Umsetzen der Network Defense braucht die geeigneten Tools „ML ist zur Zeit die effektivste Methode, um Malware zu identifizieren“
27. November 2019
Unternehmen sollten ihre Netzwerkarchitekturen mit einer einzigen Lösung sichern. Durch die strategische Integration von Intrusion Prevention Solutions (IPS) und Advanced Threat Protection stehen Kombinationen aus übergreifenden Techniken und fortschrittlicher Bedrohungserkennung zur Verfügung. Sie helfen, die wichtigen Sicherheitsvorgaben zu erfüllen. Richard Werner, Business Consultant bei Trend Micro Deutschland, verdeutlicht im Interview mit line-of.biz (LoB) die Rolle der Netzwerksicherheit und stellt dabei auch heraus, wie der „Stand der Technik“ auchaus dem Blickwinkel der Datenschutz-Grundverordnung (DSGVO) aktuell definiert ist.
LoB: Vor bekannten Bedrohungen schützen die meisten Lösungen von Security-Herstellern, doch bei den unbekannten trennt sich die Spreu vom Weizen. Wie lassen sich Netzwerke vor den drei Arten von Zero-Day-Bedrohungen schützen?
Werner: Hier gilt es mehrerer Aspekte zu betrachten, zum Beispiel die Zero Day Vulnerabilities: Die öffentlich erhältlichen Informationen dazu sind in der Regel gering. Dies geschieht, um Angreifern keine Möglichkeit zu geben, diese Schwachstellen auszunutzen, bevor der betreffende Hersteller eine Gegenmaßnahme entwickeln kann. Die Details zur Schwachstelle sind demnach nur dem Finder sowie dem betroffenen Hersteller bekannt –Und zwar solange bis er mittels Patch an die Öffentlichkeit geht. Die Ausnutzung einer Zero-Day-Schwachstelle innerhalb eines Unternehmensnetzwerkes deutet deshalb auf einen hochgradig gezielten, meist politisch motivierten Angreifer. Trend Micros Zero Day Initiative, die ZDI, mit etwas über 3000 freiberuflichen Sicherheitsforschern, entdeckt im Durchschnitt um die 60 Prozent aller weltweit erkannten Schwachstellen – das ist sozusagen Weltrekord. Davon profitiert unsere Lösung TippingPoint, denn sie ist in der Lage, einen solch hoch gefährlichen Angriff zu identifizieren und abzuwehren.
LoB: Was sehen Sie als zweiten Aspekt?
Werner: Den Zero Day Exploit/Zero-Day-Angriff; dabei handelt es sich um einen Angriff, der eine Zero Day-Schwachstelle ausnutzt. Der Angriff erfolgt auf eine Softwareschwachstelle für die es keinen herstellerseitigen Patch gibt. Anders als im ersten Fall werden nun Informationen zur Schwachstelle veröffentlicht, so dass Unternehmen Gegenmaßnahmen ergreifen können. Dadurch steigt auch die Gefahr krimineller Trittbrettfahrer. Trend Micro liefert Technologien, die diese Gegenmaßnahmen automatisch umsetzen können, ohne dass manuelles Eingreifen notwendig ist. Dazu gehören die Funktionalitäten, die Tipping Point/DeepSecurity/Vulnerability Protection sowie Deep Discovery bieten.
LoB: Dann dürfte als dritter Punkt in diesem Kontext das Thema Zero Day Malware folgen – richtig?
Werner: Ja – bei der Zero Day Malware handelt es sich um Code, gegen den es zum Stand seiner ersten Sichtung keine wirkungsvolle Gegenmaßnahme gibt. Dank moderner Technik sollte es eigentlich keine Zero Day Malware mehr geben. Allerdings benutzen Angreifer Werkzeuge, um gezielt Erkennungstechniken auszutricksen oder sogar Angriffe gegen bestimmte Ziele zu fahren. Daher kommt es immer wieder vor, dass Malware erfolgreich Sicherheitssysteme passiert und erst im Nachgang entdeckt wird. Analyseeinheiten sowie Techniken zu Detection & Response erlauben es diese Art der Angriffe frühzeitig zu entdecken und Gegenmaßnahmen zu ergreifen. Hier kommen Techniken ins Spiel wie Deep Discovery, die im Rahmen von Trend Micros XDR vorliegen.
LoB: Welche Rolle spielen heutzutage Machine Learning, sprich ML, wenn es darum geht, in Echtzeit unbekannte Bedrohungen zu erkennen, die mit bekannten Malware-Familien und unbekannter Malware zusammenhängen?
Werner: Maschinelles Lernen ist die momentan effektivste Methode, um Malware zu identifizieren. Gestützt auf über 30 Jahre Erfahrungsschatz erlernt die „Maschine“, was als bösartig gilt und deshalb zu blocken ist. Beim Einsatz jeglicher Technologie gilt allerdings, dass die „bösen Jungs“ immer auch einen Weg finden, um sie auszuhebeln. Aktuelle dateilose Angriffe schaffen es beispielsweise, bestimmte Arten von ML auszuhebeln, wenn diese lediglich auf Metadaten eines Files achten – die sogenannte Predictive ML – und nicht das Verhalten eines Systems in Form einer Runtime ML (Verhaltensanalyse) untersuchen. Es ist deshalb wichtig, mehr als nur „einen Pfeil im Köcher“ zu haben, um sich zu wehren.
LoB: Inwieweit sind bereits ML-Techniken oder der KI-Einsatz nötig, um dem Passus „State of the Art“ zu entsprechen?
Werner: Es gibt grundsätzlich zwei Arten von Vorgehensweisen – die Black Lists und die White Lists. Black Lists lassen alles zu und blocken das, was sie als bösartig identifizieren. In diesem Zusammenhang ist ML das, was man heute als „State of the Art“ definiert und es braucht eine sehr gute Begründung, warum man darauf verzichten möchte. Dagegen blockieren die White Lists alles und lassen nur das zu, was vom Unternehmen frei gegeben wird. Hier ist ML nützlich, weil es einem unter Umständen hilft, die Schwere eines Angriffs zu erkennen. Je nach Härtung des Systems wird es für die Verteidigung dagegen weniger relevant.
LoB: Welche Lösungen sind mittlerweile einsatzfähig, die eine automatische Beseitigung der Bedrohungen ermöglichen und was empfehlen Sie für besondere Einsatzbereiche wie bei Banken und Finanzdienstleistern?
Werner: Trend Micros Connected-Threat-Defense-Strategie kombiniert die Erkenntnisse verschiedenster Produkte und kann daraus Angriffe identifizieren und in ihren Auswirkungen analysieren. Das funktioniert sowohl beim Ersteintritt als auch für den Fall, dass ein Angriff erst viel später durch einen IOA, also einen Indicator of Attack, entdeckt wird. Die Kerntechnologie dieser Strategie bildet die Deep Discovery mit den Funktionsblöcken Inspector und Analyser. Andere Bereiche wie zum Beispiel Mail, Endpoint etc. lassen sich je nach Kundenwunsch integrieren.
LoB: Wie sieht das speziell in der Finanzbranche aus?
Werner: Banken und Finanzdienstleister müssen sich bewusst sein, dass sie gezielten Angriffen ausgesetzt sind. Die Wahrscheinlichkeit ist demzufolge groß, dass irgendwann etwas durch die primären Verteidigungslösungen hindurch dringt. Daher gilt es hier, vor allem Techniken sowie Strategien aus dem Bereich Detection & Response einzusetzen. Speziell in diesem Sektor sind allerdings vor allem auch Webangebote wie Banking Apps oder Onlinebanking. im Fokus der Angreifer. Hier gilt es, diese Apps auf Schwachstellen zu prüfen und Angriffe möglichst bald zu erkennen. Trend Micros Lösungen in diesem Bereich sind Deep Security Smart Check sowie unsere neue Acquisition „Cloud Conformity“. Deep Security kann über die Connected-Threat-Strategie eingebunden werden, Cloud Conformity noch nicht.
LoB: Wie lässt sich mit Connected Threat Defense die Sicherheit für die Netzwerke, Endpunkte und hybriden Cloud-Umgebungen umsetzen?
Werner: Da vor allem in den frühen 2000er Jahren seitens des Bundesamts für Sicherheit in der Informationstechnik, dem BSI, die sogenannte Multi-Vendor oder auch Best of Breed Strategie gepredigt wurde, hat man in den Unternehmen entsprechend reagiert. Es wurden Segmente wie Netzwerk, Endpoint und Datacenter gebildet, die mit jeweils optimierten Werkzeugen und häufig unterschiedlichen Herstellern den eigenen Zuständigkeitsbereich geschützt haben. Angreifer machen sich genau diese Situation zu Nutze und versuchen durch Verschleierungstaktiken je Segment möglichst wenig Aufmerksamkeit zu erzeugen.
LoB: Es wurde also eine Schwachstelle in der Sicherheitsarchitektur ausgenutzt?
Werner: Ja genau – da die eingesetzten Tools in der Regel nicht miteinander, sondern über einen Übersetzer wie ein Security-Information-and-Event-Management-System, auch als SIEM abgekürzt, Log-Informationen austauschen, werden einzelne Indikatoren oft nicht oder nur spät als zusammenhängend wahrgenommen. Wird der Angriff irgendwann später erkannt, geht die Bereinigung und künftige Erkennung den gleichen Weg zurück. Sprich jedes Tool muss einzeln darauf eingestellt und konfiguriert werden. Connected Threat Defense, kurz CTD, beseitigt diese Problematik, da alle Tools von Trend Micro direkt miteinander „sprechen“ und Daten korrelieren. So lassen sich Angriffe schneller erkennen und Gegenmaßnahmen werden automatisiert. Darüber hinaus hat die CTD auch noch andere, wirtschaftliche Vorteile wie zum Beispiel weniger Verwaltungsaufwand, die Vereinfachung des Vendor Managements, und der Lizenzbeschaffung sowie die Verringerung des Trainingsaufwands für die Mitarbeiter – um nur einige zu nennen.
LoB: Advanced Threat Protection – wie sollten Unternehmen auf gezielte Angriffe heutzutage reagieren und welche Tools empfehlen sich dazu?
Werner: Der wichtigste Grundsatz lautet: „Gehen Sie davon aus, dass der Angreifer Ihre Schutzmaßnahmen überwunden hat.“ Daraus ergibt sich zwangsläufig, dass man dann Werkzeuge braucht, die es erlauben den Angriff zu erkennen, also die Detection, und Gegenmaßnahmen zu koordinieren – die Response. Nach der aktuellen Bedrohungslage sind derzeit vor allem Endpoints im Fokus der Kriminellen. Deshalb raten Ihnen Analysten wie eine Gartner oder Forrester beispielsweise dazu, Techniken aus dem Bereich Endpoint Detection & Response (EDR) zu verwenden.
LoB: Und wie lautet Ihre Einschätzung dazu?
Werner: Aus der Sicht von Trend Micro ist das ein richtiger und wichtiger erster Schritt. Aber nur den Endpoint zu betrachten, erweist sich als eindimensional. Angriffe kommen meist über E-Mail in ein Unternehmen und verteilen sich von dort über das Netzwerk auch auf Systeme, die man unter Umständen gar nicht auf dem Schirm hat – wie beispielsweise IoT-Geräte. Trend Micro empfiehlt deshalb Detection & Response auch auf andere Unternehmensbereiche auszudehnen. Wir nennen das XDR. Das „DR“ ist dabei Detection & Response, das „x“ ein Platzhalter für den eingesetzten Bereich. Also beispielsweise „E“ für „EDR“ (Endpunkt) und „N“ für „NDR“ (Netzwerk). XDR unterstützt auch dabei, Angriffe in Bezug auf ihrer Schwere einzuschätzen. Das Hinzuziehen von polizeilichen Ermittlungs- oder Datenschutzbehörden liegt allerdings im Verantwortungsbereich des betroffenen Unternehmens.
LoB: Wie sollten besonders sensible Bereiche im Unternehmen – wie die Buchhaltung und/oder der Personalbereich – heutzutage abgesichert sein?
Werner: Hier empfehlen sich vor allem Schutzmaßnahmen in Bezug auf Daten wie beispielsweise Verschlüsselung und Data Loss Prevention. Vor allem der Personalbereich hat sich zuletzt bei Angriffen als Ziel für Cyber-Kriminelle herauskristallisiert. Schulungen sowie technische Maßnahmen sind empfehlenswert, um diesen Bereich zu sichern.
LoB: Wo sollte man im Finance-Bereich des Unternehmens besonders aufpassen?
Werner: Im Bereich Finanzen sind vor allem E-Mail-basierte Attacken wie die „Chef-Masche“ oder auch Business-E-Mail-Compromise-Angriffe zu nennen. Täuschend echt imitierte E-Mails überzeugen Mitarbeiter immer wieder davon, im Sinne der Online-Betrüger zu handeln. Technische Gegenmaßnahmen wie Trend Micros „Writing Style DNA“ als Bestandteil der E-Mail-Security-Lösungen können das Problem bekämpfen. (rhh)
