Advanced Threat Protection

Advanced Threat Protection – neue Lösungsansätze für neue Bedrohungen

Klassische Security-Massnahmen die auf Signaturen und Reputation basieren sind gut um die Flut an Massen-Malware rasch und effektiv zu blockieren. Um jedoch auch neue Cyberattacken abwehren zu können braucht es neue Lösungsansätze, welche mit den bestehenden Mechanismen in Kombination auftreten. Dazu gehören Sandboxing, Isolation und Next Generation Endpoint Security Lösungen.

Advanced Threat Protection – neue Cyberattacken erkennen und abwehren

Advanced Threats sind Bedrohungen welche durch klassische Schutzmechanismen wie Reputation, Signaturen und einfache Heuristiken nicht erkannt werden können. Häufig basieren entsprechende Angriffe auf unbekannten Schwachstellen bzw. Exploits. Zudem werden diese Cyberattacken sehr geschickt aufgesetzt. Dazu werden beispielsweise verschiedene Angriffsvektoren verwendet und sehr zielgerichtet eingesetzt. Es kommt vor, dass eine Malware für nur sehr wenige Ziel-Unternehmen oder einzelne Personen zusammengestellt wird. So kann es sehr lange dauern bis die Angriffselemente öffentlich bekannt werden und in herkömmliche Signaturdatenbanken einfliessen. Um moderne Cyberattacken abwehren zu können, braucht es neue Lösungsansätze.

Advanced Threat Protection fasst verschiedene neue Ansätze zusammen, welche über die klassischen bestehenden Security-Technologien ausgehen. In der Regel werden Advanced Threat Protection Lösungen im Kombination mit herkömmlichen Mechanismen eingesetzt, da letztere nach wie vor sehr schnell und effektiv vor bekannten Bedrohungen schützen.

AVANTEC empfiehlt in diesem Bereich folgende Lösungsansätze: Sandboxing, Isolation und/oder Next Generation Endpoint Security (NGEPS). Sandboxing erhöht die Erkennungsrate von unbekannten neuen Angriffen, Isolation kann einen kompletten Schutz bieten und NGEPS kombiniert diverse Verfahren für einen höheren Schutzlevel auf dem Client.

Sandboxing für eine bessere Erkennungsrate

Advanced Threat Protection mittels Sandboxing hat das Potenzial die Erkennungsrate von neuen noch unbekannten Bedrohungen signifikant zu steigern. Sie ergänzt die bestehenden Sicherheitsmechanismen um eine ausführliche Prüfung von unbekannten Dateien, indem diese ausgeführt und im Detail analysiert werden. Schadhaftes Verhalten wird in der Sandbox erkannt und das File blockiert. Sandboxen können entweder im Monitoring-Mode oder inline konfiguriert werden. Letzteres hat den Vorteil, dass gefährliche Files schon beim ersten Aufruf blockiert werden können. Eine Prüfung in der Sandbox kann aber 5-10 Minuten dauern, weshalb gerade im Web-Verkehr ein Trade-off zwischen Sicherheit und Benutzerkomfort unumgänglich ist.

Sandbox-Lösungen in der Cloud sind besonders attraktiv, da sie von allen Niederlassungen und mobilen Usern genutzt werden können und das Schutzniveau für das gesamte Unternehmen anheben. Es gibt jedoch auch Sandboxen, die als Hardware direkt beim Mail-Gateway, Web Proxy oder der Firewall für zusätzlichen Schutz sorgen. Vorteil hierbei ist, dass die entsprechenden Files inhouse geprüft werden und nicht mit einer Cloud geteilt werden müssen.

Zu entscheiden gilt es auch, ob ein Sandbox-System für E-Mail, Web oder beides eingesetzt werden soll. Die meisten Produkte bieten heute Sandboxing als Zusatzoption zum bestehenden Portfolio an.

Empfohlene Lösungen:

100% Secure mit Isolation

Isolation geht einen komplett anderen Weg. Die Erkennung von Angriffen spielt dabei keine oder eine untergeordnete Rolle.

Die Idee dahinter ist ganz einfach: Dateien und Webseiten aus nicht-vertrauenswürdigen Quellen werden isoliert ausgeführt – entweder auf einer virtuellen Appliance, in der Cloud oder auf dem Endpoint selbst.

Bei den ersten beiden Varianten erhält das Zielsystem – der Client – lediglich die gerenderten Bilddaten und kann auf diese Weise keinen Schaden nehmen. Für die Nutzer ist das transparent. Sie merken nichts von der Isolierung der Daten, die sie bearbeiten.

 

Isolierung auf dem Endpoint funktioniert auf Basis einer Mikro-VM, welche die nicht-vertrauenswürdigen Inhalte ausführt. Malware kann die Mikro-VM nicht verlassen und dem eigentlichen System keinen Schaden zu fügen.

Isolierung auf dem Endpoint hat den Vorteil, dass jegliche Angriffsvektoren und Files damit abgedeckt werden können (E-Mail Attachements, Webseiten, Downloads, Files von USB-Keys).

Einen eigenen Use Case hat die Web Isolation: Für unkategorisierte Webseiten sind die Risiken besonders hoch, einzelne Personenkreise (z. B. C-Level, Management, IT) will man unter Umständen besonders gut schützen. Anstelle hier mit zusätzlichen Regeln den Zugriff aufs Internet zu erschweren, besteht die Möglichkeit eine Web Isolations Lösung einzusetzen.

Empfohlene Lösungen:

Next Generation Endpoint Security (NGEPS)

Der Signatur-basierte Anti-Virus-Ansatz von Endpoint Security Lösungen stammt aus den 80er Jahren. Advanced Threat Protection verlangt jedoch nach einer neuen Generation von Endpoint-Security-Lösungen. AVANTEC bietet Ihren Kunden eine Reihe neuer Ansätze auf dem Endpoint für einen zeitgemässen Schutz der Clients.

BeyondTrust Privilege Management für Desktops (ehemals Avecto) setzt auf Application Control und Privilege Management und reduziert dabei die Angriffsfläche für Cyberattacken massiv. Einerseits erlaubt BeyondTrust Privilege Management für Desktops so die Umsetzung von Security und Compliance Anforderungen inkl. „least privilege“ Ansatz, andererseits die auditierte Verwendung von Applikationen.

Die Lösung von Bromium setzt nicht auf Erkennung, sondern auf Isolation. E-Mail Attachments, Webseiten und Dateien von unsicheren Medien/Fileshares werden auf dem Rechner in einer abgesicherten Umgebung (MikroVM) ausgeführt – für den User völlig transparent und ohne Einschränkung. Wird der Browser oder die entsprechende Applikation geschlossen, wird die virtuelle Umgebung mit samt dem potenziellen Schadcode gelöscht und vom System entfernt.

Die NGEPS Lösung Carbon Black Defense schützt nicht nur vor Malware sondern auch vor anderen Arten von bekannten und unbekannten Angriffen. Die marktführenden Detection und Response (EDR) Fähigkeiten bieten zudem in Echtzeit volle Visibilität über Verhalten und Ausbreitung einer Bedrohung.

Trend Micro bietet mit der neuen XGen Version ihrer AV-Suite (Apex One) ebenfalls erweiterte Funktionalitäten im Bereich maschinelles Lernen und Sandboxing zur besseren Erkennung von neuen Bedrohungen. Trend Micro kombiniert dies geschickt mit herkömmlichen Erkennungstechniken für bekannte Massen-Malware.

Empfohlene Lösungen:

Aufzeichnung des Endpoint Security Webinar

Drei führenden Endpoint-Security-Lösungen im Vergleich – welche Schutz-Strategie passt zu Ihnen? AVANTEC zeigt Ihnen kompakt in einem Webinar von 60 Minuten einen kurzen Marktüberblick und drei effektive und erprobte Lösungen für einen zeitgemässen Schutz Ihrer Clients.

Unsere Fachspezialisten helfen Ihnen gerne weiter!

Portrait GH

Georg Hegyi

Head of Presales

+41 44 457 13 13
g.hegyi@avantec.ch