Malware-Abwehr - Special Malware-Schleuder: Cloud Expo Europe Frankfurt
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Verlagsbeilage, August 2021
Die Zeitschrift für Informations-Sicherheit
Special
Malware-
Schleuder:
Wie Cloud-Dienste
missbraucht
werden
S. 11
Sandboxing:
In die Jahre
gekommen oder
noch aktuell?
S. 14
Malware-
Abwehr
Sophos stoppt
Cyberangriffe.
Mehr erfahren: www.sophos.de
Die Evolution der Cybersecurity.
Inhalt
E-Mail-Continuity für den Ernstfall „Fileless Malware“ auf den Zahn
In der Regel sind Security-Lösungen zuverlässig und erken-
gefühlt
nen den Großteil der Malware. Doch was tun, wenn die
Da die meisten modernen Endpoint-Protection-Lösungen
E-Mail-Infrastruktur tatsächlich von einem Virus lahmgelegt
heute in der Lage sind, klassische Malware – die herunterge-
wurde? Moderne Cloud-Lösungen für E-Mail-Continuity
laden und auf dem Endpunkt abgelegt wird – zu identifizie-
schaffen Abhilfe. Seite 4
ren, kommt immer häufiger sogenannte „Fileless Malware“
zum Einsatz, die keinerlei Spuren im Systemspeicher hinter-
Wenn es beim Dienstleister brennt lässt. Grund genug, sich genauer mit diesem Thema zu
Anfang Juli haben Kriminelle eine bis dahin unbekannte befassen. Seite 22
Sicherheitslücke in einer Remote-Monitoring- und Manage-
mentsoftware des US-Herstellers Kaseya benutzt, um
Wieso es wichtig ist, eine Cyber-
Ransomware zu verteilen. Betroffen waren weniger als 0,2
Prozent der Kaseya-Kunden – die Auswirkungen waren trotz- security-Kultur im Unternehmen
dem immens. Seite 8 zu etablieren
Cyberangriffe sind so erfolgreich wie nie – und das obwohl
Wie und warum Malware immer Unternehmen sehr viel Geld in Abwehrmaßnahmen inves-
häufiger über die Cloud verteilt wird tieren. Umso wichtiger ist es, den Faktor Mensch im Sicher-
Im vierten Quartal 2020 lag der Anteil von Malware-Down- heitskonzept nicht zu vernachlässigen. Dafür braucht es aber
loads, die über Cloud-Apps verteilt wurden, bereits bei 61 % . mehr als klassische Awareness-Schulungen. Seite 24
Unser Beitrag beleuchtet die zunehmenden Gefahren.
Seite 10 News und Produkte Seite 28
XDR: Präventiver Schutz vor Mal- Impressum Seite 30
ware durch KI und Automatisierung Mitherausgeber
Cyberkriminelle und Hacker entwickeln ihre Malware stets
weiter und versehen sie mit Funktionen, die sie noch kom-
plexer und schwerer erkennbar machen. Den idealen Schutz
vor derartigen Bedrohungen liefert das Sicherheitskonzept
XDR mit seiner schnellen und automatischen Bedrohungser-
kennung dank künstlicher Intelligenz. Seite 12
In die Jahre gekommen oder immer
noch aktuell?
Sandboxes haben mittlerweile einen zentralen Platz in der
Sicherheitsumgebung des Unternehmens, eng integriert mit
SOC-Technologien wie SIEM und SOAR sowie Endpoint- und
Netzwerksicherheitslösungen. Sandbox-Lösungen erbringen
Integrations- und Automatisierungsleistungen und erhöhen
die Wirksamkeit des gesamten Security-Stacks. Seite 14
Gute Gründe für EDR
Im aktuellen Hype um EDR-Tools ist es oft gar nicht so
einfach zu verstehen, wofür genau EDR eigentlich genutzt
werden sollte – und warum. Der Artikel zeigt die wichtigsten
Gründe auf, warum Unternehmen eine EDR-Lösung in Be-
tracht ziehen sollten. Seite 17
Kombinierte Lösungen schützen
vor dunkler Seite der IT
„Cybercrime-as-a-Service“ ist auf dem Vormarsch. Dahinter
steckt ein enormes Schadensrisiko. Welche präventiven Maß-
nahmen und Schritte bieten Behörden sowie kleinen und
mittleren Unternehmen (KMU) Schutz vor Malware
und Co.? Seite 20
© DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021 3
Management und Wissen
Business-Kommunikation
E-Mail-Continuity für den Ernstfall
In der Regel sind Security-Lösungen zuverlässig und erkennen den Großteil der Malware, noch
bevor diese ins Netzwerk gelangt. Einen hundertprozentigen Schutz vor Angriffen gibt es al-
lerdings nie. Doch was tun, wenn die E-Mail-Infrastruktur tatsächlich von einem Virus lahmge-
legt wurde und wichtige Geschäftsprozesse zum Erliegen kommen? Moderne Cloud-Lösungen
für E-Mail-Continuity schaffen Abhilfe.
Von Sören Schulte, retarus GmbH
In neun von zehn Fällen ist Bestellungen und Rechnungen, auch Hardware-Crashs, der Ausfall
E-Mail nach wie vor das Einfallstor effizient und zeitnah abwickeln zu des E-Mail-Servers oder nicht er-
für Malware. Gezielte Malware- können. Je nach betroffenem Ge- reichbare Cloud-Dienste zu einer
Angriffe können schnell die kom- schäftsbereich, Intensität und Dauer lahmgelegten E-Mail-Infrastruktur.
plette E-Mail-Infrastruktur und der Betriebsunterbrechung gehen Um trotzdem weiter kommunizieren
somit ganze Geschäftsprozesse die Kosten für Ausfälle schnell in die zu können und ihr Geschäft somit
lahmlegen. Denn Unternehmen Millionen. Auch der Imageschaden am Laufen zu halten, sollten sich
sind stark von der digitalen Kom- für Betroffene ist enorm. So führte Unternehmen im Rahmen ihrer
munikation mit Kollegen, Kunden vor wenigen Monaten etwa die An- Disaster-Recovery-Strategie mit einer
und Dienstleistern abhängig, um griffswelle über eine Sicherheitslücke Failover-Lösung ausstatten.
zentrale Workflows, wie Aufträge, in Microsoft Exchange dazu, dass die
EU-Bankenaufsichtsbehörde EBA ihr Erreichbar und produktiv
E-Mail-System zwei Tage lang vom bleiben
Netz nehmen musste. Auch das
Das Webmail-Portal
muss ohne technische
Klinikum Fürth musste aufgrund Unter dem Begriff E-Mail-
Hürden von überall eines Trojaners, der per E-Mail in die Continuity laufen Notfallsysteme,
zugänglich sein und Computersysteme des Krankenhau- die stets im Hintergrund aktiv sind
sich problemlos auf
mobilen Endgeräten ses eingedrungen war, zeitweise die und im Fall der Fälle einspringen
darstellen lassen. Verbindung zum Internet kappen und sicherstellen, dass die E-Mail-
und den Betrieb stark einschränken. Kommunikation des betroffenen
Vorübergehend konnten dort des- Unternehmens weiterläuft. Moderne
halb keine neuen Patienten mehr Cloud-Lösungen, wie Retarus E-Mail-
aufgenommen werden. Continuity, leiten im Bedarfsfall die
E-Mails eines Unternehmens über
Für den E-Mail-Ausfall ein unabhängiges eigenes E-Mail-
vorsorgen System und sorgen damit für die
unterbrechungsfreie Kommunika-
Die meisten modernen Se- tion mit Geschäftspartnern, Kun-
curity-Lösungen arbeiten bei regel- den und Kollegen. Dabei können
mäßigen Updates gründlich und Firmen auf spezialisierte Anbieter
zuverlässig und erkennen viele neue wie Retarus setzen, die durch eine
Gefahren rechtzeitig, doch selbst die Komplettlösung E-Mail-Continuity
besten Abwehrmechanismen bieten mit zusätzlichen Services für E-Mail-
niemals einen hundertprozentigen Security ergänzen. Dadurch sind
Schutz vor Angriffen. Darüber hinaus nicht zuletzt die Ausweich-Postfä-
führen neben Sicherheitsvorfällen cher vollumfänglich geschützt. Bei
4 © DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021
eigenen Infrastruktur ohne großen noch, wenn Exchange, ganz gleich
Aufwand an bestehende E-Mail- ob On-Premises oder in der Cloud
Konversationen anknüpfen. betrieben, großflächig ausfällt oder
gezielt angegriffen wird.
2. Mehr als nur E-Mail-
Kommunikation 4. Intuitive
Bedienbarkeit
Für die Betriebssicherheit
spielt neben der Verfügbarkeit des Die einfache Bedienbarkeit
E-Mail-Systems an sich auch der der Notfall-Postfächer sollte bei der
Zugang zu den im E-Mail-System Auswahl einer Lösung für E-Mail-
hinterlegten Daten, wie etwa wichti- Continuity ebenfalls eine Rolle
ge E-Mail-Konversationen der letzten spielen. Das Webmail-Portal muss
Wochen oder das Firmenadressbuch, ohne technische Hürden von überall
eine große Rolle. Ist der primäre zugänglich sein und sich problem-
Zugang gestört, so sind auch diese los auf mobilen Endgeräten wie
Daten nicht verfügbar und eine weit- Smartphones oder Tablets darstellen
reichende Einschränkung des Ar- lassen. Ideal ist es, wenn Nutzer sich,
beitsablaufs ist die Folge. Denn ohne beispielsweise im Homeoffice, sofort
Kontaktdaten nützt häufig auch das nach dem Login in der E-Mail-Um-
Telefon als alternativer Kommuni- gebung zurechtfinden. Dabei hilft
kationsweg nicht mehr viel, zumal es, wenn ein Dienst in der grund-
im Fall von eingesetzten Unified- legenden Bedienung an Consumer-
Um im Ernstfall nahtlos an bestehende Communication-Systemen diese in E-Mail-Dienste angelehnt ist. Diese
E-Mail-Konversationen anknüpfen zu können,
sollte die Lösung dazu in der Lage sein, auch
der Regel ebenfalls von einem Ausfall sind den Mitarbeitern vertraut, und
die E-Mail-Historie anzuzeigen. der E-Mail-Server betroffen sind. Eine es bedarf keiner Einarbeitung oder
gute E-Mail-Continuity-Lösung ist Schulung. Darüber hinaus kann
daher bereits im normalen Betrieb im
Hintergrund aktiv und wird mit den
Bedarf stehen darüber hinaus auch aktuellen Adressverzeichnissen des Kriterien bei der Auswahl
weitere modulare Optionen wie E- Unternehmens (Active Directory) einer Lösung für E-Mail-
Mail-Archivierung oder -Verschlüsse- synchronisiert, um im Notfall sofort Continuity
lung zur Verfügung. Darüber hinaus verfügbar zu sein. Je nach Konfi-
sollte eine Failover-Lösung der Wahl guration werden dann im Postfach –—— integriert: Verzahnung
folgende Kriterien erfüllen, um sich nicht nur aktuelle Kontaktdaten mit Lösungen für E-Mail-Security
in der Praxis zu bewähren: der Kollegen, sondern auch die –—— jederzeit startklar: au-
E-Mail-Historie der letzten Tage oder tomatische Provisionierung der
1. Nahtloser Übergang Wochen angezeigt. Webmail-Postfächer für Nutzer
im Ernstfall inklusive Kontakte und E-Mail-
3. Alternative zu Historie
Ist die E-Mail-Infrastruktur Exchange –—— eigenständig: „aktive“
ausgefallen, geht es zu allererst Backup-Lösung außerhalb der
darum, so schnell wie möglich Damit die E-Mail-Kommuni- eigenen E-Mail-Infrastruktur
wieder erreichbar zu sein, um wich- kation bei Ausfällen der gewohnten –—— unabhängig: keine tech-
tige Geschäftsprozesse am Laufen Infrastruktur fehlerfrei funktionieren nische Abhängigkeit der Failover-
zu halten und somit wirtschaftliche kann, sollte die Ausweichlösung bei- Lösung von Microsoft-Produkten
sowie Image-Schäden zu vermei- spielsweise als sicherer Cloud-Service –—— intuitiv: vertraute selbst-
den. Oberste Priorität hat daher ein außerhalb der unternehmenseige- erklärende Oberfläche ohne Schu-
möglichst nahtloser Übergang zum nen Systeme aufgesetzt werden. Die lungsbedarf
E-Mail-Continuity-Dienst im Ernst- meisten Unternehmen nutzen als –—— sicher und compliant:
fall. Dafür ist es erforderlich, dass die E-Mail-Server Microsoft Exchange, Local Processing, hochverfügba-
Lösung auf Anwenderseite über be- entweder selbst betrieben oder in rer Betrieb aus Rechenzentren
reits vorab provisionierte Postfächer der Microsoft 365 Cloud. Es ist daher und juristischer Hauptsitz in
verfügt, die ohne technische Hürden sinnvoll, eine Failover-Lösung auf Deutschland (Stichwort: DSGVO/
von überall zugänglich ist. Nur so Basis alternativer Produkte zu reali- US CLOUD Act)
können Mitarbeiter bei Ausfällen der sieren. So funktioniert sie auch dann
© DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021 5
Management und Wissen
Eine gute E-Mail- durch weitere, individuell auf das Allerdings müssen Unternehmen
Continuity-Lösung jeweilige Unternehmen zugeschnit- dabei im Umgang mit sensiblen
wird im normalen
tene Anpassungen, wie etwa das Daten unbedingt auf die Einhaltung
Betrieb im Hinter-
grund laufend mit gewohnte Corporate Design oder lokaler Datenschutzbestimmungen
dem Active Directory Corporate Wording, die Nutzerer- achten. Die E-Mail-Kommunikation
des Unternehmens
synchronisiert, um im
fahrung und damit die Produktivität darf auch im Notfall ausschließlich
Notfall auch Kontakt- weiter verbessert werden. über lokale Rechenzentren des
daten zu Verfügung
Service-Providers erfolgen. Die Daten
stellen zu können.
5. Datenschutz und müssen dabei stets entsprechend
Datensicherheit nationaler gesetzlicher Richtlinien
verarbeitet werden. Der betreibende
Besonders in global agieren- Dienstleister sollte demnach sowohl
den Unternehmen unterliegen Kom- das Hosting als auch das Routing
munikationsprozesse spätestens der E-Mails über hochverfügbare
seit dem Inkrafttreten der Daten- Rechenzentren in Deutschland
schutzgrundverordnung (DSGVO) vertraglich zusichern können – ins-
und den jüngsten EuGH-Urteilen besondere für Unternehmen, die in
zu Safe Harbor und Privacy Shield Deutschland aktiv sind und perso-
immer strikteren Datenschutz-Auf- nenbezogene Daten verarbeiten. n
lagen. Damit die E-Mail-Continuity-
Lösung immer auf dem aktuellen
Stand ist, bietet es sich geradezu an,
auf cloudbasierte Services zu setzen.
e-LearninG
it-sicherheit
Datensicherheit
Geschulte Mitarbeiter
machen den Unterschied!
✓ Moderation in TV-Studioqualität
✓ moderne Didaktik
✓ Dauer: 45 Minuten
✓ praxisnah und interaktiv
Jetzt informieren: elearning-mit-zertifikat.de ✓ auch in Englisch verfügbar
6 © DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021
•O
•• SECUREPOINT
Cert+
Ganzheitliche IT-Sicherheit
beginnt mit Ihnen.
• Setzen Sie auf den produktunabhängiger IT-Sicherheitsstandard
• Definieren Sie praxistaugliche Maßnahmen für den Mittelstand
• Optional: Zusatzausbildung zum zertifizierten Sachverständigen
Mit dem IT-Sicherheitsstandard Unified Security Cert+
steigern Sie die IT-Compliance Ihrer Kunden aus dem Mittelstand.
Erweitern Sie Ihren Systemhaus-Service um IT-Auditierung und
Dokumentation bis hin zu umfangreichen IT-Gutachten.
Machen Sie mehr aus Ihrem Wissen!
Jetzt informieren:
www.securepoint.de/certplus
Management und Wissen
Ransomware
Wenn es beim Dienstleister brennt
Anfang Juli haben Kriminelle eine bis dahin unbekannte Sicherheitslücke in einer Remote-
Monitoring- und Managementsoftware des US-Herstellers Kaseya benutzt, um Ransomware
zu verteilen. Betroffen waren weniger als 0,2 Prozent der Kaseya-Kunden – die Auswirkungen
waren trotzdem immens.
Von Tim Berghoff, G DATA CyberDefense AG
Das altbekannte Schweizer- Der betreuende Dienstleister kann dem Stellen einer Lösegeldforderung
Käse-Modell lehrt uns, dass mehrere nicht selbst zum Einfallstor werden. genau über die wirtschaftlichen Ver-
unterschiedliche Faktoren in der pas- hältnisse der Firmen zu informieren,
senden Konstellation zusammentref- Auch die Werkzeuge, mit deren Netzwerke sie infiltrieren. Die
fen müssen, damit ein Unglücksfall denen IT-Dienstleister die Netzwerke Forderungen belaufen sich in man-
eintritt. Zum Beispiel: Bevor eine Ran- ihrer Kunden überwachen, sind am chen Fällen auf mehrere Hunderttau-
somware im Netzwerk zuschlägt und Ende des Tages „nur“ Programme, send Dollar – pro System. Weltweit
das virtuelle Erpresserschreiben auf und als solche sind auch sie fehler- stehen Lösegeldforderungen von
den Bildschirmen im Büro erscheint, anfällig. insgesamt 50 Millionen US-Dollar
müssen mehrere Dinge schiefgegan- im Raum. Experten sind sich einig:
gen sein. Da ist möglicherweise der Das wissen sowohl Krimi- Der Angriff war koordiniert und die
Mailfilter, der vielleicht einen infi- nelle als auch staatlich finanzierte Wahl des Zeitpunktes – der ameri-
zierten Dateianhang nicht rechtzeitig Angreifergruppen. So ist es wenig kanische Unabhängigkeitstag – alles
erkannt hat. Als der Anwender oder überraschend, dass sich einige der andere als ein Zufall. Sich im Vorfeld
die Anwenderin den Anhang auf prominentesten Angriffe der letzten zu schützen – so gut wie unmöglich.
den PC heruntergeladen hat, gab es Zeit gegen Hersteller solcher Pro- Denn viele Unternehmen wissen
keinen Alarm vom Malwareschutz. gramme richten. Ende 2020 setzte nicht einmal, dass das betroffene
Denn das EDV-Team hat diesen vor der „Sunburst“-Angriff darauf, Spio- Programm bei ihnen eingesetzt
Kurzem testweise deaktiviert und nagetools in einer Netzwerkverwal- wird.
vergessen, ihn wieder einzuschalten. tungssoftware unterzubringen, die
Einem Mitarbeitenden ist beim Öff- in zahlreichen Unternehmen und Sicherheitslücken möglichst
nen der vermeintlichen Rechnung Behörden zum Einsatz kommt. schnell zu schließen, ist im Lich-
nicht aufgefallen, dass hier anders als te dieser Ereignisse eine absolute
üblich plötzlich ein Makro aktiviert Den 3. und 4. Juli hat eine Notwendigkeit. Die Rechnung ist
werden sollte. Und wenn das Netz- weitere Gruppierung nun genutzt, einfach. Im Falle von Kaseya waren
werk insgesamt eine flache, gewach- um Ransomware zu verteilen – und weniger als 0,2 Prozent der Kunden
sene Struktur hat, kann das Problem zwar mithilfe einer bis dato unbe- betroffen. Diese 0,2 Prozent haben
unbemerkt eskalieren. kannten Sicherheitslücke in einer jedoch genügt, um weltweit mindes-
Remote-Monitoring- und Manage- tens 800 Betriebe mit Ransomware zu
Viele Unternehmen sind vor mentsoftware des US-Herstellers infizieren – darunter eine schwedi-
diesem Hintergrund dazu überge- Kaseya. Diese wird von zahlreichen sche Supermarktkette mit hunderten
gangen, Teile ihrer Unternehmens-IT IT-Providern weltweit eingesetzt. Filialen sowie zahlreiche Tankstellen.
durch externe Dienstleister betreuen Nach Aussagen von Kaseya seien Die Schäden, die insgesamt durch
zu lassen. Vertrauen ist eine unver- zwar „nur“ etwa 70 Kunden von solche Angriffe entstehen, dürften
zichtbare Komponente in der Zusam- weltweit circa 38 000 betroffen – selbst ohne Datenverlust in die Hun-
menarbeit mit einem IT-Dienstleister. die meisten davon seien allerdings derte Millionen gehen. Was passiert,
Schließlich hängt letztlich das ge- Service-Provider. Diese verwalten wenn nicht 0,2, sondern 1 Prozent
samte Unternehmen davon ab, dass ihrerseits große Kundennetzwerke. oder mehr der Kaseya-Kunden be-
die IT zuverlässig funktioniert. Diese troffen gewesen wäre, wagt man
Zusammenarbeit basiert auch auf Die hauptverdächtige Täter- kaum zu denken. IT-Sicherheit ist
einer essenziellen Grundannahme: gruppe ist dafür bekannt, sich vor also heute wichtiger denn je. n
8 © DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021
WatchGuard Endpoint Security Solutions
Zuverlässiger
Schutz
für Ihre Geräte
Die Cloud-nativen WatchGuard Endpoint Security-Lösungen
schützen Unternehmen jeder Art vor aktuellen und zukünftigen
Cyberangriffen, indem sie die Endpoint Protection Platform (EPP)
und die Endpoint Detection and Response (EDR) Lösung
bereitstellen. Unsere WatchGuard Endpoint Security-Plattform
bietet umfassenden EPP- und EDR-Schutz sowie Threat Hunting
und Zero-Trust Application Services, die über einen einzigen
leichtgewichtigen Agenten bereitgestellt und über eine einzige
Oberfläche verwaltet werden.
W A T C H G U A R D E P P W A T C H G U A R D E D R W A T C H G U A R D E P D R
Endpoint Protection Platform Endpoint Detection and Response Endpoint Protection Detection and Response
WatchGuard EPP ist eine effektive WatchGuard EDR ergänzt andere WatchGuard EPDR kombiniert unser
Cloud-native Sicherheitslösung, die den EPP-Lösungen, indem es einen breites Spektrum an EPP-Technologien
Virenschutz der nächsten Generation für kompletten Stack von EDR-Funktionen mit unseren EDR-Funktionen für
alle Ihre Windows-, macOS- und hinzufügt, um die Erkennung, Computer, Laptops und Server, um
Linux-Desktops, -Laptops und -Server Eindämmung und Reaktion auf jede Bedrohungen zu erkennen, die
zentralisiert. fortschrittliche Bedrohung zu herkömmliche Lösungen nicht einmal
automatisieren. sehen können.
Threat Hunting Service Zero-Trust Application Service
©2021WatchGuard Technologies, Inc. Alle Rechte vorbehalten.
WatchGuard Technologies GmbH | watchguard.de | vertrieb@watchguard.com | +49 700 92229333
Management und Wissen
Wie und warum Malware
immer häufiger über die Cloud
verteilt wird
Im vierten Quartal 2020 lag der Anteil von Malware-Downloads, die über Cloud-Apps verteilt
wurden, bereits bei 61 Prozent. Die Beliebtheit solcher Apps zur Verbreitung von Malware ist
eine Folge der stärkeren Nutzung von Cloud-Apps in Unternehmen. Unser Beitrag beleuchtet
die zunehmenden Gefahren.
Von Frank Mild, Netskope
Jeder Cyberangriff benötigt entwickelt. Wie in der legitimen tere Sicherheitslösungen, die für rei-
eine robuste Infrastruktur, um Mal- Wirtschaft sucht auch hier jedes nen Web-Traffic konzipiert wurden
ware zu verbreiten und seine Ziele „Unternehmen“ nach neuen Wegen, und nicht API-gesteuert sind, haben
zu erreichen. Dabei werden ständig um die Einnahmen zu steigern und hier deutliche Defizite.
neue Wege, Techniken und Taktiken Kosten und Risiken zu minimieren.
entwickelt, um die Verfügbarkeit und Entsprechend haben auch Cyber- Selbstverständlich kennen
Resilienz zu verbessern. Domain-Ge- kriminelle die Vorteile der Cloud Angreifer diese Lücken in traditionel-
nerierungsalgorithmen, Fast-Flux- erkannt und nutzen sie, um schwer len Sicherheitsansätzen und nutzen
Botnets, Peer-to-Peer-Protokolle identifizierbare Angriffe durchzufüh- diese aus. Heute machen Cloud-
und Anonymisierer sind nur einige ren. Das hat mehrere Gründe: Cloud- Apps 85 Prozent des Web-Traffics in
der Techniken, die Cyberkriminelle Dienste haben nicht nur Vorteile Unternehmen aus, 44 Prozent der
einsetzen, um ihre Command-and- in Bezug auf vereinfachtes Hosting, Cyberbedrohungen sind mittlerwei-
Control-Infrastruktur und Malware- Verfügbarkeit und Ausfallsicherheit, le cloudbasiert und nutzen Dienste
Verteilungspunkte zu verbergen. sondern werden auch von Unter- wie OneDrive, Google Drive Box,
Diese Techniken sind allesamt sehr nehmen und Einzelpersonen als ver- GitHub und Pastebin für kriminelle
ausgeklügelt und erhöhen die trauenswürdig eingestuft. Dadurch Operationen, sowohl im Bereich
Komplexität sowie den operativen gilt für zahlreiche bekannte Services der Cyberkriminalität als auch im
Aufwand eines jeden Angriffs, was nicht das gleiche Sicherheits- und Bereich der Cyberspionage.
zusätzliche Kosten verursacht und Schutzniveau wie für normalen
den Gewinn schmälert. Außerdem Webverkehr. In der Praxis erlauben Durch die flächendeckende
steigen mit der Komplexität auch viele Unternehmen „vertrauenswür- Einführung von Remote-Arbeits-
die Fehlerquellen, wodurch gerade digen“ Cloud-Diensten, traditionelle plätzen Anfang letzten Jahres hat
mehrschichtige operative Prozesse Web-Sicherheits-Gateways komplett die Cloud-Nutzung noch einmal
sehr anfällig werden. Schließlich hin- zu umgehen. Diese „Politik der offe- deutlich zugenommen. So hat der
terlassen diese Prozesse auch Spuren, nen Tür“ ist jedoch völlig ungeeignet „Netskope Cloud & Threat Report“
die von Sicherheitsforschern genutzt für Cloud-Datenverkehr, der sowohl (www.netskope.com) gezeigt, dass
werden können, um die Angreifer zu verschlüsselt als auch mehrschichtig im Jahr 2020 die Anzahl der genutz-
verfolgen. ist. So können beim selben Dienst ten Cloud-Apps pro Unternehmen
mehrere Instanzen genutzt werden, um 20 Prozent gestiegen ist. Zudem
Cloud-Dienste zum Beispiel ein Firmen- und ein werden sensible Daten immer häu-
ersetzen gehostete Privatkonto. Deshalb erfordert die figer in persönlichen Apps gespei-
Infrastrukturen Analyse von Cloud-Daten die Fähig- chert, da mit der zunehmenden
keit zur Entschlüsselung im großen Verschmelzung von Arbeit und
Cyberkriminalität hat sich Maßstab und ein Verständnis für den Privatleben im Homeoffice persön-
längst zu einer eigenen Branche Kontext der Verbindung. Gerade äl- liche App-Instanzen im Unterneh-
10 © DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021men zunehmen: Diese werden von der Anwender und konzentrieren und via DocuSign zu unterschrei-
83 Prozent der Mitarbeiter auf Un- sich auf Dienste und Anwendungen ben. Der gefälschte DocuSign-Link
ternehmensgeräten genutzt. Dabei wie Google Drive, Gmail, Microsoft verwies auf eine bei Google Docs
lädt der durchschnittliche Unterneh- OneDrive, Outlook.com, GitHub gehostete Datei, die eine weitere
mensnutzer jeden Monat 20 Dateien oder Box. Umleitung (über eine Google Open
von diesen verwalteten Geräten auf Redirect) durchführte. Es wurde also
persönliche Apps hoch. Auf diese Cloud-Anwendungen wer- ein vertrauenswürdiger, legitimer
Weise erhöht sich das Risiko von den zwar am häufigsten für anfängli- Cloud-Dienst (Google Docs) genutzt,
Datenschutzverletzungen deutlich. che Trojaner-Downloads verwendet, um den Angriff zu verschleiern.
aber Cyberkriminelle nutzen sie Ähnliche Kampagnen verwendeten
Cloud vs. Web vermehrt auch zum Hosten von auch Box, Sharepoint, Google Drive
Next-Stage-Downloads. So wurde und Dropbox.
Gleichzeitig missbrauchen GuLoader, ein Malware-Download-
Cyberkriminelle zunehmend be- programm zur Verbreitung von Fazit
liebte Cloud-Apps, um Malware Remote-Access-Trojanern, in den
an ihre Opfer zu verteilen: Im Jahr letzten 18 Monaten von mehreren Die zunehmende Beliebtheit
2020 stammte mehr als die Hälfte Angreifern verwendet, um Next- von Cloud-Apps als Kanal für Cyber-
aller identifizierter und blockierter Stage-Payloads von Google Drive kriminelle zur Verbreitung von Mal-
Malware-Downloads aus Cloud- und Microsoft OneDrive herunter- ware ist eine Folge der zunehmenden
Apps. Im ersten Quartal 2020 kam zuladen. Verbreitung und Nutzung von
die Mehrheit der Malware-Down- Cloud-Apps: Cyberkriminelle sind
loads noch aus dem Web. Ab dem Unterschiedliche immer dort aktiv, wo auch ihre Opfer
2. Quartal wurde die Mehrheit der Verbreitung aktiv sind. Nahezu jede Cloud-App
Malware-Downloads (53 %) über kann dabei als Verbreitungskanal für
Cloud-Apps verteilt. Dabei stieg der Malware kann mittels unter- Malware missbraucht werden. Des-
Anteil von Quartal zu Quartal weiter schiedlicher Dateitypen verbreitet halb sollten Unternehmen Richtlini-
an und lag im 4. Quartal schließlich werden. Dabei unterscheidet sich die en implementieren, um alle Inhalte,
bei 61 Prozent. Verteilung der jeweiligen Typen zwi- die in ihre Netzwerke gelangen, auf
schen den Verbreitungswegen: Die Malware zu überprüfen. Dabei darf es
Ebenso stieg das Volumen Mehrheit der Malware-Downloads keine Rolle spielen, ob dies über das
bösartiger Microsoft-Office-Doku- aus dem Web besteht aus Windows Web oder die Cloud geschieht. Nur
mente um 58 Prozent. Angreifer set- Portable-Executable-(PE)-Dateien ein Schutz, der beide wesentlichen
zen verstärkt auf Office-Dokumente (51,1 %) wie EXEs und DLLs, gefolgt Malware-Verbreitungswege umfasst,
als Trojaner, um weitere Payloads, von Archivdateien (20,6 %), wie Zip- kann letztlich umfassende Sicherheit
einschließlich Ransomware und Files, und andere Typen (23,8 %), gewährleisten. n
Backdoors, zu verbreiten. Durch die wie Skripte und JARs. Office-Dateien
Bereitstellung über Cloud-Apps kön- spielen mit 4,5 Prozent eine eher
nen dabei traditionelle E-Mail- und untergeordnete Rolle. Im Vergleich
Web-Sicherheitslösungen umgan- dazu sind Malware-Dateien, die
gen werden. Entsprechend machten von Cloud-Apps heruntergeladen
bösartige Office-Dokumente 27 Pro- werden, gleichmäßiger verteilt: PE-
zent aller Malware-Downloads aus, Dateien machen hier nur ein Viertel
die von der Netskope Security Cloud (24,5 %) aller Downloads aus, wäh-
erkannt und blockiert wurden. rend Office-Dateien einen dreimal
größeren Anteil (15,9 %) erreichen.
Grundsätzlich missbrau- Der Anstieg an bösartigen Office-
chen Cyberkriminelle häufig weit- Dokumenten im letzten Jahr ist also
verbreitete Apps, um Malware zu in erster Linie auf die Verteilung
hosten. Auf diese Weise versuchen durch Cloud-Apps zurückzuführen.
sie, Blockierungen „traditioneller“
Malware-Infrastrukturen zu um- Ein Beispiel hierfür ist eine
gehen, und nutzen das Vertrauen Kampagne, die Ende 2020 und
der Nutzer, Unternehmen und Anfang 2021 die makrobasierte Mal-
auch Sicherheitslösungen in diese ware Hancitor verbreitete. In Spam-
Applikationen aus. Sie orientieren Mails wurden die Opfer aufgefordert,
sich dabei am Nutzungsverhalten ein Office-Dokument zu überprüfen
© DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021 11Management und Wissen
Neues Sicherheitskonzept verbessert und erweitert traditionelles EDR
XDR: Präventiver Schutz
vor Malware durch KI und
Automatisierung
Cyberkriminelle und Hacker entwickeln ihre Malware stets weiter und versehen sie mit
Funktionen, die sie noch komplexer und schwerer erkennbar machen. Den idealen Schutz
vor derartigen Bedrohungen liefert das Sicherheitskonzept XDR mit seiner schnellen und
automatischen Bedrohungserkennung dank künstlicher Intelligenz.
Von Mathias Canisius, SentinelOne
Die heutige IT-Landschaft nicht für die komplexe, sich schnell EDR heißt XDR und steht für Exten-
ist mehr denn je geprägt von dezen- verändernde Bedrohungslandschaft ded Detection and Response. Diese
traler, cloudbasierter Infrastruktur. von heute ausgelegt. fortschrittliche Lösung ist zwischen
Durch den Anstieg der Anzahl von Evolution und Revolution angesie-
Mitarbeitern, die teilweise oder Sicherheitsteams auf der delt: Einerseits ist XDR eindeutig
vollständig im Homeoffice arbeiten, ganzen Welt haben Mühe, mit den mehr als nur ein Flickenteppich von
steigt die Komplexität der Geschäfts- Kriminellen Schritt zu halten, denn Fähigkeiten; der Ansatz repräsentiert
und Betriebssicherheit kontinuier- den meisten Security-Experten fehlt eine organische Weiterentwicklung
lich an. Gleichzeitig entwickeln sich die richtige Technologie zur Bekämp- von Endpoint-Protection-Plattform
die Cyberbedrohungen ständig wei- fung dieser Gefahren. Da das eben (EPP) und EDR. Gleichzeitig dienen
ter. Sicherheitsexperten müssen den beschriebene Problem in erster Linie die Herausforderungen, mit denen
Hackern immer einen Schritt voraus eine Folge des Ungleichgewichts eine XDR-Lösung konfrontiert ist
sein, denn sonst wird das eigene zwischen der sich stets weiterentwi- als Katalysator für weitreichende
Unternehmen schnell zum nächsten ckelnden Technologie von Hackern technologische Fortschritte.
Kandidaten für Schlagzeilen infolge und der oft stagnierenden Ausstat-
einer kostspieligen Ransomware- tung von Sicherheitsteams ist, muss Eine der wichtigsten Fähig-
Attacke mit verheerenden Folgen hier auf Seiten der Verteidiger nach- keiten von XDR ist die umfassende
für den Betrieb und das Ansehen der geholfen werden. und über die Netzwerkgrenzen hin-
Organisation. ausgehende Visibilität und das Schaf-
Sichtbarkeit und Schutz fen von Kontext, um Bedrohungen
Tatsächlich liegt die Zunah- mithilfe von XDR und Angriffe nachvollziehbar zu
me an erfolgreichen Cyberangriffen machen. Cyberattacken betreffen in
in den letzten Monaten und Jahren Ein Ansatz, der bei der Ab- der Regel eine Reihe verschiedener
zu einem großen Teil an einem lösung von Antivirenlösungen und Bereiche innerhalb einer Orga-
simplen, aber besorgniserregenden Firewalls teilweise erfolgreich war, nisation. Die von XDR gebotene
Problem: Die traditionellen und ist Endpoint Detection and Response Transparenz ist die einzige Möglich-
bis heute immer noch weit verbrei- (EDR). Allerdings ist selbst der tradi- keit, einen vollständigen Überblick
teten Sicherheitstechnologien wie tionelle Endpunktschutz heute nicht darüber zu erhalten, was, wann, wo
Antivirus-Programme und Firewalls mehr ausreichend. Während die und wie passiert ist. Die gleichen
wurden zu einer Zeit entwickelt, EDR-Grundlagen wichtig sind, müs- kontextualisierten Aktionsstränge,
in der Malware noch wesentlich sen sie mit netzbasierter Innovation die ActiveEDR von SentinelOne auf
geradliniger und einfacher zu erken- und Ausführung in einem exponen- der Endpunktebene bietet, können
nen war. Diese Sicherheitslösungen tiell größeren Maßstab kombiniert nun auf mehreren Ebenen erstellt
vergangener Tage sind allerdings werden. Die Weiterentwicklung von werden: Cloud, Container, virtuelle
12 © DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021Maschinen, IoT, Endpunkte, Server Modelle zu trainieren, Daten von tion and Response (SOAR). Singulari-
und mehr. jedem Gerät und jeder Cloud aufzu- ty-Apps werden auf der skalierbaren,
nehmen und die Plattform ständig serverlosen Function-as-a-Service-
Ein weiterer wesentlicher zu erweitern. Ermöglicht wird das Cloud-Plattform gehostet und mit
Vorteil von XDR ist der Einsatz durch die zugrunde liegenden Daten wenigen Klicks mit API-fähigen IT-
von künstlicher Intelligenz (KI). in einem Unternehmen. Die Nut- und Sicherheitskontrollen verbun-
KI-gestützte Technologien wie die zung dieser Daten zur Bereitstellung den. Der Singularity-Marketplace ist
„SentinelOne Singularity XDR“- von Cybersecurity über Endpunkte, Teil der SentinelOne-Plattform, die es
Plattform sind in der Lage, Sicher- IoT-Geräte und Cloud-Workloads Kunden ermöglicht, die Hürden des
heitsverletzungen nicht nur zu hinweg macht Singularity zu einem Schreibens von komplexem Code zu
verhindern, sondern auch zu be- leistungsstarken Sicherheitstool und beseitigen und die Automatisierung
heben. Die Prävention ist möglich, zum ersten autonomen XDR der einfach und skalierbar zwischen An-
indem KI-Modelle genutzt werden, Branche. Die KI-gesteuerte XDR- bietern zu machen. Sicherheitsteams
die sich auf dem Gerät und in der Plattform von SentinelOne bietet können die beste Vorgehensweise
Cloud befinden, um dateibasierte alle Vorteile, die man von einer Kom- zur Behebung und Abwehr von
Angriffe mathematisch vorherzu- plettlösung erwartet: weitreichende Hochgeschwindigkeitsbedrohungen
sagen. Mithilfe der patentierten Transparenz, autonome Erkennung festlegen, indem sie eine einheitli-
verhaltensbasierten KI können sogar und Reaktion und optimierte Benut- che, orchestrierte Reaktion zwischen
noch nie dagewesene Varianten und zerfreundlichkeit. Sicherheitstools in verschiedenen
Zero-Day-Exploits erkannt werden. Domänen steuern.
Außerdem ermöglicht die Automa- Integration mit anderen
tisierung in Verbindung mit leis- Technologien Fazit
tungsfähiger Software umfangreiche
Wiederherstellungsmöglichkeiten. Der Schlüssel zu einer ef- In der Zukunft (und schon
Die Lösung ermöglicht die Bereini- fektiven XDR-Lösung ist die Inte- heute) müssen spezialisierte Sicher-
gung aller Phasen des Angriffs, sodass gration. Sie muss nahtlos mit dem heitsprodukte zusammenarbeiten,
sich das Gerät in einem dauerhaft Sicherheits-Stack zusammenarbeiten um sich gegen solche Angriffe zu
sicheren Zustand befindet. und native Tools mit umfangreichen schützen, die drohen die digitalen
APIs nutzen. Die Engine muss eine Barrieren zu überwinden, die unser
Autonome Bedrohungs- sofort einsatzbereite Cross-Stack- mittlerweile technologieabhängi-
abwehr durch KI Korrelation, -Prävention und -Be- ges Leben schützen. Wie bei jeder
seitigung bieten. Ebenso relevant neuen Technologie, die auf den
Darüber hinaus reduziert ist die Fähigkeit, auf dieser Engine Markt kommt, gibt es viel Hype
die Lösung dank KI und Automati- aufzubauen, indem Benutzer ihre darum – und Käufer müssen sich gut
sierung die Arbeitsbelastung von Si- eigenen Stack-übergreifenden benut- informieren, um die richtige Lösung
cherheitsanalysten durch manuelle zerdefinierten Regeln für Erkennung zu finden. SentinelOne Singularity
Aufgaben. Die Technologie wird zu und Reaktion schreiben können. XDR vereinheitlicht und erweitert
einem Security-Operations-Center Da möglicherweise andere Sicher- die Erkennungs- und Reaktionsfähig-
(SOC) auf jedem Endpunkt, Cloud- heitstools und -technologien im ei- keit über mehrere Sicherheitsebenen
Workload, Container und sogar genen SOC eingesetzt werden, sollte hinweg und bietet Sicherheitsteams
IoT-Gerät. Eine XDR-Plattform wie die XDR-Lösung es ermöglichen, eine zentralisierte End-to-End-Un-
Singularity kann proaktiv anspruchs- die vorhandenen Investitionen in ternehmenstransparenz, leistungs-
volle Bedrohungen in Echtzeit iden- Sicherheitstools weiterhin sinnvoll starke Analysen und automatisierte
tifizieren und so die Produktivität zu nutzen. Zu den wichtigsten Reaktionen über den gesamten Tech-
des Sicherheits- oder SOC-Teams stei- Funktionen einer guten XDR-Lösung nologie-Stack hinweg. n
gern und damit die Effizienz massiv gehört die native Kompatibilität mit
verbessern. Das Automatisieren von diversen Integrationen, einschließ-
repetitiven Tasks setzt so die nötigen lich automatischer Reaktionen und
Voraussetzungen, damit sich die Ex- integrierter Bedrohungsdaten.
perten auf übergeordnete Aufgaben
konzentrieren können. SentinelOne bietet über den
Singularity-Marketplace ein wach-
Was die Lösung von Sentinel sendes Portfolio an Integrationen zu
One weiterhin einzigartig macht, ist Drittsystemen wie Security Informa-
die Fähigkeit, die Macht der Daten tion and Event Management (SIEM)
zu nutzen, um Machine-Learning- und Security Orchestration, Automa-
© DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021 13Management und Wissen
Malware Sandboxing:
In die Jahre gekommen oder
immer noch aktuell?
Eine Sandbox ist schon längst nicht mehr nur ein Tool für die forensische Analyse nach einem
Sicherheitsvorfall. Sandboxes haben mittlerweile einen zentralen Platz in der Sicherheitsum-
gebung des Unternehmens, eng integriert mit SOC-Technologien wie SIEM und SOAR sowie
Endpoint- und Netzwerksicherheitslösungen. Sandboxes erbringen Integrations- und Auto-
matisierungsleistungen und erhöhen die Wirksamkeit des gesamten Security-Stacks.
Von Dr. Carsten Willems, VMRay GmbH
Um es vorwegzunehmen: in das System zurückfließen und als und nicht aufgrund bekannter
Keine Sicherheitslösung kann im Basis für weitere Maßnahmen die- Merkmale.
Alleingang vor Advanced Mal ware nen. So bilden zum Beispiel die aus
schützen – auch eine Sandbox der Malware-Analyse hervorgegan- Das Funktionsprinzip einer
nicht. Ein hohes Schutzniveau lässt genen Daten die Grundlage für die Sandbox ist einfach: In einer kontrol-
sich nach wie vor nur durch das Aktionen in der Incident-Response- lierten, von der Produktivumgebung
Ineinandergreifen verschiedener, Phase und die dort gewonnenen des Unternehmens abgeschotteten
aufeinander aufbauender Securi- Erkenntnisse beeinflussen wiederum Umgebung (Sandbox) wird das Ver-
ty-Maßnahmen erreichen. Diese künftigen Maßnahmen in der Prä- halten der verdächtigen Datei über
müssen ein engmaschiges System ventionsphase. Richtig umgesetzt, einen definierten Zeitraum hinweg
bilden, in dem eine Bedrohung, falls handelt es sich um ein sich selbst beobachtet und dokumentiert. Der
sie einer Security-Instanz entgeht, verstärkendes System – und eine Schadcode wird in der Sandbox also
von einer anderen aufgehalten moderne Sandboxing-Lösung ist ein tatsächlich ausgeführt. Diese als
wird. Zu den bekanntesten Kompo- wichtiger Bestandteil dieses Systems. dynamische Analyse bezeichnete
nenten eines solchen mehrschich- Erkennungsmethode stützt sich
tigen Ansatzes gehören Firewalls, Die Rolle von Malware- allein auf die beobachteten Interak-
Endpoint-Security-Lösungen, In- Sandboxing im Security- tionen zwischen dem suspekten File
trusion-Prevention-Systeme (IPS), Konzept und der Systemumgebung. Aus den
Intrusion-Detection-Systeme (IDS), gewonnenen Erkenntnissen wird
E-Mail- und Web-Gateways, Mal Sandboxing ist nach wie vor abgeleitet, ob es sich um schädliches
ware-Sandboxes, Netzwerksegmen- das Mittel der Wahl, wenn es um die Verhalten handelt oder nicht. Wäh-
tierung, aber auch die kontinuierliche Erkennung und Analyse von Advan- rend mit statischen Analysemetho-
Schulung und Sensibilisierung der ced Malware geht. Statische Analy- den nur Malware erkannt werden
Mitarbeiter durch Security-Aware- severfahren, wie sie in modernen kann, für die Identifikationsmerkma-
ness-Trainings sowie Konzepte für Anti-Virus-Lösungen zum Einsatz le vorliegen, gilt diese Einschränkung
Incident-Response, sollte es doch kommen, funktionieren hier nicht. für Malware-Sandboxes nicht.
einmal zum Schlimmsten kommen. Statische Methoden erkennen Mal-
Eine effektive Security-Strategie ware anhand von identifizierbaren Was eine Sandbox
enthält Technologien für Präven- Merkmalen (Signaturen) oder Auffäl- können sollte
tions-, Erkennungs-, Reaktions- und ligkeiten im Code, die auf bekanntes,
Eindämmungsmaßnahmen. Die schädliches Verhalten hinweisen. Es ist selbstverständlich,
Integration aller beteiligten Tech- Für Malware, die erstmals auftritt bei der Wahl einer Sandboxing-
nologien in ein resilientes, auf oder ständig ihre Form ändert, gibt Technologie auf eine ausgezeich-
Informationsaustausch und Prozess- es jedoch keine eindeutigen Identi- nete Malware-Erkennungsrate und
automatisierung basierendes System fikatoren. Jetzt kommt die Sandbox Report-Qualität zu achten. Um einen
ist ausschlaggebend für den Erfolg. zum Einsatz, die Malware aufgrund wirklichen Mehrwert für das Securi-
Gewonnene Informationen sollen ihres gezeigten Verhaltens erkennt ty-Konzept darzustellen, müssen die
14 © DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021Fähigkeiten einer Sandbox jedoch Malware zu verstärken, sollte je-
weit über die reine Malware-Analyse des Unternehmen zunächst nach
hinausgehen. Möglichkeiten suchen, die Wirk-
samkeit der bereits vorhandenen
Was eine Sandbox an zusätz- Sicherheitslösungen zu erhöhen.
lichem Nutzen einbringen muss: Eine strategisch platzierte, zentrale
Sandboxing-Lösung integriert sich
Effizienzgewinn für SOC und in die bestehende Umgebung, emp-
Incident-Response fängt und analysiert Alerts aus un-
Eine strategisch ins
terschiedlichen Quellen, extrahiert Gesamtkonzept
Gut vernetzte Workflows hochgradig zuverlässige Indicators of integrierte VMRay
sind ein Eckpfeiler eines erfolgreichen Sandboxing-Lösung,
Compromise (IoC) und stellt Bedro-
vmray.com/sandbox-
Security-Operation-Centers (SOC). hungsinformationen zu aktuellen, strategisch-einsetzen
Die Entlastung der Threat-Analysten validierten Vorkommnissen an allen
durch die Automatisierung von verbundenen Technologien bereit,
Malware-Analyseprozessen, spielt die ihrerseits adäquate Maßnahmen
dabei eine wichtige Rolle, insbeson- einleiten. Eine Sandbox verdrängt wurden und keine Zeit blieb, die
dere in Zeiten von Fachkräftemangel keine der vorhandenen Lösungen, neuen Cyberrisiken ausreichend zu
und dünner Personaldecke. Auto- sie erhöht ihre Wirksamkeit. evaluieren. Der Einsatz einer starken
matisierte Vorgänge sind skalierbar, Mal ware-Sandboxing-Technologie
sodass auch Teams mit geringer Unterstützung von (ist eine bewährte Methode, die vor-
Personalstärke den stetigen Anstieg Compliance-Vorgaben handene Sicherheits-Umgebung des
im Malwareaufkommen bewältigen Unternehmens zu stärken und den
können. Alarmvalidierung und Es ist wichtig, dass die ge- Reifegrad des Security-Konzepts auf
Alert-Triage sind weitere wichtige wählte Sandboxing-Lösung unter- ein dem Risiko angemessenes Niveau
Punkte: Eine Sandbox muss die schiedliche Deployment-Anforde- zu heben. n
Nadeln im Heuhaufen der eingehen- rungen erfüllen kann. Für hochgradig
den Alerts entdecken können und sensitive Einsatz-Szenarien sollte die
präzise, umsetzbare Informationen Sandbox als On-Premises-Lösung zur
zum Schadpotenzial der Malware Verfügung stehen. Für cloudbasierte
geben. Eine gute Sandbox verfügt Einsatz-Szenarien muss sichergestellt
darüber hinaus über „Out-of-the- sein, dass die Forderungen der Daten-
Sandbox-Lösungen
Box“-Konnektoren für führende schutz-Grundverordnung (DSGVO)
von VMRay
EDR-, SIEM- und SOAR-Lösungen, eingehalten werden können, denn
Threat-Intelligence-Plattformen die in der Sandbox verarbeiteten Da-
Der deutsche Cybersecurity-
(TIP) sowie Gateway-Lösungen und ten können direkten oder indirekten
Anbieter aus Bochum hat sich auf
Firewalls. Ob die gewählte Sandbox Personenbezug aufweisen. Die Nut-
innovative Sandboxing-Lösun-
alle gewünschten Eigenschaften zung DSGVO-konformer Rechen-
gen zur Erkennung und Analyse
besitzt, lässt sich nach kurzer Zeit zentren innerhalb der EU ist deshalb
moderner Malware spezialisiert.
feststellen: Sie muss sich nachweis- ein weiterer Punkt, der bei der Wahl
Mit einer internationale Kunden-
lich positiv auf die wichtigsten einer Sandboxing-Lösung beachtet
basis in Europa, USA, Australien
SOC-Kennzahlen auswirken, wie werden sollte. Und natürlich sollte
und Asien befindet sich VMRay
Time-to-Detection, Time-to-Qualify, die Sandbox auch über einen Mana-
auf globalem Expansionskurs.
Time-to-Triage, Time-to-Investigate ged Security Service Provider (MSSP)
Zu den Kunden zählen Indus-
und Time-to-Respond. verfügbar sein.
triekonzerne, Finanzinstitute,
Consulting-Unternehmen eben-
Höherer Wirkungsgrad der Fazit so wie Forschungsinstitutionen,
gesamten Security-Umgebung
Behörden und Regierungseinrich-
Viele Unternehmen sind
tungen aus aller Welt. Erfahren
Es ist eine wirtschaftliche Not- in Sachen Cybersecurity zu inaktiv
Sie mehr über Einsatz-Szenarien,
wendigkeit, das Beste aus bestehen- und vertrauen weiterhin auf Kon-
Deployment-Optionen und Leit-
den Investitionen herauszuholen. zepte, die vor Advanced Malware
linien für die Beschaffung von
Das gilt auch für vorhandene In- keinen ausreichenden Schutz mehr
Sandboxing-Technologien unter
vestitionen in Sicherheitslösungen. bieten. Das gilt umso mehr, wenn
www.vmray.com/sandbox-strate-
Wenn es also darum geht, die Schutz- unter Wettbewerbs- und Zeitdruck
gisch-einsetzen.
vorkehrungen gegen Advanced digitale Geschäftsprozesse eingeführt
© DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021 15Kaffee geholt. Daten weg. Desktop sperren rettet Unternehmen. Schaffen Sie IT-Sicherheitsbewusstsein gdata.de/awareness-training
Gute Gründe für EDR
Tools im Bereich Endpoint Detection and Response (EDR) ergänzen Endpoint-Security-
Lösungen um Funktionen zur Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle.
Im aktuellen Hype um EDR-Tools ist es allerdings oft gar nicht so einfach zu verstehen,
wofür genau EDR eigentlich genutzt werden sollte – und warum. Der folgende Artikel
zeigt die wichtigsten Gründe auf, warum Unternehmen eine EDR-Lösung im Rahmen
ihrer IT-Security-Strategie in Betracht ziehen sollten.
Von Jörg Schindler, Sophos Technology GmbH
Je nach Unternehmen kön- Cybersecurity-Spezialisten lichsten Security-Tools manchmal
nen IT-Operations und IT-Security müssen in der Lage sein, subtile, eva- nicht in der Lage, Cyberangriffe
entweder zur selben Abteilung gehö- sive Bedrohungen aufzuspüren, die abzuwehren. Häufig verlassen sich
ren, unabhängig agieren oder sogar nicht automatisch von ihrem End- Unternehmen auf Präventionsmaß-
in den Aufgabenbereich von ein und point-Schutz erkannt werden. Ein nahmen als einzigen Schutz. Das ist
derselben Person fallen. Unabhän- EDR-Tool muss daher Indikatoren für ein großes Problem, denn Prävention
gig davon erfordern beide Bereiche eine Kompromittierung (Indicators ist zwar wichtig, aber nicht ausrei-
unterschiedliche Anwendungsfälle of Compromise – IOCs) zuverlässig chend. Genau hier kommt EDR ins
von einem EDR-Tool. Ein EDR-Tool aufspüren können, zum Beispiel Spiel. Mit EDR können Unterneh-
sollte also in der Lage sein, beide Prozesse, die versuchen, eine Ver- men nach Indikatoren für eine Kom-
Aufgabenbereiche abzudecken und bindung über Nicht-Standardports promittierung (IOCs) suchen und
ohne Leistungseinbußen zugänglich herzustellen, Prozesse, die Dateien damit schnell und einfach Angriffe
bleiben. oder Registry-Schlüssel bearbeitet aufspüren, die sonst unbemerkt
haben oder Prozesse, die ihre wahre blieben.
Für Administratoren im Identität verbergen. Zudem muss
Bereich IT-Operations hat die Einhal- sich mit dem Tool ermitteln lassen, Die Suche nach Bedrohun-
tung von Sicherheitsvorgaben in der welche Mitarbeiter in einer Phishing- gen wird häufig gestartet, nachdem
IT-Umgebung ihres Unternehmens E-Mail auf einen Link geklickt haben. ein Unternehmen von einer exter-
oberste Priorität. Sie müssen bei- nen Stelle einen Hinweis erhalten
spielsweise in der Lage sein, Systeme Erkennen von Angriffen, hat. Beispielsweise könnte eine Re-
mit Leistungsproblemen wie gerin- die bislang nicht bemerkt gierungsbehörde ein Unternehmen
gem Festplattenspeicher oder hoher wurden über verdächtige Netzwerkaktivi-
Speicherauslastung ausfindig zu ma- täten informieren. Möglicherweise
chen. Sie müssen erkennen können, Bei entsprechendem Zeit- erhält das Unternehmen zusätzlich
auf welchen Geräten Programme und Ressourceneinsatz auf Seiten der eine Liste mit Kompromittierungs-
mit Schwachstellen vorhanden sind, Angreifer sind auch die fortschritt- Indikatoren als Ausgangspunkt für
die gepatcht werden müssen, und
sie müssen Endpoints und Server Aktuelle EDR-
ausfindig machen können, auf de- Programme bieten
Schaltflächen mit
nen unnötigerweise RDP oder noch zahlreichen Opti-
Gastkonten aktiviert sind. Moderne onen zur Behebung
von Vorfällen,
EDR-Lösungen bieten Administrato-
u. a. die Option
ren die Tools, um all diese Aufgaben „Entfernen und
zu erledigen. Außerdem können sie blockieren“.
damit remote auf betroffene Geräte
zugreifen, um Sicherheitslücken zu
beheben, indem sie Leistungspro-
bleme untersuchen, Patches instal-
lieren sowie RDP und Gastkonten
deaktivieren.
© DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021 17Management und Wissen
komplexer und mühsamer Prozess. Vorausgesetzt, sie wird
überhaupt durchgeführt.
Wenn auf einen Vorfall reagiert werden muss,
kommt es vor allem auf hochqualifiziertes Fachpersonal
an. Der Erfolg der meisten EDR-Tools hängt in erster Linie
davon ab, ob IT-Mitarbeiter die richtigen Fragen stellen
und Antworten auswerten können. Mit aktuellen EDR-
Lösungen können auch Mitarbeiter weniger spezialisierter
IT-Abteilungen schnell auf Sicherheitsvorfälle reagieren,
denn geführte Analysen enthalten Empfehlungen für
nächste Schritte, eine verständliche visuelle Darstellung
des Angriffs sowie integriertes Know-how.
Einsatz von Expertenwissen –
Die Machine-Learning-Analyse zeigt Attribute, Code-Ähnlichkeit und eine Dateipfad- ohne zusätzliches Personal
Analyse für eine detaillierte und gleichzeitig einfache Analyse.
die weitere Suche. Die Funktion „Bedrohungsindikato- Die meisten Unternehmen geben unzureichende
ren“ in vielen Lösungen informiert beispielsweise über Fachkenntnisse ihrer Mitarbeiter als Hauptgrund dafür an,
verdächtige Ereignisse. So wissen Analysten genau, was keine EDR-Lösung einzuführen. Das ist wenig verwunder-
sie prüfen müssen. Mithilfe leistungsstarker Machine- lich, da der Fachkräftemangel im Bereich Cybersecurity
Learning-Funktionen wird eine Liste mit den verdächtigen schon seit Jahren intensiv diskutiert wird. Hiervon sind
Ereignissen generiert, die nach ihrem Bedrohungswert kleinere Unternehmen in besonderem Maße betroffen.
absteigend sortiert angezeigt werden. So können Ana- Um diesem Problem zu begegnen, übernimmt EDR zum
lysten wichtige Aufgaben mit Vorrang bearbeiten und Teil die Aufgaben der Analysten. Mithilfe von Machine-
sich auf das Wesentliche konzentrieren. Wenn die Ana- Learning werden detaillierte Einblicke in die IT-Sicherheit
lysten wissen, wo sie ansetzen müssen, können sie alle des Unternehmens gegeben. So erhalten Entscheider
Instanzen eines verdächtigen Elements in der gesamten fundiertes Expertenwissen, ohne zusätzliche Mitarbeiter
IT-Umgebung aufspüren und schnell Maßnahmen zur einstellen zu müssen. Intelligente EDR-Funktionen er-
Bereinigung ergreifen. Darüber hinaus können sie über gänzen die fehlenden Fachkenntnisse der Mitarbeiter und
leistungsstarke SQL-Abfragen weitere Indikatoren für übernehmen die Aufgaben Sicherheitsanalyse, Malware-
eine Kompromittierung (IOCs) aufspüren, zum Beispiel Analyse und Bedrohungsdatenanalyse.
Prozesse, die Registry-Schlüssel bearbeiten.
Vergangene Angriffe verstehen
Schnellere Reaktion auf
potenzielle Vorfälle Wurde ein Unternehmen Opfer eines Angriffs,
werden Sicherheitsanalysten meist mit der Frage konfron-
Sobald ein Vorfall entdeckt wird, setzen IT-Abtei- tiert: „Wie konnte das passieren?“ Oft können sie diese
lungen alle Hebel in Bewegung, um diesen schnellstmög- Frage nicht beantworten. Durch das Erkennen und Entfer-
lich zu beheben, denn das Ausbreitungsrisiko und der nen der schädlichen Dateien wird zwar das unmittelbare
potenzielle Schaden sollen begrenzt werden. Die entschei- Problem beseitigt, doch es wird nicht geklärt, wie die
dende Frage lautet: Wie kann jede mit dem Vorfall ver- Malware in das System gelangt ist oder was die Angreifer
bundene Bedrohung beseitigt werden? Im Durchschnitt getan haben, bevor der Angriff gestoppt wurde.
ist eine IT-Abteilung über drei Stunden damit beschäftigt,
einen Vorfall zu beheben. Mit EDR kann diese Zeit deutlich Endpoint-Lösungen mit EDR bieten eine Über-
verringert werden. sicht über Bedrohungsfälle und zeigen alle Ereignisse, die
zur Erkennung geführt haben. So lässt sich leicht sehen,
In einem ersten Schritt würde ein Analyst zu- welche Dateien, Prozesse und Registry-Schlüssel mit der
nächst die Ausbreitung des Angriffs verhindern. Moder- Malware in Kontakt gekommen und welche Bereiche
ne Endpoint-Lösungen mit EDR-Technologie isolieren betroffen sind. Eine visuelle Darstellung der gesamten An-
Endpoints und Server bei Bedarf – ein wichtiger Schritt, griffskette macht es möglich, zuverlässig Auskunft darüber
um die Ausbreitung des Angriffs im Netzwerk zu verhin- zu geben, wie der Angriff begann und welchen Lauf er ge-
dern. Analysten greifen oft direkt zu dieser Maßnahme, nommen hat. Ein weiterer wichtiger Vorteil dabei: Wurde
bevor sie eine weitere Überprüfung vornehmen, um Zeit die Ursache eines Angriffs gefunden, ist es sehr viel wahr-
zu gewinnen, während sie die optimale Vorgehensweise scheinlicher, dass die Mitarbeiter der IT-Abteilung einen
abstimmen. Die genaue Überprüfung ist dann oft ein solchen Angriff künftig abwehren können. n
18 © DATAKONTEXT GmbH · 50226 Frechen · Special Malware-Abwehr, August 2021Sie können auch lesen
