PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Data Driven Business 2017
13.11.17 - 14.11.17
In Berlin

OMX Online Marketing Konferenz
16.11.17 - 16.11.17
In Salzburg

CyberkonzeptIn den letzten Monaten sind mehrere Vorfälle bei SWIFT-Mitgliedsbanken (Society for Worldwide Interbank Financial Telecommunications) ans Tageslicht gekommen. Die Angreifer machten sich Sicherheitslücken zunutze, stahlen dann gültige Anmeldeinformationen und verwendeten diese, um betrügerische Transfers einzuleiten.

Diese Angriffe tragen die Kennzeichen eines Account Takeover (ATO), bei dem sich Cyberkriminelle als rechtmäßige Kunden ausgeben, so der IT-Sicherheitsanbieter Palo Alto Networks. Als beste Praktiken zur Bekämpfung von ATOs empfiehlt Palo Alto Networks zunächst das Patchen, um Sicherheitslücken schließen, sowie eine Netzwerksegmentierung und Multi-Faktor-Authentifizierung. Für den Schutz von Endpunkten hingegen rät Palo Alto Networks zu einer verhaltensbasierten Früherkennung.

„In Finanzunternehmen ist das rechtzeitige Software-Patching eine Herausforderung aufgrund strenger Testanforderungen, begrenzter Zeitfenster für Änderungen und die schiere Menge der oft weit verteilten Geräte wie Laptops, Desktops und Server“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Zwar wächst das Interesse für Netzwerksegmentierung zugunsten der Internetsicherheit, aber tatsächliche Implementierungen sind selten, da die meisten Institute noch flache Netzwerke haben. Multi-Faktor-Authentifizierung ist für den Fernzugriff auf das Firmennetz verbreitet, aber innerhalb des Perimeters selten.“

Da diese klassischen Maßnahmen in der Praxis nur selten realisiert werden, empfiehlt sich als alternativer Ansatz ein intelligenter Endpunktschutz auf Laptops, Desktops und Servern an. Diese Geräte stehen bei mindestens zwei Phasen des typischen Lebenszyklus eines Cyberangriffs im Mittelpunkt. Endbenutzer und ihre Geräte sind Ziele von Speer-Phishing, Drive-by-Downloads und Social Engineering. Exploits und Malware werden eingeschleust, um den Endpunkt zu kompromittieren. Die Cyberkriminellen verwenden diesen dann als Brückenkopf, um an wertvolle Informationen zu gelangen oder andere verwundbare Systeme (z.B. Server) im Netzwerk zu manipulieren. Antiviren-Lösungen wurden jahrelang auf Endpunktgeräten eingesetzt, haben sich mittlerweile jedoch für den Schutz vor heutigen Sicherheitsbedrohungen als unwirksam erwiesen. Neue Lösungen sind gefragt, die intelligenter und flexibler sind.

Prävention mittels Multi-Methoden-Ansatz

Um die Schwächen konventioneller Sicherheitslösungen für Endpunkte zu kompensieren, empfiehlt Palo Alto Networks einen präventiven Ansatz, der auf mehreren Verfahren basieren sollte. Eine Kombination hocheffektiver Methoden zum Schutz der Endpunkte vor bekannten und unbekannten Bedrohungen ist für Unternehmen der Finanzbranche ideal. Die folgenden fünf Techniken zum Schutz vor Attacken sollten einen modernen Endpunktschutz auszeichnen:

Statische Analyse über maschinelles Lernen

Diese Methode beurteilt jede unbekannte ausführbare Datei, bevor diese ausgeführt werden darf. Durch die Untersuchung Hunderter von Eigenschaften im Bruchteil einer Sekunde bestimmt diese Methode, ob die Datei bösartig oder gutartig ist, ohne Abhängigkeit von Signaturen, Scannen oder Verhaltensanalyse.

Inspektion und Analyse in der Cloud

Ein moderner Endpunktschutz arbeitet zusammen mit einer Bedrohungsanalyse-Cloud, um zu bestimmen, ob eine ausführbare Datei bösartig ist. Eine solche Cloud kann die Gefahr einer unbekannten Bedrohung beseitigen, indem diese in etwa fünf Minuten in eine bekannte Bedrohung verwandelt wird. Die automatische Neuprogrammierung des Endpunktschutzes und Umwandlung von Bedrohungsanalyse in Prävention macht es für einen Angreifer unmöglich, nicht bekannte und fortschrittliche Malware zu verwenden, um ein System zu infizieren.

Trusted-Publisher-Identifizierung

Diese Methode ermöglicht es Unternehmen, „unbekannte gutartige“ Dateien, zu identifizieren.

Regelbasierte Einschränkung der Ausführung

Unternehmen können auf einfache Weise Richtlinien definieren, um bestimmte Ausführungsszenarien zu beschränken, wodurch die Angriffsfläche jeder Umgebung reduziert wird. Ein Beispiel wäre, zu verhindern, dass eine bestimmte Datei direkt von einem USB-Laufwerk ausgeführt wird.

Administrator-Richtlinien

Unternehmen können Richtlinien definieren, basierend auf dem Hash einer ausführbaren Datei, um zu kontrollieren, was in einer Umgebung ausgeführt werden darf und was nicht.

Zur Prävention gegen Exploits geht ein intelligenter Endpunktschutz nach den folgenden Ansätzen vor:
 

Prävention gegen Speicherbeschädigung/-manipulation

Speicherbeschädigung ist eine Kategorie von Exploit-Techniken, bei denen der Exploit die Speicherverwaltungsmechanismen des Betriebssystems manipuliert, damit die Anwendung eine „bewaffnete“ Datendatei öffnet, die den Exploit enthält. Diese Präventionsmethode erkennt und stoppt diese Exploit-Techniken, bevor sie eine Chance haben, die Anwendung zu unterminieren.

Logic-Flaw-Prävention

Logic Flaw ist eine Kategorie von Exploit-Techniken, die dem Exploit ermöglicht, im Betriebssystem die normalen Prozesse zu manipulieren, die verwendet werden, damit die Zielanwendung die bewaffnete Datendatei öffnet und ausführt. Zum Beispiel kann der Exploit die Position verändern, wo Dynamic Link Libraries (DLLs) geladen werden, so dass legitime durch schädliche DLLs ersetzt werden können. Diese Präventionsmethode erkennt diese Exploit-Techniken und stoppt sie, bevor sie erfolgreich eingesetzt werden.

Prävention gegen Ausführung von bösartigem Code

In den meisten Fällen ist das Endziel eines Exploits, irgendeinen Code auszuführen, also die Befehle des Angreifers, die in der Exploit-Datendatei eingebettet sind. Diese Präventionsmethode erkennt die Exploit-Techniken, die es dem Angreifer ermöglichen, Schadcode auszuführen und blockiert sie rechtzeitig.

Darüber hinaus sollte eine Lösung in der Lage sein, bösartige ausführbare Dateien in Quarantäne zu verwahren, um jede weitere Ausbreitung zu stoppen. Zudem sollte es möglich sein, nicht-bösartige, aber anderweitig unerwünschte Software (zum Beispiel Adware) an der Ausführung zu hindern.

„Da die meisten Banken über eine große Zahl an Filialen verfügen, unzählige Geldautomaten betreiben und auch häufig auf mobile Mitarbeiter in der Kundenberatung setzen, sind Endpoints ein besonders gefährdetes Einfallstor für Malware und Angreifer“, erklärt Thorsten Henning. „Die zunehmend intelligenten und maßgeschneiderten Attacken erfordern Sicherheitslösungen, die selbst flexibel und agil sind. Deshalb sehen wir hier einen großen Bedarf an Ansätzen, die über konventionelle Antivirus-Konzepte hinausgehen.“

www.paloaltonetworks.com

GRID LIST
Chris Brennan

Der Fall Equifax zeigt Anfälligkeit von Unternehmen für Cyberkriminalität | Kommentar

Eine Schwachstelle in der IT öffnete bei der US-Wirtschaftsauskunftei Equifax Unbekannten…
 KRACK WLAN Spionage

KRACK WLAN-Sicherheitslücke bedroht vor allem Unternehmen

Seit Montag ist die Sicherheitslücke KRACK in der WPA2-Verschlüsselung bei…
Tb W190 H80 Crop Int 8c5f1d966d2eef8ccec63f1c2e1e49df

RAT: Hackers Door wird privat weiter verkauft

Der Remote Access Trojaner (RAT) „Hackers Door“ hat schon vor einiger Zeit von sich reden…
Tb W190 H80 Crop Int B043d8113264a1ebb208c5eeb5e5daec

KrackAttack: Was Sie jetzt wissen sollten

Die Erfinder des Wi-Fi hatten die aktuellen Sicherheitsprobleme nicht im Blick, als sie…
Tb W190 H80 Crop Int 9fdb6e3de368c7c543cba1f46ef268c0

Sicherheit im Netz: Bleiben wir wachsam | Kommentar

Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben…
DDoS Bomben

Secondhand DDoS-Angriffe: Worauf Service Provider achten sollten

Immer mehr Unternehmen weltweit verlassen sich auf gehostete kritische Infrastrukturen…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet