Smart-Security überlistet Malware

Reine Next-Generation-Lösungen

Einige Anbieter nehmen für sich in Anspruch, den etablierten Antiviren-Herstellern mit reinen Next-Generation-Lösungen die Stirn zu bieten. Dazu gehört die Firma Palo Alto, ein Sicherheitsanbieter mit Fokus auf Next-Generation-Produkten.
Für Martin Zeitler, Senior Manager Systems Engineering, Major Accounts Germany bei Palo Alto Networks, stellt sich die zentrale Aufgabe zunächst so dar: «Die grosse Herausforderung ist die Geschwindigkeit, in der wir neue Samples sehen. An sich ist die Signatur als Antiviren-Technik eine gute Technologie – wenn Sie eine richtig gut geschriebene Signatur haben, ist die Wahrscheinlichkeit, dass Sie dann ein False Positive kriegen, extrem gering.» Allerdings, so räumt er ein, bestehe dann ein entscheidendes Problem darin, flexibel auf die Veränderung aufseiten der Angreifer zu reagieren und die Erkenntnisse schnell genug mit dem Kunden beziehungsweise der Allgemeinheit zu teilen. Palo Alto setzt laut Zeitler an zwei Punkten an: «Ein Punkt ist die klassische Firewall im Netzwerk. Dabei sehen wir diese nicht mehr nur am Perimeter, sondern eigentlich in allen Bereichen der Enterprise-Infrastruktur – im Netzwerk zur LAN/WAN-Segmentierung, vor und auch innerhalb des Data Centers und in der Cloud – sowohl in Public als auch in Private Clouds. Wir sehen Firewalls überall dort, wo wir Netzwerkkomponenten haben oder Anwendungen ausführen, die in irgendeiner Form eine Sicherheitsabtrennung brauchen.»
Als zweiten Ansatzpunkt führt er die End­geräte an: «Firewalls werden seltener angegriffen. In der Regel gilt der Angriff dem Endpunkt, und nicht immer befindet sich eine solche Firewall zwischen Angreifer und Endpunkt.» Gegen klassische Mal­ware wie gegen Zero-Day-Exploits, die den Endpunkt angreifen, geht Palo Alto Martin Zeitler zufolge auf die gleiche Art und Weise vor: «Unser Ansatz ist immer Prevention. Wir wollen immer so viel wie möglich blockieren.» Dabei sei es für Palo Alto wichtig, dass die Kunden auch vor unbekannten Exploits geschützt sind, die vielleicht sogar erstmals auftauchen. Dafür stehe in der Lösung ein Exploit-Prevention-Modul bereit. Dieses überwache die Tätigkeiten der Programme im Arbeitsspeicher und könne dabei Exploit-Techniken erkennen und unterbinden. Neben dieser Exploit-Prevention setzt das Sicherheitsunternehmen in der Lösung Traps Advanced Endpoint Protection mit Multi-Method Malware Protection eine weitere Technik ein, die eine Ausführung von Malware verhindern soll. Als Teil der Next Generation Security Platform greifen diese Software-Module auf den als Wildfire bezeichneten Threat-Analyse-Dienst zu, der von Palo Alto in der Cloud betrieben wird. Bei dem Dienst handelt es sich um ein verteiltes Sensornetz, in das dem Hersteller zufolge mehr als 15'500 Kunden aus den Unternehmen, von Regierungsstellen und Providern entsprechende Informationen zu Bedrohungen einspeisen und auf diese Weise voneinander profitieren. Nächste Seite: Der NG-«Visionär» Ein weiterer Anbieter aus der Umfeld der Next-Genera­tion-Lösungen ist Carbon Black. Das Unternehmen fordert eine noch radikalere Abkehr von den bisherigen Methoden zum Schutz vor Schadsoftware. Zusammen mit Palo Alto Networks wurde Carbon Black von den Analysten des Marktforschungsunternehmens Gartner im Januar dieses Jahres im «Magic Quadrant for Endpoint Protection Platforms» in den Bereich der Visionäre eingeordnet, während die traditionellen Anbieter wie Trend Micro, Sophos und Kaspersky Labs im Quadranten der führenden Unternehmen (Leaders) zu finden sind. Volker Sommer, Regional Director DACH bei Carbon Black, macht die Position seines Unternehmens pointiert deutlich: «Viele Endpoint-Security-Lösungen, wie klassisches Anti­virus und Machine-Learning-Antivirus, sind nicht in der Lage, Non-Malware-Attacken zu identifizieren geschweige denn zu verhindern, und bieten Hackern dadurch eine Einfallmöglichkeit, die vollkommen unbeachtet bleibt.» Herkömmliche Antivirus- und Machine-Learning-Antivirus-Lösungen seien darauf ausgelegt, Bedrohungen ausschliesslich in einem einzigen Moment zu identifizieren – nämlich dann, wenn eine Datei auf die Festplatte geschrieben wird: «Indem sie lediglich die Eigenschaften von ausführbaren Dateien analysieren, sind diese Lösungen gegenüber Angriffen ohne Dateien, wie im Fall von Non-Malware-Attacken, vollkommen blind.»
Das Ziel von Hackern sei, so Sommer weiter, sich Zugang zu Netzwerken zu verschaffen oder wertvolle Daten abzusaugen. Dies könnten sie mittels Non-Malware-Attacken erreichen, ohne dabei Gefahr zu laufen, entdeckt zu werden: «Dies gilt besonders, wenn Unternehmen sich auf Antivirus und Machine-Learning-Antivirus verlassen.»

Unter Non-Malware-Attacken versteht der Hersteller dabei Angriffe, die durch Standard-Anwendungsprogramme wie Microsofts Office Suite mittels Makros oder auch durch Systemprogramme wie die Powershell oder die DNS-Diensten in das Netzwerk beziehungsweise auf die Endgeräte gelangen. Die Lösung Cb Defense, die von Carbon Black als NGAV-Software (NGAV = Next Generation Anti Virus) bezeichnet wird, soll sowohl gegen «normale» Malware-Attacken als auch gegen die Non-Malware-Angriffe schützen können. Dazu wird ein sogenannter Light Weight Agent eingesetzt, den die IT von der Cloud aus verwaltet. Die Daten werden kontinuierlich und zentral in der Cloud ge­speichert. Dabei sollen «Threat Hunting»-Algorithmen, die in der Cloud aktiv sind, die Lösung in die Lage versetzen, auch bisher unbekannte Attacken zu erkennen. Die Entwickler bei Carbon Black sind davon überzeugt, dass künftig jede zukunftssichere Lösung Next-Generation Anti Virus (NGAV) umfassen muss. «Nur so sind Unternehmen in der Lage, hoch entwickelte Cyberangriffe einschliesslich Non-Malware-Attacken in Echtzeit zu erkennen und zu verhindern,» bringt Volker Sommer diese Einschätzung auf den Punkt. 


Das könnte Sie auch interessieren