VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

CyberkonzeptIn den letzten Monaten sind mehrere Vorfälle bei SWIFT-Mitgliedsbanken (Society for Worldwide Interbank Financial Telecommunications) ans Tageslicht gekommen. Die Angreifer machten sich Sicherheitslücken zunutze, stahlen dann gültige Anmeldeinformationen und verwendeten diese, um betrügerische Transfers einzuleiten.

Diese Angriffe tragen die Kennzeichen eines Account Takeover (ATO), bei dem sich Cyberkriminelle als rechtmäßige Kunden ausgeben, so der IT-Sicherheitsanbieter Palo Alto Networks. Als beste Praktiken zur Bekämpfung von ATOs empfiehlt Palo Alto Networks zunächst das Patchen, um Sicherheitslücken schließen, sowie eine Netzwerksegmentierung und Multi-Faktor-Authentifizierung. Für den Schutz von Endpunkten hingegen rät Palo Alto Networks zu einer verhaltensbasierten Früherkennung.

„In Finanzunternehmen ist das rechtzeitige Software-Patching eine Herausforderung aufgrund strenger Testanforderungen, begrenzter Zeitfenster für Änderungen und die schiere Menge der oft weit verteilten Geräte wie Laptops, Desktops und Server“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Zwar wächst das Interesse für Netzwerksegmentierung zugunsten der Internetsicherheit, aber tatsächliche Implementierungen sind selten, da die meisten Institute noch flache Netzwerke haben. Multi-Faktor-Authentifizierung ist für den Fernzugriff auf das Firmennetz verbreitet, aber innerhalb des Perimeters selten.“

Da diese klassischen Maßnahmen in der Praxis nur selten realisiert werden, empfiehlt sich als alternativer Ansatz ein intelligenter Endpunktschutz auf Laptops, Desktops und Servern an. Diese Geräte stehen bei mindestens zwei Phasen des typischen Lebenszyklus eines Cyberangriffs im Mittelpunkt. Endbenutzer und ihre Geräte sind Ziele von Speer-Phishing, Drive-by-Downloads und Social Engineering. Exploits und Malware werden eingeschleust, um den Endpunkt zu kompromittieren. Die Cyberkriminellen verwenden diesen dann als Brückenkopf, um an wertvolle Informationen zu gelangen oder andere verwundbare Systeme (z.B. Server) im Netzwerk zu manipulieren. Antiviren-Lösungen wurden jahrelang auf Endpunktgeräten eingesetzt, haben sich mittlerweile jedoch für den Schutz vor heutigen Sicherheitsbedrohungen als unwirksam erwiesen. Neue Lösungen sind gefragt, die intelligenter und flexibler sind.

Prävention mittels Multi-Methoden-Ansatz

Um die Schwächen konventioneller Sicherheitslösungen für Endpunkte zu kompensieren, empfiehlt Palo Alto Networks einen präventiven Ansatz, der auf mehreren Verfahren basieren sollte. Eine Kombination hocheffektiver Methoden zum Schutz der Endpunkte vor bekannten und unbekannten Bedrohungen ist für Unternehmen der Finanzbranche ideal. Die folgenden fünf Techniken zum Schutz vor Attacken sollten einen modernen Endpunktschutz auszeichnen:

Statische Analyse über maschinelles Lernen

Diese Methode beurteilt jede unbekannte ausführbare Datei, bevor diese ausgeführt werden darf. Durch die Untersuchung Hunderter von Eigenschaften im Bruchteil einer Sekunde bestimmt diese Methode, ob die Datei bösartig oder gutartig ist, ohne Abhängigkeit von Signaturen, Scannen oder Verhaltensanalyse.

Inspektion und Analyse in der Cloud

Ein moderner Endpunktschutz arbeitet zusammen mit einer Bedrohungsanalyse-Cloud, um zu bestimmen, ob eine ausführbare Datei bösartig ist. Eine solche Cloud kann die Gefahr einer unbekannten Bedrohung beseitigen, indem diese in etwa fünf Minuten in eine bekannte Bedrohung verwandelt wird. Die automatische Neuprogrammierung des Endpunktschutzes und Umwandlung von Bedrohungsanalyse in Prävention macht es für einen Angreifer unmöglich, nicht bekannte und fortschrittliche Malware zu verwenden, um ein System zu infizieren.

Trusted-Publisher-Identifizierung

Diese Methode ermöglicht es Unternehmen, „unbekannte gutartige“ Dateien, zu identifizieren.

Regelbasierte Einschränkung der Ausführung

Unternehmen können auf einfache Weise Richtlinien definieren, um bestimmte Ausführungsszenarien zu beschränken, wodurch die Angriffsfläche jeder Umgebung reduziert wird. Ein Beispiel wäre, zu verhindern, dass eine bestimmte Datei direkt von einem USB-Laufwerk ausgeführt wird.

Administrator-Richtlinien

Unternehmen können Richtlinien definieren, basierend auf dem Hash einer ausführbaren Datei, um zu kontrollieren, was in einer Umgebung ausgeführt werden darf und was nicht.

Zur Prävention gegen Exploits geht ein intelligenter Endpunktschutz nach den folgenden Ansätzen vor:
 

Prävention gegen Speicherbeschädigung/-manipulation

Speicherbeschädigung ist eine Kategorie von Exploit-Techniken, bei denen der Exploit die Speicherverwaltungsmechanismen des Betriebssystems manipuliert, damit die Anwendung eine „bewaffnete“ Datendatei öffnet, die den Exploit enthält. Diese Präventionsmethode erkennt und stoppt diese Exploit-Techniken, bevor sie eine Chance haben, die Anwendung zu unterminieren.

Logic-Flaw-Prävention

Logic Flaw ist eine Kategorie von Exploit-Techniken, die dem Exploit ermöglicht, im Betriebssystem die normalen Prozesse zu manipulieren, die verwendet werden, damit die Zielanwendung die bewaffnete Datendatei öffnet und ausführt. Zum Beispiel kann der Exploit die Position verändern, wo Dynamic Link Libraries (DLLs) geladen werden, so dass legitime durch schädliche DLLs ersetzt werden können. Diese Präventionsmethode erkennt diese Exploit-Techniken und stoppt sie, bevor sie erfolgreich eingesetzt werden.

Prävention gegen Ausführung von bösartigem Code

In den meisten Fällen ist das Endziel eines Exploits, irgendeinen Code auszuführen, also die Befehle des Angreifers, die in der Exploit-Datendatei eingebettet sind. Diese Präventionsmethode erkennt die Exploit-Techniken, die es dem Angreifer ermöglichen, Schadcode auszuführen und blockiert sie rechtzeitig.

Darüber hinaus sollte eine Lösung in der Lage sein, bösartige ausführbare Dateien in Quarantäne zu verwahren, um jede weitere Ausbreitung zu stoppen. Zudem sollte es möglich sein, nicht-bösartige, aber anderweitig unerwünschte Software (zum Beispiel Adware) an der Ausführung zu hindern.

„Da die meisten Banken über eine große Zahl an Filialen verfügen, unzählige Geldautomaten betreiben und auch häufig auf mobile Mitarbeiter in der Kundenberatung setzen, sind Endpoints ein besonders gefährdetes Einfallstor für Malware und Angreifer“, erklärt Thorsten Henning. „Die zunehmend intelligenten und maßgeschneiderten Attacken erfordern Sicherheitslösungen, die selbst flexibel und agil sind. Deshalb sehen wir hier einen großen Bedarf an Ansätzen, die über konventionelle Antivirus-Konzepte hinausgehen.“

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int E6b1eed76833e40b6dff0a1070b0694f

Cyber-Kriminelle nutzen Fake-App für Malware

Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des…
Tb W190 H80 Crop Int Db461ec563234e57f2cba9109df3ec5f

Kryptowährungen im Überblick

Seit 2010 ist der Vormarsch der sogenannten Kryptowährungen nicht mehr aufzuhalten. Dabei…
Ransomware Lösegeld

Ransomware: Warnung vor Lösegeldzahlung

Cyberkriminelle „kidnappen“ Daten und Computer von Organisationen und Einzelpersonen. Der…
Tb W190 H80 Crop Int C47c64413dabc5f83c8af1202d07c3d8

Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den…
Urlaub

Cyber-Security-Checkliste: Tipps für den Sommerurlaub

Der Sommer steht vor der Tür und mit ihm werden für viele die Urlaubspläne konkret. Dabei…
High Voltage Sign

Cyberattacken auf kritische Infrastrukturen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt aus aktuellem Anlass…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security