Kaspersky zeigte auf der CeBIT seine neue 'Anti Targeted Attack Platform' für Unternehmen und Infrastruktur-Anbieter. Attacken auf Finanzhäuser bleiben 98 Tage unentdeckt und verursachen enorme Schäden.
Die Zahlen sind ernüchternd und werden von den betroffenen Unternehmen natürlich nicht an die grosse Glocke gehängt. Attacken auf Finanzhäuser bleiben, nach Auswertungen des Sicherheitsanbieters Kaspersky, im Durchschnitt 98 Tage lang unentdeckt. Die Eindringliche manipulieren typischerweise erst einmal nichts, sondern sondieren die ICT-Systeme des Opfers, bevor sie dann zuschlagen. Der Schaden beträgt etwa 551'000 Franken, in Einzelfällen noch höher. Da sind der Imageschaden, den das Unternehmen erleidet, Gerichtskosten wegen Schadensersatzansprüchen und Verluste an Wettbewerbsfähigkeit noch nicht eingerechnet. Noch länger bleiben Attacken bei Einzelhändlern unentdeckt: durchschnittlich 198 Tage (Kaspersky Global Security Risks Report 2015).
Firewalls reichen nicht
Der traditionelle Parameter-Ansatz, bei dem eine Firewall die IT-Systeme wie die Befestigungsmauern einer Burg von aussen schützt, ist den Angriffen nicht mehr gewachsen. Irgendein Virus kommt immer durch, irgendein Endanwender klickt immer auf das mit Malware verseuchte Mail-Attachement oder riskiert einen Blick auf die Datei "Gehaltslisten 2016", wo er dann den Trojaner aktiviert. Sicherheitsplattformen der nächsten Generation rechnen deshalb mit erfolgreichen Eindringlichen und versuchen, den Schaden im ICT-System so gering wie möglich zu halten, den Virus zu isolieren, seinen Aktionsradius einzugrenzen. So wie ein gutes Medikament die Beschwerden beim kranken Patienten minimiert. Kaspersky spricht von einer "Weltneuheit" und stellte auf der CeBIT seine "Anti Targeted Attack Platform" vor. Oleg Glebov, Solution Business Lead beim russischen Sicherheitsanbieter, war extra aus Moskau eingeflogen, um die Details zu erläutern. Die neue Plattform ist so komplex, dass Kaspersky einen Riesenkuchen mit mehreren Layern und Komponenten aufgebaut hatte, mit dem sich das Publikum schon einmal geschmacklich dem Thema annähern konnte. Nächste Seite: Sensoren auf allen Layern
Sensoren auf allen Layern
Computerworld liegen die technischen Papers vor. Kasperskys Anti Targeted Attack Platform überwacht den Netzverkehr im Unternehmen in Echtzeit und kombiniert das mit einer Metadaten-Analyse, einer Objekt-Sandbox zum Isolieren verdächtiger Dateien und einer Endpoint-Verhaltensanalyse der Anwender. Die Bedrohungsanalyse korreliert also mehrere Einflussfaktoren miteinander, um neue Malware, Ransomware, Crimeware und die besonders gefährlichen Advanced Persistent Threats zu erkennen. Im Einzelnen:
Netzwerksensoren überwachen den Netz-Traffic, um Frühindikatoren zu erkennen, die auf einen Angriff hindeuten (Anomalien. Musterabweichungen etc.).
E-Mail-Sensoren sollen potentiell schädliche Objekte aus Mail-Anhängen ausschleusen.
Endpoint-Sensoren (light agents) sammeln Informationen über netzwerkaktive Prozesse, die von den Endanwendern (Endpoints) des Unternehmens ausgeführt werden.
Websensoren machen potenziell gefährliche Objekte im Webverkehr unschädlich und verwenden dafür das ICAP-Protokoll. Dadurch werden Angriffe vereitelt, die bereits durch den blossen Besuch einer infizierten Webseite starten.
Kasperskys Sandbox-Technologie ist eine Art Hochsicherheitslabor für besonders gefährliche Viren. Sandboxen stellen eine isolierte, virtualisierte Umgebung bereit, wo Sicherheitsexperten verdächtige Objekte, die Netzwerk-, Mail- und Websensoren identifiziert haben, dynamisch untersuchen können. Stellt sich ein Objekt im isolierten Sandbox-Test als Schädling heraus, kann er trotzdem keinen Schaden im System anrichten.
Der Targeted Attack Analyzer kombiniert die Daten der Netzwerk- und Endpoint-Sensoren und vergleicht sie mit der "Baseline", also den typischen Mustern, um verdächtige Aktivitäten aufzuspüren. Durch die Korrelation mehrerer Faktoren wird ungewöhnliches, abweichendes Verhalten transparent. Ein einfacher Virenscanner wäre nicht in der Lage, solch komplexe Angriffe aufzudecken. Viele Unternehmen sind im Besitz der Daten und "Incidents", nutzen sie aber nicht für die Prävention, sagt Oleg Glebov. Das sei ein teurer Fehler. Das Zeitalter der Produkte gehe zu Ende, die Ära der Plattformen breche an, das war auf der CeBIT oft zu hören und gilt auch für die Sicherheit. Kaspersky komplettiert seine neue Plattform mit dem Beratungs- und Dienstleistungsangebot "Security Intelligence Services".
