CYBER-RESILIENZ FÜR DEN FINANZSEKTOR
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Cyber-Resilienz für den Finanzsektor Mit modernernen Sandboxing-Technologien modernen Malware-Angriffen begegnen Mit dem hohen Grad an Digitalisierung im Finanzsektor hat sich auch der Bankraub digitalisiert. Das Thema ist von großer Tragweite, denn ein erfolgreicher Cyberangriff auf einen Finanzmarktakteur bedeutet nicht nur Imageschaden und wirtschaftliche Einbußen für das betroffene Unternehmen: durch die enge Vernetzung können regelrechte Domino-Effekte entstehen, die im schlimmsten Fall die Funktionsfähigkeit der gesamten Finanzmarktinfrastruktur in Mitleidenschaft ziehen. FINANZSEKTOR IM REGULATORISCHE UND Zudem sollen Finanzinstitute Er- VISIER: VIELFÄLTIGE GESETZLICHE VORGABEN kennungsmaßnahmen zur Fest- BEDROHUNGSLANDSCHAFT Der europäische Finanzsektor un- stellung möglicher Datenlecks, Angreifer nutzen mittlerweile eine terliegt den strengen regulatori- schädlichem Code und sonstiger Vielzahl ausgeklügelter Vorgehens schen Vorgaben nationaler und in- Sicherheitsrisiken sowie von öf- weisen, um die Sicherheitsvorkeh- ternationaler Aufsichtsbehörden, fentlich bekannten Schwachstel- rungen der F inanzinstitute auszu- die eine Erhöhung der Cyber-Resi- len von Software und Hardware hebeln. Die Bandbreite reicht von lienz im Finanzumfeld einfordern. einführen. Banking Trojanern und Überwei- sungsbetrug durch Spear-Phishing, So empfiehlt die European Banking Neben den europäischen und na- über Ransomware und netzwerkba Authority (EBA) in ihren Leitlinien tionalen Leitlinien verlangt zudem sierte Malware-Angriffe auf Geld- die Umsetzung eines gestaffel- die DSGVO (Europäische Daten- automaten bis hin zu Sabotage ten Sicherheitskonzepts (Defen- schutz-Grundverordnung) geeig- mithilfe von DDoS-Angriffen und ce-in-Depth). Hierbei sollen Si- nete Sicherheitsvorkehrungen im Wiper-Attacken, die darauf abzie- cherheitsmaßnahmen (Controls) Umgang mit personenbezogenen len, ganze Datenbestände zu lö- über mehrere Ebenen eingeführt Daten und stellt bei Verstößen schen. werden, die Personen, Prozesse empfindliche Strafen in Aussicht. und die Technologie umfassen. Die Finanzbranche zählt in allen In- dustrienationen zu den kritischen Jede Ebene dient dabei als Sicher- Infrastrukturen (KRITIS), deren Ver- heitsnetz für die vorhergehende sorgungsdienstleistungen wichtig Ebene. Der gestaffelte Ansatz soll für das reibungslose Funktionie- zudem so verstanden werden, dass ren des Gemeinwesens sind. Da ein Risiko durch mehrere Sicher- wundert es nicht, dass die Finanz- heitsmaßnahmen abgesichert wird, marktbehörden die Unternehmen zum Beispiel durch Zwei-Faktor-Au- auffordern, einen kritischen Blick thentifizierung zusätzlich zu Netz- auf ihre Cybersicherheitskonzepte werksegmentierung und mehrfa- zu werfen. chen Firewalls. www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten. - 2/5 -
Cyber-Resilienz für den Finanzsektor Nationale Richtlinien in Deutschland, Österreich und der Schweiz In Deutschland gibt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihren Mindest- anforderungen an das Risikomanagement (MaRisk) vor, dass für IT-Risiken angemessene Überwa- chungs- und Steuerungsprozesse einzurichten sind. Diese sollten insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleite- te Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risiko- behandlung und -minderung umfassen. In Österreich gelten die Empfehlungen seitens der Finanzmarktaufsicht (FMA), die im Leitfaden für IT- Sicherheit in Kreditinstituten konkretisiert werden und den Leitlinien der European Banking Authority folgen. Der FMA-Leitfaden gibt unter anderem vor, dass Institute über angemessene Verfahren, Prozes- se und technisch-organisatorische Maßnahmen verfügen sollten, um Daten vor Verlust und Beschädi- gung zu schützen. Gleiches gilt für den Schutz vor Malware, Datendiebstahl und Cyberkriminalität. In der Schweiz gelten die Vorgaben der Eidgenössischen Finanzmarktaufsicht (FINMA). Cyberrisiken stehen dabei besonders im Fokus des FINMA Rundschreibens RS 2008/21, das eine zeitnahe Erken- nung und Aufzeichnung von Cyberattacken fordert. Finanzinstitute müssen eine geeignete Aufbau- und Ablauforganisation konzipieren, um eine 24/7 Erkennung von Cyberattacken gewährleisten zu können. BEST PRACTICES FÜR werden unterschiedliche Typen der SOC- und IR-Teams (SOC und HOHE CYBER-RESILIENZ von Malware zusammengefasst: Incident Response). Die Gründe Ausschlaggebend für eine hohe Cy- dazu gehören bislang unbekannte können in einer unbefriedigenden ber-Resilienz ist unter anderem das Bedrohungen (Zero-Day Malware), Erkennungsrate liegen, mit zu vie- lückenlose Ineinandergreifen der hochentwickelte, evasive Malware len False Positives (unnötige Fehl- verschiedenen Security-Maßnah- (z.B. polymorphe und metamorphe alarme) oder zu vielen False Nega- men. Diese sollten ein engmaschi- Malware) sowie komplexe, zielge- tives (Malware gelangt ins Firmen- ges, mehrschichtiges System bil- richtete Angriffe (z.B. politisch mo- netz). Auch entspricht die Qualität den, in dem eine Cyberbedrohung, tivierte Attacken). Diese Bedrohun- der Analyse-Reports häufig nicht falls sie einer Security-Instanz ent- gen sind mit anderen Sicherheits- den Anforderungen oder es fehlen geht, von einer anderen aufgehal- komponenten nicht zu erkennen. Automatisierungsfunktionen, um ten wird. Zu den gängigsten Kom- die Erkennungs- und Analysepro- ponenten eines solch mehrschich- zesse effizienter zu gestalten. tigen Systems gehören Firewalls, WAS EINE SANDBOX Endpoint-Security-Lösungen, Int- KÖNNEN SOLLTE rusion Prevention Systems (IPS), In einer Sandbox werden verdäch- Intrusion Detection Systems (IDS), tige Dateien in einer abgesicherten Email- und Web-Gateways, Ver- Umgebung ausgeführt und analy- fahren zur Zugangs- und Berechti- siert. Falls sich die Datei als Mal- gungskontrolle, aber auch Konzep- ware herausstellt, kann das Secu- te wie Netzwerksegmentierung. rity Team umgehend die Systeme Eine weitere wichtige Komponente gegen die neu erkannte Gefahr sind Sandboxing-Technologien. Sie härten. Sandboxing-Lösungen sind spielen eine entscheidende Rolle, fester Bestandteil einer jeden aus- wenn es um die Erkennung und gereiften Cybersecurity-Architek- Analyse von Advanced Malware tur. Doch nicht immer erfüllt die ein- geht. Unter diesem Oberbegriff gesetzte Sandbox die Erwartungen www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten. - 3/5 -
Cyber-Resilienz für den Finanzsektor EINE SANDBOXING-LÖSUNG, DIE DEN HOHEN ANFORDERUNGEN IM FINANZSEKTOR GENÜGEN SOLL, MUSS DAHER DIE FOLGENDEN KRITERIEN ERFÜLLEN: HOHE RESISTENZ GEGEN Einblick in die Aktionen und das tors of Compromise) aus der Mas- SANDBOX EVASION Verhalten einer suspekten Datei se forensischer Daten erstecken, Viele gängige Sandboxing-Metho- ermöglichen, darf dabei aber kein denn in vielen Security Teams wer- den hinterlassen in der Analyse- irrelevantes Hintergrundrauschen den IoCs immer noch manuell ge- Umgebung deutliche Zeichen, die aus der Systemumgebung beinhal- neriert – ein zeitaufwändiger Vor- moderne Malware erkennen lässt, ten. Oft sind Reports zu oberfläch- gang, der erfahrene Threat Analys- dass sie unter Beobachtung steht. lich und lückenhaft, d.h. es fehlten ten voraussetzt. Die Schadsoftware wird nun versu- essenzielle Informationen über die chen, durch Vortäuschen harmlo- Interaktionen der Malware mit dem GENERIERUNG UND sen Verhaltens der Entdeckung zu Zielsystem oder aber das genaue BEREITSTELLUNG VON entgehen (Sandbox Evasion). Den Gegenteil ist der Fall - die Informa- THREAT INTELLIGENCE Verschleierungstaktiken der Mal- tionen sind zwar vorhanden, sie Die Sandboxing-Lösung sollte dar- ware kann durch den Einsatz einer sind jedoch zwischen dem eben- über hinaus in der Lage sein, hoch- innovativen, Hypervisorbasierten falls dokumentierten legitimen präzise, zuverlässige Bedro-hungs- Sandbox begegnet werden. Hier er- Hintergrundrauschen des Systems informationen (Threat Intelligence) folgt die Beobachtung von außer- nur mit Mühe zu erkennen. Ein Bei- zu generieren und in der vorhande- halb der Analyse-Umgebung (aus spiel: wird bei einer Malware-Ana- nen Security-Umgebung bereitzu- der Hypervisor-Schicht heraus) lyse ein Microsoft Word-Dokument stellen, um beispielsweise Blockie- und bleibt für die Schadsoftware unter die Lupe genommen, dann rungen von Endpoints und andere unsichtbar. So entfalten sich An- sollten die gerechtfertigten Interak- Sicherheitsmaßnahmen auszulö- griffe in der Sandbox, die sich nor- tionen der Anwendung mit der Sys- sen. Um die Integration in die Se- malerweise der Erkennung entzie- temumgebung keinesfalls im Re- curity-Umgebung zu vereinfachen, hen würden. Um zielgerichtete An- port erscheinen. Je nach Sandbox sollte eine Vielzahl von Out-of-the- griffe aufzudecken, die nur auf den kann das Signal-Rausch-Verhältnis Box Konnektoren zur Verfügung Rechnern des anvisierten Finanz- jedoch bis zu 1:100 betragen. Wer- stehen. instituts aktiv werden und deshalb den Nutzsignale durch Rauschen nach entsprechenden Merkmalen in solchem Ausmaß verwässert, UNTERSTÜTZUNG VON suchen, ist es erforderlich, die rea- wird es sehr schwierig, Angriffs- COMPLIANCE-VORGABEN le Umgebung so detailgetreu wie vektoren aufzudecken. ZUR DATENHALTUNG möglich nachzubilden. Die Sand- Compliance-Anforderungen spie- AUTOMATISIERUNG VON box sollte deshalb in der Lage sein, len insbesondere bei Cloud-ba- Golden Images mit der Standard- ERKENNUNGS- UND sierten Sandboxing-Technologien Konfiguration des Unternehmens ANALYSEVORGÄNGEN eine Rolle, denn Bedrohungsdaten zu nutzen und mithilfe von Geo- Entlastung der SOC- und IR-Teams können auch direkten oder indi- Location-Einstellungen Unterneh- sowie Effizienzgewinn durch Pro- rekten Personenbezug aufweisen. mensrechner in unterschiedlichen zessautomatisierung sind weite- Dies ist besonders wichtig für Un- Ländern zu simulieren. re wichtige Kriterien in Zeiten von ternehmen in regulierten Branchen, Fachkräftemangel und dünner Per- die verpflichtet sind, die Kontrolle ELIMINIEREN VON sonaldecke. Automati-sierte Erken- darüber zu haben, wo ihre Daten HINTERGRUNDRAUSCHEN nungsprozesse sind skalierbar, so- gespeichert werden. Die Nutzung UND FEHLALARMEN dass auch Teams mit geringer Per- DSGVO-konformer Rechenzentren Ausgefeiltes Monitoring und hohe sonalstärke den stetigen Anstieg innerhalb der EU ist deshalb ein Report-Qualität sind weitere es- im Malwareaufkommen bewälti- weiterer Punkt, der bei der Wahl senzielle Kriterien bei der Wahl gen können. Dabei sollte sich die einer Sandboxing-Lösung beach- einer Sandbox-Lösung. Ein Analy- Automatisierung auch auf die Ex- tet werden sollte. se-Report muss einen granularen traktion zuverlässiger IoCs (Indica- www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten. - 4/5 -
Cyber-Resilienz für den Finanzsektor FAZIT Die komplexe Cyberbedrohungslage kann nur beherrscht werden, wenn Incident-Response-Abteilungen und Security Operation Center ihre Maßnahmen zur Erkennung und Abwehr von Angriffen optimieren können. Dies wird deutlich durch die Ergebnisse der Untersuchung „Improving the Effectiveness of the Security Operations Center“ des Ponemon-Institutes: Mehr als die Hälfte der Befragten (53 Prozent) bewertet die Fähigkeit ihres SOCs, Beweise zu sammeln, Nachforschungen anzustellen und die Quelle von Bedrohungen zu finden, als ineffizient. Die SOC-Teams haben Schwierigkeiten, Bedrohungen zu identifizieren, weil sie zu viele Indicators of Compromise (IOCs) verfolgen müssen, zu wenig interne Ressourcen und Know-how zu Verfügung stehen und zu viele Fehlalarme auftreten. Der Einsatz einer geeigneten Sandboxing-Lösung als Spezialwerkzeug zur Erkennung und Analyse von Advan- ced Malware gewinnt in diesem Zusammenhang umso mehr an Bedeutung. ÜBER VMRAY VMRay bietet die branchenweit präziseste Lösung zur automatisierten Erkennung und Analyse moderner Mal- ware-Bedrohungen. VMRay schließt Lücken in der vorhandenen Security-Umgebung des Unternehmens und wehrt Bedrohungen ab, die von anderen Sicherheitslösungen nicht erkannt werden. Weltweit vertrauen Unternehmen und Organisationen mit hohen Cybersicherheitsanforderungen auf VMRay Technologien. Zum Kundenkreis zählen global agierende Finanz- und Versicherungsunternehmen, Industrie- und Technologiekonzerne, führende Wirtschaftsprüfungsunternehmen, sowie Behörden, Regierungs- und Forschungseinrichtungen. Die VMRay Plattform umfasst drei Lösungen, die auf spezifische Incident Response- und SOC-Anforderun- gen ausgerichtet sind: Der Gold Standard für die dy- Ergänzt vorhandene Email- Skaliert die automatisierte namische Analyse moderner Security-Lösungen und Erkennung von Malware über Malware liefert Bedrohungs- identifiziert Email-basierte das gesamte Unternehmen informationen in großer Angriffe, die von anderen hinweg und stellt schnelle, Detailtiefe und unterstützt Systemen nicht erkannt und präzise Verdikte zum Schad- IR-Teams bei der Erkennung abgefangen werden. potenzial der untersuchten komplexer Angriffe. Malware-Samples bereit. www.vmray.com | © 2021 VMRay GmbH. Alle Rechte vorbehalten. - 5/5 -
Sie können auch lesen