Abwehrkette – So hilft mehrstufige Erkennung gegen Cyberangriffe

Gewiefte Cyberkriminelle sind ständig auf der Suche nach neuen Wegen, ihre Opfer zu infiltrieren und wechseln regelmäßig ihre Taktik und Methoden. Unternehmen können sich bei der Verteidigung von Malware-Angriffen nicht auf eine einzelne, isolierte Schutzschicht verlassen, wenn sie Datenverlust und Geschäftsunterbrechungen vermeiden wollen. Bei der effektiven Abwehr solcher Angriffe helfen mehrstufige, integrierte Sicherheitslösungen.

Cyberattacken sind heutzutage ausgeklügelte Angriffe, die aus mehreren Phasen bestehen und auf verschiedenen Ebenen ansetzen. Analog muss der moderne Schutz von Endgeräten ebenso mehrere Verteidigungslinien aufweisen, um auch gegen anspruchsvolle Cyberangriffe wirksam zu sein. Wie jedoch lässt sich eine mehrstufige Abwehr in der Praxis in Stellung bringen? Zuerst einmal hilft es zu verstehen, wie das Aufspüren von Angriffen auf verschiedenen Ebenen funktioniert.

 

Angriffe auf jeder Ebene erkennen

Genau wie jedes andere Programm ist Malware im Grunde genommen Code – Software also, die auf der Festplatte oder dem Arbeitsspeicher gespeichert und ausgeführt wird. In der Sicherheitstechnologie unterscheidet man zwei Zustände dieser Malware: Pre-Execution und On-Execution. Im ersten Schritt der Abwehr von Angriffen geht es generell darum, Bedrohungen idealerweise vor einem Angriff, im zweitbesten Fall in Echtzeit beim Start eines Angriffs zu erkennen. Mit welchen Instrumenten gehen mehrstufige Sicherheitslösungen dabei vor?

 

  1. Signaturen und Datei-Fingerabdrücke

Eine Technologie, die erkennen kann, ob eine auszuführende Software gut- oder bösartig ist, vergleicht auf der ersten Verteidigungsebene Signaturen und Datei-Fingerabdrücke der Software mit entsprechenden Bibliotheken in der Cloud. Lösungen, die weltweit hunderte Millionen von Endpunkten schützen und in einem vollautomatischen Workflow die Datenbanken aktualisieren, können bereits auf diese Weise die riesige Zahl einfacher Angriffe abwehren. Um auch unbekannte Malware zu erkennen nutzt die Technologie zeitgleich Machine Learning, um die Wahrscheinlichkeit zu ermitteln, ob eine Datei bösartig ist, basierend auf der Ähnlichkeit von Metadaten und Dateieigenschaften mit bekannten bösartigen Dateien.

2. Hyper Detection und Machine Learning

Noch einen Schritt weiter gehen Hyper-Erkennungstechnologien. Sie bestehen aus hochkomplexen maschinellen Lernalgorithmen, deren Aufgabe es ist, Bedrohungen in der Pre-Execution-Phase zu erkennen, also vor der Ausführung. Es hilft beim Verständnis, sich Hyper-Detection-Technologien als paranoide Machine-Learning-Algorithmen vorzustellen, die keinerlei Risiko akzeptieren, und fortgeschrittene und ausgeklügelte Bedrohungen erkennen. Diese gezielte Paranoia ist besonders nützlich für Unternehmen bei der Erkennung von Advanced Attacks. Diese Technologien können sogar bösartige dateilose Befehle und Skripte prüfen und erkennen, einschließlich VB-, JAVA-, PowerShell- und WMI-Skripte.

3. Sandboxing

Um herauszufinden, ob eine fragwürdige Datei gut oder bösartig ist, kann es weiterhin nützlich sein, die Datei in einer isolierten Sandbox-Umgebung zu öffnen. Auch diesen Schritt nimmt eine Multi-Layer-Lösung selbständig und automatisiert vor. Wenn es sich um ausführbare Dateien handelt, kann eine mehrstufige Sicherheitslösung sie dann eine bestimmte Zeit unter Beobachtung laufen lassen, während sie im Detail analysiert, welche Systemänderungen die Ausführung der Datei zur Folge hatte. Sandboxing ist sehr effektiv, da kein Infektionsrisiko für aktive Systeme besteht. Es kann aber abhängig von der Konfiguration Abläufe verzögern, etwa die  Auslieferung eines E-Mail-Anhangs.

4. Prozessüberwachung

Auch für die Erkennung von Malware on-execution, also während der Ausführung, gibt es Sicherheitstechnologien. Sie werden auf Endgeräten eingesetzt und überwachen kontinuierlich alle aktiven Anwendungen und Prozesse auf dem Gerät. Sobald Anomalitäten auftreten, meldet oder blockt die Lösung den Prozess. Zum Beispiel bemerkt die Prozessüberwachung, wenn ein legitimes Programm durch Code Injection kompromittiert wird. Sie stoppt den Prozess und meldet den Vorfall, bevor es zu Schäden kommen kann.

5. EDR (Endpoint Detection and Response)

EDR ist ein weiteres Tool der Überwachung mit Schwerpunkt auf die Post-Breach-Phase. Es hilft den IT-Sicherheitsverantwortlichen, zum Beispiel in einem Security Operations Center (SOC), Sicherheitsvorfälle zu stoppen und die  Folgen für die angegriffene Organisation schnell einzudämmen. EDR  bietet weitere Mechanismen zur Erkennung der Ausführung bösartiger Prozesse. Es ermöglicht sofortige und automatische Aktionen gegen erkannte Bedrohungen, wie zum Beispiel das Beenden bösartiger Prozesse, Aussperren gestohlener Identitäten und das Rückgängigmachen von illegitimen Änderungen. EDR hilft dabei, das Netzwerk sicherer zu machen durch Aufzeichnung von Endpunktaktivitäten, Korrelation von Ereignissen und eine übersichtliche Darstellung von Kompromissindikatoren (Indicators of Compromise, IOCs) sowie durch die Visualisierung der Vorfälle. Vordefinierte Arbeitsabläufe (Incident Response Workflows) reduzieren zudem die personellen Anforderungen bei der „Bereinigung“. Sie sorgen für Handlungsfähigkeit, um auf einen Sicherheitsvorfall effektiv zu reagieren, Angriffe einzudämmen, zu isolieren und zu stoppen.

 

Mehrstufige Sicherheitslösungen

Früher beschränkte sich Endpoint Security auf die Abwehr von Angriffen (pre-execution) und verfolgte dieses Ziel mit wenigen Mitteln. Daher konnten sich Angreifer, sobald sie ein System kompromittiert haben, auf die Schulter klopfen: Nach einem erfolgreichen Einbruch folgte fast immer der erfolgreiche Datenklau, die erfolgreiche Spionage oder was sonst das Ziel des Angriffs war. Mehrstufige Sicherheitstechnologien ändern dies. Führende Lösungen vereinen über 30 Sicherheitsmechanismen in einem Agenten. Alle Funktionen lassen sich von einer einzigen Konsole aus verwalten und überwachen.

Wichtig ist dabei, dass dieser Alleskönner-Agent nicht nur für bestimmte Endpunkte zur Verfügung steht, wie etwa klassische Windows-PCs. Im Zeitalter mobiler Endgeräte und virtualisierter Rechenzentren muss er verschiedenste Betriebssysteme von stationären und mobilen Geräten unterstützen und sowohl auf physischen als auch auf virtuellen Endpunkten voll einsatzfähig sein.

Dieser Punkt wird oft unterschätzt. Doch ein typisches Einfallstor in Unternehmensnetzwerke sind virtuelle Maschinen, die ohne Gedanken an die Sicherheit schnell zu Testzwecken aufgesetzt wurden. Später wird nicht selten vergessen, die Maschinen wieder zu löschen, die dann ohne den nötigen Schutz laufen und als schwächstes Glied in der Verteidigungskette buchstäblich dazu einladen, gehackt zu werden. Um dies zu vermeiden, benötigen Organisationen eine Sicherheitsstrategie, die alle Endpunkte berücksichtigt und sicherstellt, dass insbesondere virtuelle Endpunkte, „von Geburt an“ sicher sind und einheitlich mit allen anderen Endpunkten gesichert werden und es über ihre gesamtes Leben bleiben.

Eine solche Sicherheitsinfrastruktur lässt Angreifern kaum noch Chancen. Denn Hacker müssen in jeder Phase des Angriffs befürchten, entdeckt und gestoppt zu werden. Selbst ein erfolgreiches Eindringen in Netzwerke oder Endgeräte bleibt in vielen Fällen ohne Folgen für die angegriffene Organisation, weil die Prozessüberwachung die illegitimen Prozesse stoppt oder das EDR die kompromittierten Systeme sofort aufdeckt und dafür sorgt, dass die Sicherheitsverantwortlichen die Gefahrenquellen isolieren.

Eine mehrstufige IT-Sicherheitslösung wie Bitdefender Gravity Zone (siehe Kasten) greift immer, unabhängig von der Komplexität der Bedrohung. Solche Lösungen wurden speziell entwickelt, um auch Zero-Day-Exploits, APTs, dateilose Angriffe und verdeckte Malware am Endpunkt zu erkennen – und anschließend die Ausführung zu verhindern. Während beispielsweise ein manipuliertes Dokument, das ein bösartiges Visual-Basic-Skript enthält, eine E-Mail-Filterlösung umgehen könnte, wird es auf jeden Fall von einer Sandbox-Analyse-Technologie erfasst. Diese erkennt den Angriff sobald das Skript beginnt, bösartige Anweisungen oder Befehle auszuführen oder versucht, sich mit weiteren Komponenten auf dem Endpunkt zu verbinden.

Sollte eine Malware nach dem Prinzip einer Zeitbombe nicht sofort „detonieren“, kann sie möglicherweise auch die Sandbox überwinden. Dann greifen jedoch Tools wie Hyper Detection  und die Prozessüberwachung. All diese Hindernisse zu überspringen, verlangt von Angreifern einen extrem hohen Aufwand, den allenfalls noch große hochprofessionalisierte Hackergruppen und staatliche Akteure leisten können. Doch selbst diese Sorte Angreifer hinterlassen Auffälligkeiten und Spuren, die mithilfe von EDR und netzwerkbasierten Tools auftauchen, so dass selbst ausgefeilteste Angriffe sofort entdeckt und abgeblockt werden können.

 

Ein dichtes Sicherheitsnetz spannen

Die Zeit der One-Trick-Ponys ist vorbei. Die zunehmende Komplexität der Angriffe erfordert entsprechende Sicherheitstechnologien. Sie müssen in der Lage sein, mehrere Phasen eines Angriffs abzudecken und ein dichtes Sicherheitsnetz aufzuspannen. Wenn diese Sicherheitsebenen aus einer Hand kommen und die Sicherheitsverantwortlichen sie von einer zentralen Konsole aus verwalten können, bieten sie vollen Einblick in die gesamte Sicherheitslage des Unternehmens. Dies hilft den IT-Teams, sich proaktiv um Prävention und eine sichere und performante IT-Infrastruktur zu kümmern, anstatt ständig neue Angriffe manuell abzuwehren.

 

Autor: Liviu Arsene, Leitender E-Threat Analyst bei Bitdefender