Hochentwickelte Malware bringt zahlreiche Sicherheitslösungen an ihre Grenzen, weil sie darauf ausgelegt ist, der Entdeckung zu entgehen. Daher ist es wichtig, die eigenen Sicherheitskonzepte auf den Prüfstand zu stellen, denn bei der Erkennung komplexer Malware bestehen oft Lücken.
Was sind Advanced Threats?
Bei Advanced Threats handelt sich um Cyber-Bedrohungen, die sich durch ihre Komplexität, ihre Verschleierungstechniken oder auch einfach durch ihre Neuheit („noch nie dagewesen“) auszeichnen. Dazu gehören:
- Zero-Day Malware: erstmals auftretende, bislang unbekannte Malware, für die noch keine Identifikationsmerkmale (z.B. Malware-Signaturen) vorliegen.
- Evasive Malware: Schadsoftware, die über ausgefeilte Tarnmechanismen verfügt oder die ihre identifizierbaren Merkmale ständig ändert.
- Zielgerichtete Angriffe: komplexe, auf eine Ziel-Organisation ausgerichtete Attacken. Spear-Phising-Angriffe fallen in diese Kategorie.
Weshalb sind Advanced Threats schwierig zu erkennen?
Jede Organisation verfügt über Technologien, die vor Malware schützen, z.B. Firewalls, Anti-Virus-Lösungen, E-Mail- und WebGateways. Die Malware-Erkennung dieser Systeme beruht in der Regel auf statischen Analyse-Methoden (Signaturen, Heuristiken, Reputationsabgleich). Schadsoftware, die bereits bekannt ist, kann damit sehr effizient entdeckt werden. Für erstmals auftretende Malware gibt es jedoch noch keine eindeutigen Identifikatoren. Das Problem liegt in der Erkennung des „Unbekannten“.
Lösungen für Advanced Threat Detection
Sandboxing-basierte Lösungen sind das Mittel der Wahl, wenn es um die Erkennung von Advanced Threats geht. In einem streng isolierten System (Sandbox) wird die unbekannte Datei oder URL zur Ausführung gebracht. Bei dieser als dynamische Analyse bezeichneten Erkennungsmethode wird Malware anhand des gezeigten, bösartigen Verhaltens identifiziert. Moderne Threat-Detection-Lösungen verfügen sowohl über statische als auch dynamische Analyse-Methoden: die statischen Verfahren identifizieren bereits bekannte Malware in Sekundenschnelle. Verbleibende „Verdächtige“ unbekannter Natur werden der Verhaltensanalyse in der Sandbox-Umgebung zugeführt.
Wo kommen Threat-Detection-Lösungen zum Einsatz?
- Incident Response/Forensik: Zur granularen Einsicht in das Verhalten der untersuchten Malware. Detaillierte, klar strukturierte Analyse-Reports sind von höchster Wichtigkeit.
- Security Operations Center: Zur Automatisierung von Malware-AnalyseWorkflows sowie zur Alarm-Validierung und Triage. Der Schwerpunkt liegt auf den Automatisierungsfunktionen, um Teams von manuellen Arbeitsabläufen zu entlasten.
- Datenschleuse: Zur Überprüfung extern eingebrachter Datenbestände und portabler Datenträger. Infizierte Speichermedien gehören zu den beliebtesten Vektoren für MalwareAngriffe.
Mehr zu diesem Thema erfahren Sie unter Cyber-Resilienz für den öffentlichen Sektor.
Der Autor des Gastbeitrags ist Jörg Herrman. Er arbeitet im Bereich Public Sector bei VMRay.
Gemeinsam mit VMRay veranstaltet der Behörden Spiegel am Mittwoch, den 23. März von 10:30 bis 12 Uhr ein PartnerWebinar zum Thema “Die Datenschleuse in der Praxis – Wirksamer Schutz in einem komplexen Bedrohungsumfeld”. Mehr Informationen und die Möglichkeit zur Anmeldung gibt es online unter diesem Link.
