Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

CyberkonzeptIn den letzten Monaten sind mehrere Vorfälle bei SWIFT-Mitgliedsbanken (Society for Worldwide Interbank Financial Telecommunications) ans Tageslicht gekommen. Die Angreifer machten sich Sicherheitslücken zunutze, stahlen dann gültige Anmeldeinformationen und verwendeten diese, um betrügerische Transfers einzuleiten.

Diese Angriffe tragen die Kennzeichen eines Account Takeover (ATO), bei dem sich Cyberkriminelle als rechtmäßige Kunden ausgeben, so der IT-Sicherheitsanbieter Palo Alto Networks. Als beste Praktiken zur Bekämpfung von ATOs empfiehlt Palo Alto Networks zunächst das Patchen, um Sicherheitslücken schließen, sowie eine Netzwerksegmentierung und Multi-Faktor-Authentifizierung. Für den Schutz von Endpunkten hingegen rät Palo Alto Networks zu einer verhaltensbasierten Früherkennung.

„In Finanzunternehmen ist das rechtzeitige Software-Patching eine Herausforderung aufgrund strenger Testanforderungen, begrenzter Zeitfenster für Änderungen und die schiere Menge der oft weit verteilten Geräte wie Laptops, Desktops und Server“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Zwar wächst das Interesse für Netzwerksegmentierung zugunsten der Internetsicherheit, aber tatsächliche Implementierungen sind selten, da die meisten Institute noch flache Netzwerke haben. Multi-Faktor-Authentifizierung ist für den Fernzugriff auf das Firmennetz verbreitet, aber innerhalb des Perimeters selten.“

Da diese klassischen Maßnahmen in der Praxis nur selten realisiert werden, empfiehlt sich als alternativer Ansatz ein intelligenter Endpunktschutz auf Laptops, Desktops und Servern an. Diese Geräte stehen bei mindestens zwei Phasen des typischen Lebenszyklus eines Cyberangriffs im Mittelpunkt. Endbenutzer und ihre Geräte sind Ziele von Speer-Phishing, Drive-by-Downloads und Social Engineering. Exploits und Malware werden eingeschleust, um den Endpunkt zu kompromittieren. Die Cyberkriminellen verwenden diesen dann als Brückenkopf, um an wertvolle Informationen zu gelangen oder andere verwundbare Systeme (z.B. Server) im Netzwerk zu manipulieren. Antiviren-Lösungen wurden jahrelang auf Endpunktgeräten eingesetzt, haben sich mittlerweile jedoch für den Schutz vor heutigen Sicherheitsbedrohungen als unwirksam erwiesen. Neue Lösungen sind gefragt, die intelligenter und flexibler sind.

Prävention mittels Multi-Methoden-Ansatz

Um die Schwächen konventioneller Sicherheitslösungen für Endpunkte zu kompensieren, empfiehlt Palo Alto Networks einen präventiven Ansatz, der auf mehreren Verfahren basieren sollte. Eine Kombination hocheffektiver Methoden zum Schutz der Endpunkte vor bekannten und unbekannten Bedrohungen ist für Unternehmen der Finanzbranche ideal. Die folgenden fünf Techniken zum Schutz vor Attacken sollten einen modernen Endpunktschutz auszeichnen:

Statische Analyse über maschinelles Lernen

Diese Methode beurteilt jede unbekannte ausführbare Datei, bevor diese ausgeführt werden darf. Durch die Untersuchung Hunderter von Eigenschaften im Bruchteil einer Sekunde bestimmt diese Methode, ob die Datei bösartig oder gutartig ist, ohne Abhängigkeit von Signaturen, Scannen oder Verhaltensanalyse.

Inspektion und Analyse in der Cloud

Ein moderner Endpunktschutz arbeitet zusammen mit einer Bedrohungsanalyse-Cloud, um zu bestimmen, ob eine ausführbare Datei bösartig ist. Eine solche Cloud kann die Gefahr einer unbekannten Bedrohung beseitigen, indem diese in etwa fünf Minuten in eine bekannte Bedrohung verwandelt wird. Die automatische Neuprogrammierung des Endpunktschutzes und Umwandlung von Bedrohungsanalyse in Prävention macht es für einen Angreifer unmöglich, nicht bekannte und fortschrittliche Malware zu verwenden, um ein System zu infizieren.

Trusted-Publisher-Identifizierung

Diese Methode ermöglicht es Unternehmen, „unbekannte gutartige“ Dateien, zu identifizieren.

Regelbasierte Einschränkung der Ausführung

Unternehmen können auf einfache Weise Richtlinien definieren, um bestimmte Ausführungsszenarien zu beschränken, wodurch die Angriffsfläche jeder Umgebung reduziert wird. Ein Beispiel wäre, zu verhindern, dass eine bestimmte Datei direkt von einem USB-Laufwerk ausgeführt wird.

Administrator-Richtlinien

Unternehmen können Richtlinien definieren, basierend auf dem Hash einer ausführbaren Datei, um zu kontrollieren, was in einer Umgebung ausgeführt werden darf und was nicht.

Zur Prävention gegen Exploits geht ein intelligenter Endpunktschutz nach den folgenden Ansätzen vor:
 

Prävention gegen Speicherbeschädigung/-manipulation

Speicherbeschädigung ist eine Kategorie von Exploit-Techniken, bei denen der Exploit die Speicherverwaltungsmechanismen des Betriebssystems manipuliert, damit die Anwendung eine „bewaffnete“ Datendatei öffnet, die den Exploit enthält. Diese Präventionsmethode erkennt und stoppt diese Exploit-Techniken, bevor sie eine Chance haben, die Anwendung zu unterminieren.

Logic-Flaw-Prävention

Logic Flaw ist eine Kategorie von Exploit-Techniken, die dem Exploit ermöglicht, im Betriebssystem die normalen Prozesse zu manipulieren, die verwendet werden, damit die Zielanwendung die bewaffnete Datendatei öffnet und ausführt. Zum Beispiel kann der Exploit die Position verändern, wo Dynamic Link Libraries (DLLs) geladen werden, so dass legitime durch schädliche DLLs ersetzt werden können. Diese Präventionsmethode erkennt diese Exploit-Techniken und stoppt sie, bevor sie erfolgreich eingesetzt werden.

Prävention gegen Ausführung von bösartigem Code

In den meisten Fällen ist das Endziel eines Exploits, irgendeinen Code auszuführen, also die Befehle des Angreifers, die in der Exploit-Datendatei eingebettet sind. Diese Präventionsmethode erkennt die Exploit-Techniken, die es dem Angreifer ermöglichen, Schadcode auszuführen und blockiert sie rechtzeitig.

Darüber hinaus sollte eine Lösung in der Lage sein, bösartige ausführbare Dateien in Quarantäne zu verwahren, um jede weitere Ausbreitung zu stoppen. Zudem sollte es möglich sein, nicht-bösartige, aber anderweitig unerwünschte Software (zum Beispiel Adware) an der Ausführung zu hindern.

„Da die meisten Banken über eine große Zahl an Filialen verfügen, unzählige Geldautomaten betreiben und auch häufig auf mobile Mitarbeiter in der Kundenberatung setzen, sind Endpoints ein besonders gefährdetes Einfallstor für Malware und Angreifer“, erklärt Thorsten Henning. „Die zunehmend intelligenten und maßgeschneiderten Attacken erfordern Sicherheitslösungen, die selbst flexibel und agil sind. Deshalb sehen wir hier einen großen Bedarf an Ansätzen, die über konventionelle Antivirus-Konzepte hinausgehen.“

www.paloaltonetworks.com

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security