IT Security September/Oktober 2023

More documents

Recommendations

Info

34 | IT-SA SPEZIAL Cloud-Sandboxing BEDROHUNGEN ERKENNEN, BEVOR DIESE INS NETZWERK GELANGEN Cloud-Sandboxing fängt Schadcode vor dem Erreichen des Netzwerks ab. Experten empfehlen, eingehende Dateien frühzeitig in einer sogenannten Cloud Sandbox zu testen. Selbst unbekannte Bedrohungen, sogenannte Zero-Days, können so keinen Schaden an der eigenen Organisation anrichten. Auch im Hinblick auf die Erfüllung des „Stands der Technik“ bei Cyberversicherungen und gesetzlichen Vorschriften ist der Einsatz solcher Technologien unverzichtbar. Oftmals genügt ein unüberlegter Klick auf den E-Mail-Anhang, der eine Infektion des Netzwerks mit Ransomware oder anderer Malware auslöst. Die Hacker setzen alles daran, Malware zu tarnen und sie wie vertrauenswürdige Dateien aussehen zu lassen. Da kann CLOUD SANDBOXING STEIGERT DAS SICHERHEITSNIVEAU DER EIGENEN ORGANI- SATION DEUTLICH. Michael Klatte, Senior PR Manager, ESET Deutschland GmbH, www.eset.com man dem Mitarbeitenden in den meisten Fällen keine böse Absicht unterstellen. Potenzielle Bedrohungen in der Cloud prüfen Klassische Sicherheitslösungen stoßen als stand-alone-Produkte bei neuartigen Gefahren an ihre Grenzen. Denn sie können „nur“ anhand diverser Kriterien eine mögliche Bedrohung erkennen oder mit Heuristiken das Gefährdungsrisiko einschätzen. Vor diesem Hintergrund greifen immer mehr Organisationen auf die sogenannte Cloud-Sandbox-Analyse zurück. Denn: Die zu überprüfende Datei wird dabei tatsächlich in einer isolierten Testumgebung ausgeführt und man erkennt exakt, was sie tut. Somit kann man anhand der Untersuchung detaillierter entscheiden, ob es sich um einen gezielten Angriff - wie beispielsweise einen Advanced Persistent Threat (APT) - oder um eine ungefährliche Datei handelt. Gerade moderne Bedrohungen wie Ransomware und Zero-Days sind so komplex, dass sie von Endpoint-Lösungen nicht in angemessener Zeit enttarnt werden können. Dafür reicht meistens die Rechenleistung nicht aus. Renommierte Sicherheitshersteller erkennen in ihren Virenlaboren täglich mehr als 71.000 Ransomware-Angriffe – pro Stunde! In derselben Zeit kommen mehr als 50 neue und brandgefährliche Zero-Days hinzu. Hohe Rechenpower der Cloud ausnutzen Je nach Anbieter greifen Organisationen bei der Nutzung der Cloud auf eine enorme Rechenpower zurück, die mit der eigenen Infrastruktur nicht abbildbar wäre. Beispielsweise besitzt das Rechenzentren des Security-Spezialisten ESET die Power eines Supercomputers, den man sich wie einen Verbund von 16.000 aktuellen i7 CPUs vorstellen kann. Mit dieser Power im Rücken können sowohl physikalische als auch virtuelle Sandboxes zur Verfügung gestellt werden. Professionelle Malware ist in der Lage, virtuelle Testumgebungen zu erkennen und sich entsprechend „brav“ zu verhalten. In der physikalischen Umgebung zeigt die potenzielle Bedrohung auf jeden Fall ihr wahres Gesicht. Je nach Größe und Umfang der zu untersuchenden Datei liegt das Ergebnis in Sekunden, maximal fünf Minuten bereit. Umfassender Schutz mit Cloud Sandboxing Die Analyse von ausführbaren Dateien in einer Cloud Sandbox bietet zusätzlichen Schutz vor einer Reihe an Bedrohungen wie Zero-Days, Advanced Persistent Threat (APT), Phishing per Dateianhang, Ransomware oder sonstiger Schadsoftware. Dabei spielt es keine Rolle, ob sie per USB, als E-Mail-Anhang oder per Download verbreitet werden. Vor allem schützt die Überprüfung in der Cloud die eigene Produktivumgebung vor Schäden und Betriebsausfällen. Denn Schadcode wird außerhalb der Organisation erkannt und bekämpft. Ebenso kommt dadurch das eigene Netzwerk mit der Bedrohung nicht in Kontakt. Malware-Analyse mit System Mit der Technologie findet Schadcode- Analyse in der Cloud statt. Sobald eine September/Oktober 2023 | www.it-daily.net
IT-SA SPEZIAL | 35 Bild: ESET verdächtige Datei auf dem Endpoint oder dem Mail-Server entdeckt wird, wird sie zur Analyse in ein Rechenzentrum weitergeleitet. In der dortigen- Sandbox-Umgebung erfolgen in der Regel diese Schritte, um Malware zu erkennen: #1 Ausführung in einer isolierten Umgebung: Die verdächtige-Datei wird in einer vollständig isolierten Umgebung ausgeführt, in der es keinen Zugriff auf das Host-System oder andere Teile des Netzwerks gibt. Dadurch wird verhindert, dass sich die Malware verbreitet oder Schaden anrichtet. #2 Überwachung der Aktivitäten: Die Cloud Sandbox-Umgebung überwacht die Aktivitäten der Malware und zeichnet alle ausgeführten Prozesse, Dateizugriffe und Netzwerkverbindungen auf. #3 Analyse des Verhaltens: Anhand der aufgezeichneten Aktivitäten kann das Verhalten von Malware analysiert werden. Dazu gehört beispielsweise das Erstellen neuer Dateien oder Prozesse, der Zugriff auf sensible Daten oder das Senden von Daten an externe Server. #4 Erkennung von Signaturen: Die Malware kann auch anhand ihrer Signatur oder anderer bekannter Indikatoren erkannt werden. Dazu wird die Datei oder der Prozess mit einer Datenbank von bekannten Malware-Signaturen abgeglichen. #5 Erkennung von Abweichungen: Schließlich kann auch eine Abweichungsanalyse durchgeführt werden, um festzustellen, ob das Verhalten der Malware von der erwarteten Norm abweicht. Dadurch können auch neue oder bisher unbekannte Malware-Varianten erkannt werden. Lautet das Ergebnis „sauber“, kann die Datei aus der Sandbox heraus in die Produktionsumgebung freigegeben beziehungsweise in das Netzwerk zurückgespielt werden. Oder, je nach Einstellung, auch sofort isoliert oder beseitigt werden. Der gesamte Vorgang dauert nur wenige Augenblicke. Cloud Sandboxing zählt zum Stand der Technik Die Vorteile liegen auf der Hand: Es steigert, wie zuvor beschrieben, das Sicherheitsniveau der eigenen Organisation deutlich. Malware wird noch zuverlässiger erkannt und kommt zu keiner Zeit mit dem eigenen Netzwerk in Berührung. Die Auslagerung der Analyse schont die Performance der eigenen Hardware, weil sie keinen aufwändigen Malware-Scan vornehmen muss. Die softwaremäßige Einrichtung von Cloud Sandboxing ist schnell gemacht und erfordert keine zusätzlichen Ressourcen. Mehr Sicherheit plus Datenschutz: Eini- www.it-daily.net | September/Oktober 2023
Page 1 and 2: Detect. Protect. Respond. September
Page 3 and 4: INHALT | 3 Inhalt 04 COVERSTORY 4 T
Page 5 and 6: COVERSTORY | 5 interpretiert werden
Page 7 and 8: THOUGHT LEADERSHIP | 7 Security Ser
Page 9 and 10: THOUGHT LEADERSHIP | 9 haben, die s
Page 11 and 12: IT-SA SPEZIAL | 11 the place to be
Page 13 and 14: IT-SA SPEZIAL | 13 bei Organisation
Page 15 and 16: IT-SA SPEZIAL ADVERTORIAL | 15 Acce
Page 17 and 18: IT-SA SPEZIAL | 17 werden. Brieskor
Page 19 and 20: IT-SA SPEZIAL ADVERTORIAL | 19 Rans
Page 21 and 22: IT-SA SPEZIAL | 21 it security: Wor
Page 23 and 24: IT-SA SPEZIAL | 23 an, fällt ein T
Page 25 and 26: IT-SA SPEZIAL | 25 Außerdem erkenn
Page 27 and 28: IT-SA SPEZIAL ADVERTORIAL | 27 Mobi
Page 29 and 30: IT-SA SPEZIAL | 29 obwohl der Onboa
Page 31 and 32: IT-SA SPEZIAL ADVERTORIAL | 31 Die
Page 33: IT-SA SPEZIAL | 33 Carina Mitzschke
Page 37 and 38: IT-SA SPEZIAL ADVERTORIAL | 37 Vers
Page 39 and 40: IT-SA SPEZIAL | 39 Auf dem macmon S
Page 41 and 42: IT-SA SPEZIAL ADVERTORIAL | 41 it-s
Page 43 and 44: 19.09.22 12:34 IT-SA SPEZIAL ADVERT
Page 45 and 46: IT-SA SPEZIAL | 45 cherheitsproblem
Page 47 and 48: IT-SA SPEZIAL | 47 Arbeitswelt der
Page 49 and 50: IT-SA SPEZIAL | 49 Directory-Konto
Page 51 and 52: IT-SA SPEZIAL ADVERTORIAL | 51 Sich
Page 53 and 54: IT-SA SPEZIAL | 53 durchführen, wo
Page 55 and 56: IT-SA SPEZIAL | 55 Cyberresilienz M
Page 57 and 58: IT SECURITY | 57 einander. Das Schw
Page 59 and 60: ADVERTORIAL | 59 Ganzheitliche mobi
Page 61 and 62: IT SECURITY | 61 müssen entspreche
Page 63 and 64: ADVERTORIAL | 63 Cloud-PAM WENN PRI
Page 65 and 66: IT SECURITY | 65 protekt 2023 KRITI
Page 67 and 68: ADVERTORIAL | 67 Die eigene Sicherh
Page 69 and 70: IT SECURITY | 69 samkeit erfahren,
Page 71 and 72: IT SECURITY | 71 Schritt sollten An
Page 73 and 74: IT SECURITY | 73 PDCA ZYKLUS • Ve
Page 75 and 76: IT SECURITY | 75 Krypto-Agilität D
Page 77 and 78: IT SECURITY | 77 Organisation Daten
Page 79 and 80: Data Lake: Die etwas ANDERE ART des

IT Security September/Oktober 2023

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?