Bekämpfung von Malware
it-sa 2015:Vorstellung des Sicherheitsansatzes "Connected Threat Defense"
Genauere Untersuchung von Systemen, die aufgrund verdächtiger Kommunikation auffällig geworden sind
(07.10.15) - Das Ziel moderner Spionagesoftware besteht darin, unerkannt zu bleiben und sich so weit wie möglich im System zu verbreiten um möglichst viele interessante Daten auszuspähen und um an Passwörter und Mitarbeiterkonten heranzukommen. Was den Kriminellen nicht immer gelingt: Es ist möglich, Angriffsspuren zu erkennen, wenn aus dem Netzwerk mit verdächtigen Systemen kommuniziert wird. Dies können bereits bekannte Umgebungen sein oder solche, die aufgrund verschiedener Indikatoren als verdächtig eingestuft werden.
Trend Micros Ansatz ("Connected Threat Defense") sieht die genauere Untersuchung von Systemen vor, die aufgrund verdächtiger Kommunikation auffällig geworden sind. Wie der Ansatz, der alle Produkte des IT-Sicherheitsanbieters zu einer einzigen Lösung kombiniert und klassische Malware-bBekämpfung ebenso wie moderne Funktionen (wie beispielsweise "Sandboxing") umfasst, in der Praxis aussieht, wird Trend Micro anhand konkreter Beispiele auf der it-sa vorstellen. Ziel ist es, eine solche Verteidigungsstrategie nicht nur für Großunternehmen, sondern auch für den klassischen Mittelstand erschwinglich zu machen. Der japanische IT-Sicherheitsanbieter ist in Nürnberg mit einem Messestand (Halle 12, Stand 310), Vorträgen und einer eigenen IT-Sicherheitskonferenz vertreten.
Bei der Bekämpfung von Malware vertrauen viele Sicherheitsverantwortliche auf eine Vielzahl unterschiedlicher Lösungen (von verschiedenen Herstellern), da der eine ja etwas finden könnte, was der andere nicht kennt. Was in der "zweidimensionalen Malware-Welt" bis etwa 2008 relativ gut funktionierte und auch von vielen Experten gefördert wurde, erzeugt auch heute noch ein falsches Gefühl der Sicherheit und hat einen entscheidenden Nachteil: Diese nach außen gerichtete Verteidigungsstrategie ist blind, wenn Angriffe bereits durch die äußere Schicht gedrungen sind. Dann stellt man fest, dass verschiedene Hersteller unterschiedliche Sprachen sprechen und Informationen innerhalb des Unternehmens nicht mehr zusammenpassen. Mit der Folge, dass zwischen Infektion und Entdeckung Monate oder gar Jahre vergehen und man im Ernstfall nicht mehr feststellen kann, wie weit das Problem bereits verbreitet ist.
Besser früher als später
Eine Verteidigungsstrategie, die auch mit zielgerichteten Angriffen fertig werden soll, benötigt daher mehrere Komponenten:
>> Früherkennung: Die Herausforderung der Verteidiger besteht immer darin, dass sie nicht wissen, aus welcher Richtung der Angriff kommt und wie er aussieht. Nichts ist schlimmer als "auf dem falschen Fuß" erwischt zu werden daher ist die lückenlose Überwachung des eigenen Netzwerks auf ungewöhnliche Vorfälle unerlässlich, ebenso die Identifikation und Analyse verdächtiger Aktivitäten. Sicherheitsbeauftragte können dadurch die Zeit bis zur Reaktion verkürzen und die Ausmaße eines solchen Angriffs vermindern.
>> Austausch von Informationen: Unterschiedliche Lösungen im Netzwerk, beispielsweise auch auf den Endpunkten, erkennen oft Spuren eines Angriffs. Um allerdings das gesamte Ausmaß erkunden zu können, braucht es Werkzeuge, die solche Informationen zusammenführen und verarbeiten können. Hierzu müssen die unterschiedlichen Lösungen miteinander sprechen beziehungsweise über einen "Übersetzer" miteinander verbunden werden.
>> Gegenmaßnahmen: Nach der Erkennung geht es um die Beseitigung. Dazu müssen die Früherkennungs- und Analysewerkzeuge die nun gewonnenen Informationen über Art und Vorgehen des Angriffs mit den Lösungen teilen, die für das Blocken und Entfernen von Bedrohungen zuständig sind.
Besser gemeinsam
All diese Bestandteile können auch in einer Umgebung mit mehreren Herstellern erfüllt werden mit hohem Personalaufwand und dem Einsatz zusätzlicher Lösungen wie beispielsweise Sicherheitsinformations- und Ereignis-Management (SIEM). Trend Micros Ziel hingegen ist es, eine solche Verteidigungsstrategie nicht nur für Großunternehmen, sondern auch für den klassischen Mittelstand erschwinglich zu machen. Dazu werden alle Produkte zu einer Lösung kombiniert, die neben klassischer Malwarebekämpfung auch moderne Funktionen wie "Sandboxing" umfasst.
Der Ansatz sieht vor, dass aufgrund verdächtiger Kommunikation auffällig gewordene Systeme genauer untersucht werden. So kann man herausfinden, wie eine Anwendung auf den Rechner gelangt ist, auch der Verbreitungsgrad des Problems lässt sich identifizieren. Sprechen alle Ergebnisse für ein böswilliges Verhalten, wird die Kommunikation zu Befehls- und Kommando-Systemen unterbunden und der Schutz auf noch nicht infizierte Geräte ausgeweitet. (Trend Micro: ra)
Trend Micro: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.