CYBER-RESILIENZ FÜR DEN FINANZSEKTOR
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
CYBER-RESILIENZ FÜR DEN FINANZSEKTOR
Cyber-Resilienz für den Finanzsektor
Mit modernernen Sandboxing-Technologien
modernen Malware-Angriffen begegnen
Mit dem hohen Grad an Digitalisierung im Finanzsektor hat sich auch der Bankraub digitalisiert. Das Thema
ist von großer Tragweite, denn ein erfolgreicher Cyberangriff auf einen Finanzmarktakteur bedeutet nicht nur
Imageschaden und wirtschaftliche Einbußen für das betroffene Unternehmen: durch die enge Vernetzung
können regelrechte Domino-Effekte entstehen, die im schlimmsten Fall die Funktionsfähigkeit der gesamten
Finanzmarktinfrastruktur in Mitleidenschaft ziehen.
FINANZSEKTOR IM REGULATORISCHE UND Zudem sollen Finanzinstitute Er-
VISIER: VIELFÄLTIGE GESETZLICHE VORGABEN kennungsmaßnahmen zur Fest-
BEDROHUNGSLANDSCHAFT Der europäische Finanzsektor un- stellung möglicher Datenlecks,
Angreifer nutzen mittlerweile eine terliegt den strengen regulatori- schädlichem Code und sonstiger
Vielzahl ausgeklügelter Vorgehens schen Vorgaben nationaler und in- Sicherheitsrisiken sowie von öf-
weisen, um die Sicherheitsvorkeh- ternationaler Aufsichtsbehörden, fentlich bekannten Schwachstel-
rungen der F inanzinstitute auszu- die eine Erhöhung der Cyber-Resi- len von Software und Hardware
hebeln. Die Bandbreite reicht von lienz im Finanzumfeld einfordern. einführen.
Banking Trojanern und Überwei-
sungsbetrug durch Spear-Phishing, So empfiehlt die European Banking Neben den europäischen und na-
über Ransomware und netzwerkba Authority (EBA) in ihren Leitlinien tionalen Leitlinien verlangt zudem
sierte Malware-Angriffe auf Geld- die Umsetzung eines gestaffel- die DSGVO (Europäische Daten-
automaten bis hin zu Sabotage ten Sicherheitskonzepts (Defen- schutz-Grundverordnung) geeig-
mithilfe von DDoS-Angriffen und ce-in-Depth). Hierbei sollen Si- nete Sicherheitsvorkehrungen im
Wiper-Attacken, die darauf abzie- cherheitsmaßnahmen (Controls) Umgang mit personenbezogenen
len, ganze Datenbestände zu lö- über mehrere Ebenen eingeführt Daten und stellt bei Verstößen
schen. werden, die Personen, Prozesse empfindliche Strafen in Aussicht.
und die Technologie umfassen.
Die Finanzbranche zählt in allen In-
dustrienationen zu den kritischen Jede Ebene dient dabei als Sicher-
Infrastrukturen (KRITIS), deren Ver- heitsnetz für die vorhergehende
sorgungsdienstleistungen wichtig Ebene. Der gestaffelte Ansatz soll
für das reibungslose Funktionie- zudem so verstanden werden, dass
ren des Gemeinwesens sind. Da ein Risiko durch mehrere Sicher-
wundert es nicht, dass die Finanz- heitsmaßnahmen abgesichert wird,
marktbehörden die Unternehmen zum Beispiel durch Zwei-Faktor-Au-
auffordern, einen kritischen Blick thentifizierung zusätzlich zu Netz-
auf ihre Cybersicherheitskonzepte werksegmentierung und mehrfa-
zu werfen. chen Firewalls.
www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten. - 2/5 -Cyber-Resilienz für den Finanzsektor
Nationale Richtlinien in Deutschland, Österreich und der Schweiz
In Deutschland gibt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihren Mindest-
anforderungen an das Risikomanagement (MaRisk) vor, dass für IT-Risiken angemessene Überwa-
chungs- und Steuerungsprozesse einzurichten sind. Diese sollten insbesondere die Festlegung von
IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleite-
te Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risiko-
behandlung und -minderung umfassen.
In Österreich gelten die Empfehlungen seitens der Finanzmarktaufsicht (FMA), die im Leitfaden für IT-
Sicherheit in Kreditinstituten konkretisiert werden und den Leitlinien der European Banking Authority
folgen. Der FMA-Leitfaden gibt unter anderem vor, dass Institute über angemessene Verfahren, Prozes-
se und technisch-organisatorische Maßnahmen verfügen sollten, um Daten vor Verlust und Beschädi-
gung zu schützen. Gleiches gilt für den Schutz vor Malware, Datendiebstahl und Cyberkriminalität.
In der Schweiz gelten die Vorgaben der Eidgenössischen Finanzmarktaufsicht (FINMA). Cyberrisiken
stehen dabei besonders im Fokus des FINMA Rundschreibens RS 2008/21, das eine zeitnahe Erken-
nung und Aufzeichnung von Cyberattacken fordert. Finanzinstitute müssen eine geeignete Aufbau- und
Ablauforganisation konzipieren, um eine 24/7 Erkennung von Cyberattacken gewährleisten zu können.
BEST PRACTICES FÜR werden unterschiedliche Typen der SOC- und IR-Teams (SOC und
HOHE CYBER-RESILIENZ von Malware zusammengefasst: Incident Response). Die Gründe
Ausschlaggebend für eine hohe Cy- dazu gehören bislang unbekannte können in einer unbefriedigenden
ber-Resilienz ist unter anderem das Bedrohungen (Zero-Day Malware), Erkennungsrate liegen, mit zu vie-
lückenlose Ineinandergreifen der hochentwickelte, evasive Malware len False Positives (unnötige Fehl-
verschiedenen Security-Maßnah- (z.B. polymorphe und metamorphe alarme) oder zu vielen False Nega-
men. Diese sollten ein engmaschi- Malware) sowie komplexe, zielge- tives (Malware gelangt ins Firmen-
ges, mehrschichtiges System bil- richtete Angriffe (z.B. politisch mo- netz). Auch entspricht die Qualität
den, in dem eine Cyberbedrohung, tivierte Attacken). Diese Bedrohun- der Analyse-Reports häufig nicht
falls sie einer Security-Instanz ent- gen sind mit anderen Sicherheits- den Anforderungen oder es fehlen
geht, von einer anderen aufgehal- komponenten nicht zu erkennen. Automatisierungsfunktionen, um
ten wird. Zu den gängigsten Kom- die Erkennungs- und Analysepro-
ponenten eines solch mehrschich- zesse effizienter zu gestalten.
tigen Systems gehören Firewalls, WAS EINE SANDBOX
Endpoint-Security-Lösungen, Int- KÖNNEN SOLLTE
rusion Prevention Systems (IPS), In einer Sandbox werden verdäch-
Intrusion Detection Systems (IDS), tige Dateien in einer abgesicherten
Email- und Web-Gateways, Ver- Umgebung ausgeführt und analy-
fahren zur Zugangs- und Berechti- siert. Falls sich die Datei als Mal-
gungskontrolle, aber auch Konzep- ware herausstellt, kann das Secu-
te wie Netzwerksegmentierung. rity Team umgehend die Systeme
Eine weitere wichtige Komponente gegen die neu erkannte Gefahr
sind Sandboxing-Technologien. Sie härten. Sandboxing-Lösungen sind
spielen eine entscheidende Rolle, fester Bestandteil einer jeden aus-
wenn es um die Erkennung und gereiften Cybersecurity-Architek-
Analyse von Advanced Malware tur. Doch nicht immer erfüllt die ein-
geht. Unter diesem Oberbegriff gesetzte Sandbox die Erwartungen
www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten. - 3/5 -Cyber-Resilienz für den Finanzsektor
EINE SANDBOXING-LÖSUNG, DIE DEN HOHEN ANFORDERUNGEN IM FINANZSEKTOR GENÜGEN
SOLL, MUSS DAHER DIE FOLGENDEN KRITERIEN ERFÜLLEN:
HOHE RESISTENZ GEGEN Einblick in die Aktionen und das tors of Compromise) aus der Mas-
SANDBOX EVASION Verhalten einer suspekten Datei se forensischer Daten erstecken,
Viele gängige Sandboxing-Metho- ermöglichen, darf dabei aber kein denn in vielen Security Teams wer-
den hinterlassen in der Analyse- irrelevantes Hintergrundrauschen den IoCs immer noch manuell ge-
Umgebung deutliche Zeichen, die aus der Systemumgebung beinhal- neriert – ein zeitaufwändiger Vor-
moderne Malware erkennen lässt, ten. Oft sind Reports zu oberfläch- gang, der erfahrene Threat Analys-
dass sie unter Beobachtung steht. lich und lückenhaft, d.h. es fehlten ten voraussetzt.
Die Schadsoftware wird nun versu- essenzielle Informationen über die
chen, durch Vortäuschen harmlo- Interaktionen der Malware mit dem GENERIERUNG UND
sen Verhaltens der Entdeckung zu Zielsystem oder aber das genaue BEREITSTELLUNG VON
entgehen (Sandbox Evasion). Den Gegenteil ist der Fall - die Informa- THREAT INTELLIGENCE
Verschleierungstaktiken der Mal- tionen sind zwar vorhanden, sie Die Sandboxing-Lösung sollte dar-
ware kann durch den Einsatz einer sind jedoch zwischen dem eben- über hinaus in der Lage sein, hoch-
innovativen, Hypervisorbasierten falls dokumentierten legitimen präzise, zuverlässige Bedro-hungs-
Sandbox begegnet werden. Hier er- Hintergrundrauschen des Systems informationen (Threat Intelligence)
folgt die Beobachtung von außer- nur mit Mühe zu erkennen. Ein Bei- zu generieren und in der vorhande-
halb der Analyse-Umgebung (aus spiel: wird bei einer Malware-Ana- nen Security-Umgebung bereitzu-
der Hypervisor-Schicht heraus) lyse ein Microsoft Word-Dokument stellen, um beispielsweise Blockie-
und bleibt für die Schadsoftware unter die Lupe genommen, dann rungen von Endpoints und andere
unsichtbar. So entfalten sich An- sollten die gerechtfertigten Interak- Sicherheitsmaßnahmen auszulö-
griffe in der Sandbox, die sich nor- tionen der Anwendung mit der Sys- sen. Um die Integration in die Se-
malerweise der Erkennung entzie- temumgebung keinesfalls im Re- curity-Umgebung zu vereinfachen,
hen würden. Um zielgerichtete An- port erscheinen. Je nach Sandbox sollte eine Vielzahl von Out-of-the-
griffe aufzudecken, die nur auf den kann das Signal-Rausch-Verhältnis Box Konnektoren zur Verfügung
Rechnern des anvisierten Finanz- jedoch bis zu 1:100 betragen. Wer- stehen.
instituts aktiv werden und deshalb den Nutzsignale durch Rauschen
nach entsprechenden Merkmalen in solchem Ausmaß verwässert, UNTERSTÜTZUNG VON
suchen, ist es erforderlich, die rea- wird es sehr schwierig, Angriffs- COMPLIANCE-VORGABEN
le Umgebung so detailgetreu wie vektoren aufzudecken. ZUR DATENHALTUNG
möglich nachzubilden. Die Sand- Compliance-Anforderungen spie-
AUTOMATISIERUNG VON
box sollte deshalb in der Lage sein, len insbesondere bei Cloud-ba-
Golden Images mit der Standard- ERKENNUNGS- UND sierten Sandboxing-Technologien
Konfiguration des Unternehmens ANALYSEVORGÄNGEN eine Rolle, denn Bedrohungsdaten
zu nutzen und mithilfe von Geo- Entlastung der SOC- und IR-Teams können auch direkten oder indi-
Location-Einstellungen Unterneh- sowie Effizienzgewinn durch Pro- rekten Personenbezug aufweisen.
mensrechner in unterschiedlichen zessautomatisierung sind weite- Dies ist besonders wichtig für Un-
Ländern zu simulieren. re wichtige Kriterien in Zeiten von ternehmen in regulierten Branchen,
Fachkräftemangel und dünner Per- die verpflichtet sind, die Kontrolle
ELIMINIEREN VON sonaldecke. Automati-sierte Erken- darüber zu haben, wo ihre Daten
HINTERGRUNDRAUSCHEN nungsprozesse sind skalierbar, so- gespeichert werden. Die Nutzung
UND FEHLALARMEN dass auch Teams mit geringer Per- DSGVO-konformer Rechenzentren
Ausgefeiltes Monitoring und hohe sonalstärke den stetigen Anstieg innerhalb der EU ist deshalb ein
Report-Qualität sind weitere es- im Malwareaufkommen bewälti- weiterer Punkt, der bei der Wahl
senzielle Kriterien bei der Wahl gen können. Dabei sollte sich die einer Sandboxing-Lösung beach-
einer Sandbox-Lösung. Ein Analy- Automatisierung auch auf die Ex- tet werden sollte.
se-Report muss einen granularen traktion zuverlässiger IoCs (Indica-
www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten. - 4/5 -Cyber-Resilienz für den Finanzsektor
FAZIT
Die komplexe Cyberbedrohungslage kann nur beherrscht werden, wenn Incident-Response-Abteilungen und
Security Operation Center ihre Maßnahmen zur Erkennung und Abwehr von Angriffen optimieren können. Dies
wird deutlich durch die Ergebnisse der Untersuchung „Improving the Effectiveness of the Security Operations
Center“ des Ponemon-Institutes: Mehr als die Hälfte der Befragten (53 Prozent) bewertet die Fähigkeit ihres
SOCs, Beweise zu sammeln, Nachforschungen anzustellen und die Quelle von Bedrohungen zu finden, als
ineffizient. Die SOC-Teams haben Schwierigkeiten, Bedrohungen zu identifizieren, weil sie zu viele Indicators
of Compromise (IOCs) verfolgen müssen, zu wenig interne Ressourcen und Know-how zu Verfügung stehen
und zu viele Fehlalarme auftreten.
Der Einsatz einer geeigneten Sandboxing-Lösung als Spezialwerkzeug zur Erkennung und Analyse von Advan-
ced Malware gewinnt in diesem Zusammenhang umso mehr an Bedeutung.
ÜBER VMRAY
VMRay bietet die branchenweit präziseste Lösung zur automatisierten Erkennung und Analyse moderner Mal-
ware-Bedrohungen. VMRay schließt Lücken in der vorhandenen Security-Umgebung des Unternehmens und
wehrt Bedrohungen ab, die von anderen Sicherheitslösungen nicht erkannt werden.
Weltweit vertrauen Unternehmen und Organisationen mit hohen Cybersicherheitsanforderungen auf VMRay
Technologien. Zum Kundenkreis zählen global agierende Finanz- und Versicherungsunternehmen, Industrie-
und Technologiekonzerne, führende Wirtschaftsprüfungsunternehmen, sowie Behörden, Regierungs- und
Forschungseinrichtungen.
Die VMRay Plattform umfasst drei Lösungen, die auf spezifische Incident Response- und SOC-Anforderun-
gen ausgerichtet sind:
Der Gold Standard für die dy- Ergänzt vorhandene Email- Skaliert die automatisierte
namische Analyse moderner Security-Lösungen und Erkennung von Malware über
Malware liefert Bedrohungs- identifiziert Email-basierte das gesamte Unternehmen
informationen in großer Angriffe, die von anderen hinweg und stellt schnelle,
Detailtiefe und unterstützt Systemen nicht erkannt und präzise Verdikte zum Schad-
IR-Teams bei der Erkennung abgefangen werden. potenzial der untersuchten
komplexer Angriffe. Malware-Samples bereit.
www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten. - 5/5 -Sie können auch lesen
