JR-Center for Konsolidierte Erkennung gezielter Angriffe

IT Infrastrukturen und Netzwerke auch kleinerer Unternehmen sind einer Vielzahl von Bedrohungen ausgesetzt. Das JR-Zentrum erarbeitet eine Methodologie für die ganzheitliche Erkennung von zielgerichteten Angriffen auf System- und Softwareebene.

Bis vor kurzem haben sich sowohl Forschung als auch Industrie fast zur Gänze auf die Erkennung und Verhinderung von großflächigen, meist ungezielten Bedrohungen fokussiert, ausgehend von der Annahme, dass ein bösartiges Programm tausende oder sogar Millionen von Systemen bedroht. Ist seine Schadsoftware-Signatur einmal identifiziert, so wird sie durch Anti-Virenscanner auf allen weiteren infizierten Systemen erkannt und beseitigt.

In den letzten Jahren haben sich jedoch Bedrohungen entwickelt, die stark auf ein Ziel gerichtet sind und verschiedene zugrundeliegende Motive haben. Oftmals werden diese potentiell gefährlichen Angriffe für Spionage oder Sabotage genutzt und von Experten geleitet. Heutige Schutzmaßnahmen sind gegen zielgerichtete Angriffe nicht effektiv und so bleiben sie oft über mehrere Monate und manchmal sogar Jahre völlig unentdeckt.

Die Mission des JR-Zentrums TARGET ist die Erforschung neuartiger Techniken für Bedrohungsanalysen von zielgerichteten Angriffen. In Modul 1 wird die Systemebene beleuchtet. Während heutige Malware-Erkennungssysteme einzelne Dateien unabhängig von einander und dem unterliegenden System analysieren, entwickelt das JR-Zentrum Methoden, die das System in seiner Gänze betrachten und ein signifikant besseres Verständnis vergangener und aktueller Systemzustände ermöglichen.

Das zweite Modul betrachtet die Software-Ebene. Absichtlich hinzugefügte versteckte Funktionalität und auch herkömmliche Schwachstellen spielen bei zielgerichteten Angriffen eine immer entscheidendere Rolle als Ausgangspunkt für Angriffe. Heutige Programmcode-Analysetechniken bieten oft nur dürftigen Schutz gegen diese Angriffe. Daher werden neuartige Methoden für die Identifikation von versteckter Funktionalität in Software entwickelt. Weiters ist geplant, die Eignung des Konzepts von Honeypots (Server, die speziell zur Erkennung von Angriffen dem eigentlichen Server vorgeschaltet sind) für die Erkennung von Angriffen auf bisher unbekannte Schwachstellen (Zero-Day-Exploits) zu untersuchen.

Die Kombination der beiden Module ergibt eine Methodologie für die ganzheitliche Erkennung von zielgerichteten Angriffen. Die Forschungsergebnisse werden als Basis für zukünftige innovative Produktentwicklungen im Bereich der Informationssicherheit dienen.