifizieren und Erstellen von Malware-Signaturen verwendet werden.
Systeme zur Erkennung von Eindringlingen überwachen den Netzwerkverkehr kontinuierlich auf Malware-Signaturen. Sie vergleichen den Netzwerkverkehr mit den in der Datenbank des Angriffserkennungssystems gespeicherten Signaturen. Wenn eine Signatur im Datenverkehr erkannt wird, ergreift die Erkennung von Eindringlingen Maßnahmen wie die Warnung von Administratoren.
Vorteile der Signature-basierten Intrusion Detection
Da Signaturen auf Malware basieren, handelt es sich um ein viel genaueres System als andere auf Anomalien basierende Erkennungen. Signaturen sind statisch, vorausgesetzt, der Malware-Autor nimmt keine Änderungen vor und führt eine Variante ein, sodass die Erkennung von Eindringlingen mit einer aktualisierten Datenbank nur sehr wenige falsch positive Ergebnisse aufweist. Falsch-Positive treten auf, wenn die Eindringungserkennung eine Anwendung falsch markiert.
Ein weiterer Vorteil der Signature-basierten Erkennung ist, dass sie schnell ist und keine Benchmark-Daten erfordert. Signaturen können schnell identifiziert werden, ohne zuvor Daten zu sammeln, um festzustellen, ob die Aktivität nicht mit Benchmarks übereinstimmt. Beispielsweise erfordert die auf Anomalien basierende Erkennung einen Benchmark der Aktivitäten in Dateien, bevor sie feststellen kann, ob zu viele Zugriffsanfragen Malware oder gemeinsame Netzwerkaktivitäten sein könnten.
Einschränkungen bei der Signature-basierten Erkennung von Eindringlingen
Um Malware-Signaturen zu haben, muss die Bedrohung bekannt sein. Zero-Day-Bedrohungen sind solche, die in der Wildnis nicht zu erkennen sind, sodass sie keine Signatur zu erkennen haben. Fehlende Signaturen bei Zero-Day-Bedrohungen bedeuten, dass die Erkennung von Eindringlingen, die auf Signaturen angewiesen sind, sie nicht erkennen kann. Ohne vollständige Abdeckung kann diese Art der Angriffserkennung Administratoren ein falsches Gefühl der Sicherheit vermitteln.
Signature-basierte Erkennung von Eindringlingen benötigt auch mehr Ressourcen als andere Formen der Erkennung von Eindringlingen. Der Datenverkehr wird ständig mit einer Liste von Signaturen in einer Datenbank verglichen, und Ihre Signaturdatenbank kann Millionen von gespeicherten Elementen enthalten. Um die Erkennung von Eindringlingen mithilfe von Signaturen zu ermöglichen, müssen Sie auch sicherstellen, dass die Datenbank konsistent aktualisiert wird. Cloud-Anbieter stellen in der Regel Updates bereit, aber lokaler Storage kann manuelle Aktionen von Netzwerkadministratoren erfordern.
Anwendungsfälle und Anwendungen
Jede Branche mit lokalen und Cloud-Daten kann die signaturbasierte Erkennung von Eindringlingen nutzen, wird aber häufig als eine einzige Komponente beim Datenschutz verwendet. Die Signature-basierte Erkennung von Eindringlingen eignet sich hervorragend, um bekannte Bedrohungen sofort mit wenigen falsch positiven Ergebnissen zu erkennen. Beispielsweise kann ein Gesundheitsdienstleister diese Art der Angriffserkennung zum Schutz vor bekannter Ransomware verwenden. Ransomware richtet sich in der Regel an Gesundheitsbehörden, Krankenhäuser und Versicherungsunternehmen, da sie oft über veraltete Software verfügen. Signature-basierter Schutz kann diese Bedrohungen sofort stoppen, insbesondere in Verbindung mit Systemen zur Verhinderung von Eindringlingen.
Kundenserviceorganisationen sind ein weiteres häufiges Ziel, da sie Anhänge von Kunden zur Überprüfung erhalten. Wenn ein Anhang Malware enthält, könnte die Signatur der Malware erkannt werden. Die Erkennung von Eindringlingen ist in Netzwerksegmenten wertvoll, in denen E-Mail-Anhänge von Drittanbietern heruntergeladen und gespeichert werden.
Fazit
Cybersicherheit auf Unternehmensebene erfordert mehrere Schutzebenen. Signature-basierte Erkennung von Eindringlingen ist eine Schicht, aber Sie benötigen mehrere andere, um Ihre Umgebung vollständig zu schützen. Mit Signature-basierter Sicherheit können Sie Ihre Umgebung vor bekannten Bedrohungen schützen, die ein großer Faktor bei Datenschutzverletzungen sind.
Das Speichern von Signaturen und anderen Sicherheitsanalysen erfordert robuste Storage-Systeme. Pure Storage bietet die Geschwindigkeit und Kapazität für große Umgebungen mit komplexer Intrusion Detection. Pure Storage hat sich mit Elasticsearch zusammengetan, um schnellere Suchen und eine belastbare Architektur für die Skalierung zu ermöglichen.
