Security-Anbietercheck
Wie sich gezielte Angriffe abwehren lassen
Sandbox-Analyse
Die neuen Lösungen, die dieses Problem adressieren, setzen an unterschiedlichen Stellen an. Am bekanntesten ist momentan die Analyse von übertragenen Objekten in einer gesicherten virtuellen Maschine oder Sandbox in der Firewall-Umgebung, bezeichnet als "Sandbox-Analyse". Ein Sensor kopiert alle Dokumente beziehungsweise Objekte, die von Webseiten heruntergeladen werden oder an eingehenden Mails angehängt sind. Diese Objekte werden in einer abgeschotteten Sandbox auf einem zentralen System gespeichert und dort automatisch geöffnet oder zur Ausführung gebracht. Dabei überwacht ein Sicherheitssystem alle Aktivitäten in der Sandbox. Wenn nun Systemeinstellungen manipuliert werden, Code aus dem Internet nachgeladen oder sonstiges bösartiges Verhalten erkannt wird, geht man davon aus, dass es sich um Malware handelt.
Damit diese Analyse nicht mehrfach nötig wird, speichert das System eine Prüfsumme mit dem Analyseergebnis. So lässt sich das Objekt wiedererkennen, wenn es ohne Veränderung nochmals heruntergeladen wird oder einer Mail angehängt ist. Im Wiederholungsfall kann ein bereits zuvor analysiertes und als gefährlich eingestuftes Objekt dann auch direkt blockiert werden.
Diese Information - das Analyseergebnis der Malware und seine Prüfsumme - fällt unter den Überbegriff "Threat Intelligence". Die meisten Hersteller bieten ihren Kunden zusätzlich zu dem Analyse-System auch eine Cloud-Plattform, über die Threat Intelligence ausgetauscht werden kann. Damit können die Kunden des Herstellers von Informationen über bereits analysierte Malware anderer Kunden profitieren.
- Eine BT-Umfrage zeigt, ...
... dass 32 Prozent der Unternehmen glauben, dass ihre Geschäftsleitung die Bedeutung von IT-Sicherheit unterschätzt. Ohne Bewusstsein für die neuartigen Cyber-Bedrohungen werden aber kaum präventive Maßnahmen wie beispielsweise Cyber-Frühwarnsysteme eingesetzt. - Wachsende Bedrohungslage
Die Bedrohungen für IT-Systeme werden immer vielfältiger und komplexer. Gerade kleine und mittlere Unternehmen brauchen Unterstützung, um Angriffe möglichst frühzeitig erkennen und abwehren zu können. Eine wichtige Rolle können dabei Threat-Monitoring-Services aus der Cloud spielen. - Früherkennung von Gefahren
Die Kombination verschiedener, weit verteilter Quellen für sicherheitsrelevante Informationen ermöglicht es, Angriffe früher und besser zu erkennen. Dies ist die Basis für Lösungen im Bereich Threat Monitoring und Threat Intelligence. - Ergänzende Analyse-Funktionen
Die Lösung Arbor Networks Pravail Security Analytics gibt es auch als Cloud-Version. Über den Zugriff auf die Daten von ATLAS (Active Threat Level Analysis System) stehen dem Anwender-Unternehmen umfangreiche Bedrohungsinformationen für sein Frühwarnsystem zur Verfügung. - Dashboards helfen visualisieren
Lösungen wie Trustwave Threat Intelligence bieten dem Anwenderunternehmen Dashboards, mit denen die Bedrohungsdaten und -vorhersagen individuell dargestellt werden können. Dies hilft auch bei der gezielten Umsetzung von Compliance-Vorgaben. - In Echtzeit
Die Visualisierung von Cyber-Attacken in Echtzeit, wie dies zum Beispiel die Kaspersky-Cyberbedrohungsweltkarte bietet, zeigt eindrucksvoll die Bedrohungslage und hilft bei der Sensibilisierung. Zusätzlich besteht Bedarf an Bedrohungsdaten, die in IT-Sicherheitslösungen importiert werden können, um so die Abwehr möglichst automatisch optimieren zu können.
Beim ersten Auftreten einer neuen Malware steht jedoch eine neue Analyse an. Da diese Analyse einige Zeit benötigt, ist es üblich, die Anwender nicht warten zu lassen. Folglich kommt die erste Übertragung in der Regel beim Anwender an, bevor die Analyse fertiggestellt werden konnte. Eine Sandbox-Analyse-Funktion bietet deshalb lediglich einen begrenzten vorausschauenden Schutz und dient vielmehr der Erkennung von Malware.