CYBER-RESILIENZ FÜR DEN FINANZSEKTOR

Die Seite wird erstellt Paul-Luca Schneider
 
WEITER LESEN
CYBER-RESILIENZ FÜR DEN FINANZSEKTOR
CYBER-RESILIENZ FÜR DEN FINANZSEKTOR
Cyber-Resilienz für den Finanzsektor

   Mit modernernen Sandboxing-Technologien
    modernen Malware-Angriffen begegnen
Mit dem hohen Grad an Digitalisierung im Finanzsektor hat sich auch der Bankraub digitalisiert. Das Thema
ist von großer Tragweite, denn ein erfolgreicher Cyberangriff auf einen Finanzmarktakteur bedeutet nicht nur
Imageschaden und wirtschaftliche Einbußen für das betroffene Unternehmen: durch die enge Vernetzung
können regelrechte Domino-Effekte entstehen, die im schlimmsten Fall die Funktionsfähigkeit der gesamten
                             Finanzmarktinfrastruktur in Mitleidenschaft ziehen.

FINANZSEKTOR IM                             REGULATORISCHE UND                     Zudem sollen Finanzinstitute Er-
VISIER: VIELFÄLTIGE                         GESETZLICHE VORGABEN                   kennungsmaßnahmen zur Fest-
BEDROHUNGSLANDSCHAFT                        Der europäische Finanzsektor un-       stellung möglicher Datenlecks,
Angreifer nutzen mittlerweile eine          terliegt den strengen regulatori-      schädlichem Code und sonstiger
Vielzahl ausgeklügelter Vorgehens­          schen Vorgaben nationaler und in-      Sicherheitsrisiken sowie von öf-
weisen, um die Sicherheitsvorkeh-           ternationaler Aufsichtsbehörden,       fentlich bekannten Schwachstel-
rungen der F­ inanzinstitute auszu-         die eine Erhöhung der Cyber-Resi-      len von Software und Hardware
hebeln. Die Bandbreite reicht von           lienz im Finanzumfeld einfordern.      einführen.
Banking Trojanern und Überwei-
sungsbetrug durch ­Spear-Phishing,          So empfiehlt die European Banking      Neben den europäischen und na-
über Ransomware und netzwerkba­             Authority (EBA) in ­ihren Leitlinien   tionalen Leitlinien verlangt zudem
sierte Malware-Angriffe auf Geld-           die Umsetzung eines gestaffel-         die DSGVO (Europäische Daten-
automaten bis hin zu Sabotage               ten Sicherheitskonzepts (Defen-        schutz-Grundverordnung) geeig-
mithilfe von DDoS-Angriffen und             ce-in-Depth). Hierbei sollen Si-       nete Sicherheitsvorkehrungen im
Wiper-Attacken, die darauf abzie-           cherheitsmaßnahmen (Controls)          Umgang mit personenbezogenen
len, ganze Datenbestände zu lö-             über mehrere Ebenen eingeführt         Daten und stellt bei Verstößen
schen.                                      werden, die Personen, Prozesse         empfindliche Strafen in Aussicht.
                                            und die Technologie umfassen.
Die Finanzbranche zählt in allen In-
dustrienationen zu den kritischen           Jede Ebene dient dabei als Sicher-
Infrastrukturen (KRITIS), deren Ver-        heitsnetz für die ­vorhergehende
sorgungsdienstleistungen wichtig            Ebene. Der gestaffelte ­Ansatz soll
für das reibungslose Funktionie-            zudem so verstanden ­werden, dass
ren des Gemeinwesens sind. Da               ein Risiko durch mehrere Sicher-
wundert es nicht, dass die Finanz-          heitsmaßnahmen abgesichert wird,
marktbehörden die Unternehmen               zum Beispiel durch Zwei-Faktor-Au-
auffordern, einen kritischen Blick          thentifizierung zusätzlich zu Netz-
auf ihre Cybersicherheitskonzepte           werksegmentierung und mehrfa-
zu werfen.                                  chen Firewalls.

www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten.   - 2/5 -
Cyber-Resilienz für den Finanzsektor

                        Nationale Richtlinien in Deutschland, Österreich und der Schweiz

   In Deutschland gibt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihren Mindest-
   anforderungen an das Risikomanagement (MaRisk) vor, dass für IT-Risiken angemessene Überwa-
   chungs- und Steuerungsprozesse einzurichten sind. Diese sollten insbesondere die Festlegung von
   IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleite-
   te Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risiko-
                                      behandlung und -minderung umfassen.

   In Österreich gelten die Empfehlungen seitens der Finanzmarktaufsicht (FMA), die im Leitfaden für IT-
   Sicherheit in Kreditinstituten konkretisiert werden und den Leitlinien der European Banking Authority
   folgen. Der FMA-Leitfaden gibt unter anderem vor, dass Institute über angemessene Verfahren, Prozes-
   se und technisch-organisatorische Maßnahmen verfügen sollten, um Daten vor Verlust und Beschädi-
     gung zu schützen. Gleiches gilt für den Schutz vor Malware, Datendiebstahl und Cyberkriminalität.

   In der Schweiz gelten die Vorgaben der Eidgenössischen Finanzmarktaufsicht (FINMA). Cyberrisiken
   stehen dabei besonders im Fokus des FINMA Rundschreibens RS 2008/21, das eine zeitnahe Erken-
   nung und Aufzeichnung von Cyberattacken fordert. Finanzinstitute müssen eine geeignete Aufbau- und
   Ablauforganisation konzipieren, um eine 24/7 Erkennung von Cyberattacken gewährleisten zu können.

BEST PRACTICES FÜR                          werden unterschiedliche Typen            der SOC- und IR-Teams (SOC und
HOHE CYBER-RESILIENZ                        von Malware zusammengefasst:             Incident Response). Die Gründe
Ausschlaggebend für eine hohe Cy-           dazu gehören bislang unbekannte          können in einer unbefriedigenden
ber-Resilienz ist unter anderem das         Bedrohungen (Zero-Day Malware),          Erkennungsrate liegen, mit zu vie-
lückenlose Ineinandergreifen der            hochentwickelte, evasive Malware         len False Positives (unnötige Fehl-
verschiedenen Security-Maßnah-              (z.B. polymorphe und metamorphe          alarme) oder zu vielen False Nega-
men. Diese sollten ein engmaschi-           Malware) sowie komplexe, zielge-         tives (Malware gelangt ins Firmen-
ges, mehrschichtiges System bil-            richtete Angriffe (z.B. politisch mo-    netz). Auch entspricht die Qualität
den, in dem eine Cyberbedrohung,            tivierte Attacken). Diese Bedrohun-      der Analyse-Reports häufig nicht
falls sie einer Security-Instanz ent-       gen sind mit anderen Sicherheits-        den Anforderungen oder es fehlen
geht, von einer anderen aufgehal-           komponenten nicht zu erkennen.           Automatisierungsfunktionen, um
ten wird. Zu den gängigsten Kom-                                                     die Erkennungs- und Analysepro-
ponenten eines solch mehrschich-                                                     zesse effizienter zu gestalten.
tigen Systems gehören Firewalls,            WAS EINE SANDBOX
Endpoint-Security-Lösungen, Int-            KÖNNEN SOLLTE
rusion Prevention Systems (IPS),            In einer Sandbox werden verdäch-
Intrusion Detection Systems (IDS),          tige Dateien in einer abgesicherten
Email- und Web-Gateways, Ver-               Umgebung ausgeführt und analy-
fahren zur Zugangs- und Berechti-           siert. Falls sich die Datei als Mal-
gungskontrolle, aber auch Konzep-           ware herausstellt, kann das Secu-
te wie Netzwerksegmentierung.               rity Team umgehend die Systeme
Eine weitere wichtige Komponente            gegen die neu erkannte Gefahr
sind Sandboxing-Technologien. Sie           härten. Sandboxing-Lösungen sind
spielen eine entscheidende Rolle,           fester Bestandteil einer jeden aus-
wenn es um die Erkennung und                gereiften Cybersecurity-Architek-
Analyse von Advanced Malware                tur. Doch nicht immer erfüllt die ein-
geht. Unter diesem Oberbegriff              gesetzte Sandbox die Erwartungen

www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten.   - 3/5 -
Cyber-Resilienz für den Finanzsektor

EINE SANDBOXING-LÖSUNG, DIE DEN HOHEN ANFORDERUNGEN IM FINANZSEKTOR GENÜGEN
SOLL, MUSS DAHER DIE FOLGENDEN KRITERIEN ERFÜLLEN:

HOHE RESISTENZ GEGEN                        Einblick in die Aktionen und das        tors of Compromise) aus der Mas-
SANDBOX EVASION                             Verhalten einer suspekten Datei         se forensischer Daten erstecken,
Viele gängige Sandboxing-Metho-             ermöglichen, darf dabei aber kein       denn in vielen Security Teams wer-
den hinterlassen in der Analyse-            irrelevantes Hintergrundrauschen        den IoCs immer noch manuell ge-
Umgebung deutliche Zeichen, die             aus der Systemumgebung beinhal-         neriert – ein zeitaufwändiger Vor-
moderne Malware erkennen lässt,             ten. Oft sind Reports zu oberfläch-     gang, der erfahrene Threat Analys-
dass sie unter Beobachtung steht.           lich und lückenhaft, d.h. es fehlten    ten voraussetzt.
Die Schadsoftware wird nun versu-           essenzielle Informationen über die
chen, durch Vortäuschen harmlo-             Interaktionen der Malware mit dem       GENERIERUNG UND
sen Verhaltens der Entdeckung zu            Zielsystem oder aber das genaue         BEREITSTELLUNG VON
entgehen (Sandbox Evasion). Den             Gegenteil ist der Fall - die Informa-   THREAT INTELLIGENCE
Verschleierungstaktiken der Mal-            tionen sind zwar vorhanden, sie         Die Sandboxing-Lösung sollte dar-
ware kann durch den Einsatz einer           sind jedoch zwischen dem eben-          über hinaus in der Lage sein, hoch-
innovativen, Hypervisorbasierten            falls dokumentierten legitimen          präzise, zuverlässige Bedro-hungs-
Sandbox begegnet werden. Hier er-           Hintergrundrauschen des Systems         informationen (Threat Intelligence)
folgt die Beobachtung von außer-            nur mit Mühe zu erkennen. Ein Bei-      zu generieren und in der vorhande-
halb der Analyse-Umgebung (aus              spiel: wird bei einer Malware-Ana-      nen Security-Umgebung bereitzu-
der Hypervisor-Schicht heraus)              lyse ein Microsoft Word-Dokument        stellen, um beispielsweise Blockie-
und bleibt für die Schadsoftware            unter die Lupe genommen, dann           rungen von Endpoints und andere
unsichtbar. So entfalten sich An-           sollten die gerechtfertigten Interak-   Sicherheitsmaßnahmen auszulö-
griffe in der Sandbox, die sich nor-        tionen der Anwendung mit der Sys-       sen. Um die Integration in die Se-
malerweise der Erkennung entzie-            temumgebung keinesfalls im Re-          curity-Umgebung zu vereinfachen,
hen würden. Um zielgerichtete An-           port erscheinen. Je nach Sandbox        sollte eine Vielzahl von Out-of-the-
griffe aufzudecken, die nur auf den         kann das Signal-Rausch-Verhältnis       Box Konnektoren zur Verfügung
Rechnern des anvisierten Finanz-            jedoch bis zu 1:100 betragen. Wer-      stehen.
instituts aktiv werden und deshalb          den Nutzsignale durch Rauschen
nach entsprechenden Merkmalen               in solchem Ausmaß verwässert,           UNTERSTÜTZUNG VON
suchen, ist es erforderlich, die rea-       wird es sehr schwierig, Angriffs-       COMPLIANCE-VORGABEN
le Umgebung so detailgetreu wie             vektoren aufzudecken.                   ZUR DATENHALTUNG
möglich nachzubilden. Die Sand-                                                     Compliance-Anforderungen spie-
                                 AUTOMATISIERUNG VON
box sollte deshalb in der Lage sein,                                                len insbesondere bei Cloud-ba-
Golden Images mit der Standard-  ERKENNUNGS- UND                                    sierten Sandboxing-Technologien
Konfiguration des Unternehmens   ANALYSEVORGÄNGEN                                   eine Rolle, denn Bedrohungsdaten
zu nutzen und mithilfe von Geo-  Entlastung der SOC- und IR-Teams                   können auch direkten oder indi-
Location-Einstellungen Unterneh- sowie Effizienzgewinn durch Pro-                   rekten Personenbezug aufweisen.
mensrechner in unterschiedlichen zessautomatisierung sind weite-                    Dies ist besonders wichtig für Un-
Ländern zu simulieren.           re wichtige Kriterien in Zeiten von                ternehmen in regulierten Branchen,
                                 Fachkräftemangel und dünner Per-                   die verpflichtet sind, die Kontrolle
ELIMINIEREN VON                  sonaldecke. Automati-sierte Erken-                 darüber zu haben, wo ihre Daten
HINTERGRUNDRAUSCHEN              nungsprozesse sind skalierbar, so-                 gespeichert werden. Die Nutzung
UND FEHLALARMEN                  dass auch Teams mit geringer Per-                  DSGVO-konformer Rechenzentren
Ausgefeiltes Monitoring und hohe sonalstärke den stetigen Anstieg                   innerhalb der EU ist deshalb ein
Report-Qualität sind weitere es- im Malwareaufkommen bewälti-                       weiterer Punkt, der bei der Wahl
senzielle Kriterien bei der Wahl gen können. Dabei sollte sich die                  einer Sandboxing-Lösung beach-
einer Sandbox-Lösung. Ein Analy- Automatisierung auch auf die Ex-                   tet werden sollte.
se-Report muss einen granularen traktion zuverlässiger IoCs (Indica-

www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten.   - 4/5 -
Cyber-Resilienz für den Finanzsektor

FAZIT
Die komplexe Cyberbedrohungslage kann nur beherrscht werden, wenn Incident-Response-Abteilungen und
Security Operation Center ihre Maßnahmen zur Erkennung und Abwehr von Angriffen optimieren können. Dies
wird deutlich durch die Ergebnisse der Untersuchung „Improving the Effectiveness of the Security Operations
Center“ des Ponemon-Institutes: Mehr als die Hälfte der Befragten (53 Prozent) bewertet die Fähigkeit ihres
SOCs, Beweise zu sammeln, Nachforschungen anzustellen und die Quelle von Bedrohungen zu finden, als
ineffizient. Die SOC-Teams haben Schwierigkeiten, Bedrohungen zu identifizieren, weil sie zu viele Indicators
of Compromise (IOCs) verfolgen müssen, zu wenig interne Ressourcen und Know-how zu Verfügung stehen
und zu viele Fehlalarme auftreten.

Der Einsatz einer geeigneten Sandboxing-Lösung als Spezialwerkzeug zur Erkennung und Analyse von Advan-
ced Malware gewinnt in diesem Zusammenhang umso mehr an Bedeutung.

ÜBER VMRAY
VMRay bietet die branchenweit präziseste Lösung zur automatisierten Erkennung und Analyse moderner Mal-
ware-Bedrohungen. VMRay schließt Lücken in der vorhandenen Security-Umgebung des Unternehmens und
wehrt Bedrohungen ab, die von anderen Sicherheitslösungen nicht erkannt werden.

Weltweit vertrauen Unternehmen und Organisationen mit hohen Cybersicherheitsanforderungen auf VMRay
Technologien. Zum Kundenkreis zählen global agierende Finanz- und Versicherungsunternehmen, Industrie-
und Technologiekonzerne, führende Wirtschaftsprüfungsunternehmen, sowie Behörden, Regierungs- und
Forschungseinrichtungen.

Die VMRay Plattform umfasst drei Lösungen, die auf spezifische Incident Response- und SOC-Anforderun-
                                       gen ausgerichtet sind:

      Der Gold Standard für die dy-              Ergänzt vorhandene Email-       Skaliert die automatisierte
      namische Analyse moderner                    Security-Lösungen und        Erkennung von Malware über
      Malware liefert Bedrohungs-                identifiziert Email-basierte    das gesamte Unternehmen
        informationen in großer                   Angriffe, die von anderen      hinweg und stellt schnelle,
       Detailtiefe und unterstützt              Systemen nicht erkannt und      präzise Verdikte zum Schad-
      IR-Teams bei der Erkennung                    abgefangen werden.           potenzial der untersuchten
          komplexer Angriffe.                                                     Malware-Samples bereit.

www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten.   - 5/5 -
Sie können auch lesen