Sicherheit à la Facebook

Der Schutz des internen Facebook-Netzes und seiner Anwender ist keine beneidenswerte Aufgabe. Facebook-User sind ständig von Phishing, Malware und anderen Unannehmlichkeiten bedroht, und das Netz des Unternehmens selbst ist ein Leckerbissen für Cyberkriminelle. Um den Schutz seines Eigentums zu verstärken, hat der Sicherheitsdienst von Facebook ein Framework entwickelt, das unter der Bezeichnung ThreatData bekannt ist, und das Unmengen von Informationen über Internet-Bedrohungen verschlingt und verarbeitet und dem Unternehmen hilft, schneller auf neue Sicherheitsvorfälle zu reagieren.

Viele große Unternehmen entwickeln eigene Schutzmechanismen und Analysesysteme, die Einzelheiten dieser Entwicklungen unterliegen allerdings meist strengster Geheimhaltung. Die meisten Unternehmen ziehen es vor, über ihre Errungenschaften in diesem Bereich zu schweigen und handeln lieber nach der Devise „Feind hört mit!“. Facebook hat allerdings schon zweimal den Vorhang gelüftet und Einblick in die Methoden zur Gewährleistung der Sicherheit der internen Netze und der Anwender des sozialen Netzwerks gegeben. So berichteten zwei Sicherheitsspezialisten des Unternehmens auf der vorjährigen CanSecWest Konferenz über Studien mit einem angenommenen Gegner, die durchgeführt wurden, um die Haltung des Facebook-Personals gegenüber realen Hackerattacken zu testen.

Jetzt lädt das Unternehmen ein, hinter die Kulissen des Frameworks ThreatData zu schauen, das von den Experten der Firma entwickelt wurde, um die Tag für Tag neu auftretenden Phishing- und Malware-Attacken abzuwehren. Seine eigentliche Bestimmung liegt im Import von Datenströmen – verdächtigen URL, Hashs von Schadprogrammen und anderen Informationen – ihre Aufbewahrung in der Datenbank, die die Möglichkeit zur erweiterten Suche bietet, sowie die Umformung der Daten in ein einheitliches Format, das für Echtzeit-Schutzsysteme und eine darauffolgende Analyse komfortabel ist.

„Das Framework ThreatData besteht aus drei Hauptteilen: Feeds, Datenspeicherung und Reaktion in Echtzeit“, erklärt der Facebook-Experte Mark Hammel. „Die Feeds sammeln Daten von konkreten Quellen, die über ein vereinfachtes Interface einlaufen. Dabei wird nahezu jedes Format, in dem die Daten importiert werden, in ein einfaches Schema umgewandelt, das wir ThreatDatum nennen. Darin werden nicht nur Basisinformationen über die Bedrohung gespeichert (beispielsweise die schädliche Domain.biz), sondern auch der Kontext, in dem sie aufgetreten ist. Die Informationen über den Kontext werden in anderen Komponenten des Frameworks zur Begründung der automatisch erzeugten Lösungen verwendet.“

ThreatData importiert Daten von VirusTotal, aus Repositories schädlicher URL und verwendet gebührenpflichtige Abonnements von Anbietern und anderen Quellen. Die so zusammengetragenen Daten werden in die Datenbanken Hive und Scuba des Unternehmens gesendet. Hive benutzen die Forscher für Antworten auf retrospektive Anfragen, wie etwa ob ein bestimmtes Modul schon früher in Schadsoftware aufgetaucht ist. Scuba unterstützt kurzfristigere Aufgaben, wie z.B. das Aufdecken neuer Gruppen von Phishing-Sites. Nach einer solchen Bearbeitung hat das Facebook-Team die Möglichkeit, eine beliebige Entscheidung zu treffen, beispielsweise neue schädliche URL in die Schwarze Liste aufzunehmen, die im sozialen Netzwerk verwendet wird.

Dieses System zum Sammeln von Informationen über IT-Bedrohungen unter einem Dach hat sich bereits bewährt: Der Sicherheitsdienst von Facebook konnte erfolgreich einige laufende Cyberattacken identifizieren, die nicht nur die Mitglieder des sozialen Netzwerkes betrafen, sondern auch andere Anwender. So wurde letzten Sommer eine Dritt-Spam-Kampagne entdeckte, im Rahmen derer von gefälschten Facebook-Accounts Links auf ein Schadprogramm verbreitet wurden, das auf bestimmte Smartphones spezialisiert war. Dieser Schädling war in der Lage, Daten aus dem Adressbuch zu stehlen und SMS an Premium-Nummern zu versenden. „Nachdem wir diese Entdeckung gemacht hatten, konnten wir den Schadcode analysieren, die Spam-Kampagne unterbinden und unsere Partner mobilisieren, die Infrastruktur des Botnetzes zu zerschlagen“, kommentiert Hammel.

„Uns ist bewusst, dass viele Aspekte dieses Ansatzes nicht unbedingt innovativ sind, allerdings funktioniert er und wir möchten diese Erkenntnis teilen, in der Hoffnung auf neue Ideen“, fährt der Experte fort. „Wir haben entdeckt, dass dieses Framework es ermöglicht, mit Leichtigkeit neue Datentypen aufzunehmen und sich schnell in neue und bestehende interne Systeme einzuschalten, unabhängig von ihrem Technologiestack oder der Art, wie sie Bedrohungen konzeptualisieren.“

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.