- Teil 1: Wie man APTs abschwächt. Angewandte Theorie
- Teil 2: TOP 4 der Mitigationsstrategien, die 85% aller Bedrohungen abschwächen
- Teil 3: Strategien über die TOP 4 hinaus. Für einen kugelsicheren Schutz
- Teil 4: Gefahr erkannt, Gefahr gebannt: die APT-Detektionsstrategie
Teil 2. TOP 4 der Mitigationsstrategien, die 85% aller Bedrohungen abschwächen
In Teil 1 dieser Reihe haben wir aufgezeigt, wie wichtig es ist, APTs abzuschwächen und haben in diesem Zusammenhang einige Theorien und Ansätze vorgestellt, die zum Erfolg führen – in erster Linie die TOP 35 der Mitigationsstrategien des ASD. Dieser zweite Teil nun taucht tiefer in den Ansatz der „TOP 4 Mitigationsstrategien“ ein, die sich erfolgreich gegen mindestens 85 Prozent aller zielgerichteten Attacken einsetzen lassen.
In Teil 1 hat Kaspersky Lab die 35 Punkte umfassende Liste der Mitigationsstrategien des Australian Signals Directorate (ASD) in vier logische Kategorien eingeteilt, von denen jede einzelne als Teil einer jeden effektiven Bedrohungs-Abschwächungsstrategie berücksichtigt werden sollte:
| Maßnahmen | Kurzbeschreibung |
| Administrative | Training, physische Sicherheit |
| Netzwerkebene | Diese Maßnahmen sind auf einer Netzwerk-Hardwareebene einfacher zu implementieren |
| Systemadministration | Das Betriebssystem enthält alles, was für die Implementierung notwendig ist |
| Spezialisierte Sicherheitslösungen | Spezialisierte Sicherheitssoftware ist anwendbar |
Alle vier Kategorien der Strategie1 sollten berücksichtigt werden. Forscher bei Kaspersky Lab haben demonstriert, dass Cyberkriminelle ein breites Spektrum an Techniken einsetzen, um sich Zugriff auf kritische Geschäftsdaten zu verschaffen. Unternehmen sollten auf die gleiche Weise vorgehen und eine Vielzahl von Mitigationsstrategien anwenden, von Mitarbeitertraining bis hin zu hochkomplexen heuristischen Methoden und Cloud-Technologien, die jedes Steinchen umdrehen. Das ist die einzige Möglichkeit, moderne APTs erfolgreich zu verhindern.
Kaspersky Lab schützt nicht nur einfach einzelne Komponenten der IT-Infrastruktur vor APTs. Als technologieorientierte Organisation haben wir die aufgelisteten Strategien zu unserer eigenen Vision einer hoch effizienten, vielschichtigen Abwehrstrategie entwickelt, die sich unserer Meinung nach gut in die des ASD einfügt. Effektive Sicherheit muss mehrschichtig sein, wobei eine erweiterte Anti-Malware-Lösung den Mittelpunkt für alle weiteren Schichten der APT-Mitigationsmechanismen bilden muss, wie etwa Anwendungskontrolle, Schwachstellenmanagement und weitere.
Nicht nur die Strategien lassen sich in logische Kategorien einteilen, sondern um Bedrohungen zu verhindern, kann es sehr nützlich sein, auch diese zunächst zu klassifizieren. Basierend auf unserer über einen langen Zeitraum erstellten Statistik, kann Kaspersky Lab einschätzen, dass etwa 67% der Angriffsversuche auf das Konto bekannter Viren gehen – mit bekannten und katalogisierten Signaturen. Wenn die Datei gestartet und mit einer Schwarzen Liste abgeglichen wird, so wird sie umgehend zurückgewiesen, wenn es einen Treffer gibt. Kaspersky wendet überdies auch Technologien an, die noch unbekannte Schadsoftware erkennen können und die dabei eine Rolle spielen können, weitere geschätzte 32% dieser Attacken zu identifizieren. Das letzte, aber entscheidende Prozent der Bedrohungen besteht aus hochentwickelter Malware – dem Lebenselixier von APTs. Die Sicherheitslösungen von Unternehmen sollten alle diese möglichen Bedrohungsarten ausschließen können.
Für eine schlagkräftige Abwehr müssen alle 35 Punkte auf der Liste der Mitigationsstrategien des ASD implementiert werden.
Die Lösungen von Kaspersky Lab decken drei der TOP 4 Strategien ab
Neunzehn der in der oben stehenden Liste aufgeführten Strategien können unter Einsatz spezialisierter IT-Sicherheitssoftware implementiert werden. Die Lösungen von Kaspersky Lab decken die meisten davon ab, und sie bieten effektive Technologien zur Implementierung dreier der vier Mitigationsstrategien: Anwendungskontrolle/Dynamisches Whitelisting und Vulnerability Assessment/Patch Management. Schauen wir uns das einmal genauer an:
| ASD Ranking | Mitigationsstrategie | Kaspersky Lab Technologien | Kaspersky Lab Produkte |
| 1 | Einsatz von Weißen Listen für Apps | Dynamic Whitelisting | Kaspersky Endpoint Security für Business. Kaspersky Security für Virtualisierung |Leichter Agent. |
| 2 | Patchen von Schwachstellen in Anwendungen | Vulnerability Assessment und Patch Management | Kaspersky Endpoint Security für Business Advanced und Total. |
| 3 | Patchen von Betriebssystemschwachstellen |
Dem Systemadministrator muss die Möglichkeit gegeben werden, alle Features, die die Strategien unterstützen, über einen einzigen benutzerfreundlichen Kontrollpunkt zu verwalten. Für die Produkte von Kaspersky Lab bieten wir das Kaspersky Security Center (KSC) als eine solche zentralisierte Konsole.
Einsatz von Weißen Listen für Apps in Kaspersky Endpoint Security für Business & Kaspersky Security für Virtualisierung.
Der Einsatz von Weißen Listen für Apps ist die nützlichste Anti-APT-Strategie, die eine jede Organisation einführen kann. Diese Strategie bildet eine leistungsstarke Schicht zum Schutz vor den ausführbaren APT-Komponenten, die bisher noch unbekannten eingeschlossen. Das Interesse an Anwendungskontrolle für Desktops und Server hat in den letzten 5 Jahren stetig zugenommen.
Die Lösung von Kaspersky Lab setzt Dynamic Whitelisting ein. Laut Gartner2 umfassen die besten Realisierungen von Anwendungskontrollen eine vom Anbieter unterstützte Weiße Liste ’sicherer‘ Software, die automatisch bestätigte Veränderungen aufnimmt und fortwährend aus einer Cloud-Datenbank aktualisiert wird, wodurch sie wirklich effektiv dynamisch wird. Anwendungskontrolle mit dynamischen Weißen Listen kann zum Schutz der Systeme beitragen, indem sie den Administratoren die absolute Kontrolle über die Anwendungen gibt, die auf den Endpoints laufen, ganz unabhängig von dem Verhalten der Endnutzer. Zudem ist er in der Lage, bestimmte, spezifizierte Apps zu blockieren oder zu erlauben. Das sicherste Default Deny-Szenario beinhaltet, dass die Ausführung jeder Anwendung blockiert wird, die nicht speziell vom Administrator autorisiert wurde. Das bedeutet, dass den Programmen, die unerlässliche Komponenten einer zielgerichteten Attacke sind, die Ausführung nicht erlaubt wird, was den Angriff wirkungsvoll in seiner Entwicklung unterbricht. Kaspersky Lab hat dieses Szenario so umgesetzt, dass sichergestellt wird, dass alle unveränderten Komponenten des Betriebssystems störungsfrei weiterlaufen.
Bezüglich der Umsetzung von Anwendungskontrolle und Dynamic Whitelisting rät Gartner, ein Inventar sowie „Goldene Bilder“ zu erstellen. Die Schaffung eines Inventars gibt den Systemadministratoren die Möglichkeit, sich einen kompletten Überblick über die gesamte Software zu verschaffen, die auf jedem System im Unternehmen installiert ist. Dieses Wissen ist unverzichtbar. Man kann nichts überwachen, von dem man nicht weiß, dass man es hat, und am Anfang jeder Planung für den Einsatz von Weißen Listen steht im besten Fall ein Inventar. Ist es vollständig, so können alle Einträge über die im Unternehmensnetzwerk installierte Software in einer einzigen Datenbank gespeichert werden, in einem benutzerfreundlichen Format, das die Analyse der Daten erleichtert.
Ein „Goldenes Bild“ ist eine vorgefertigte Schablone der von jedem Unternehmen ausgewählten, perfekten Installation: alle Ihre geschäftskritischen Anwendungen und Einstellungen sind für den optimalen Geschäftsablauf umgesetzt und so feineingestellt, dass sie mit optimaler Performance laufen. Gartner bezeichnet die Anwendungskontrolle zudem als eine der nützlichsten traditionellen Sicherheitstechnologien zum Schutz von Industriesystemen3. Wir bei Kaspersky sind der Meinung, dass Maßnahmen zur Verteidigung kritischer Infrastruktur nicht Kür, sondern Pflicht sein sollten.
Kaspersky Lab hat seine eigenen Technologien für die Anwendungskontrolle und das Whitelisting entwickelt und sie nahtlos in andere Sicherheitskomponenten der Lösung Kaspersky Endpoint Security für Business integriert. Die Lösungen Kaspersky Security für Virtualisierung | Light Agent und Kaspersky Security for Mobile enthalten diese Technologie ebenfalls. Die mobile Anwendungskontrolle beinhaltet bisher noch kein Dynamic Whitelisting – aber der Modus ‚Default Deny‘ kann für mobile Unternehmensgeräte eingestellt werden.
Mit seiner eigenen Abteilung für das Erstellen Weißer Listen bietet der Whitelisting-Service von Kaspersky Lab fortwährend aktualisierte Datenbanken mit Apps, die bewiesenermaßen legitim, vertrauenswürdig und sicher sind. Die Whitelisting-Datenbank von Kaspersky Lab enthält aktuell Informationen über 1 4 Milliarden individuelle ausführbare Dateien, die von einem eigens dafür abgestellten Analysten-Team zusammengestellt werden. Nach ausgedehnten Tests des unabhängigen Instituts AV-Test erhielt die Technologie im Jahr 2013 das Zertifikat Approved Whitelisting Service. Die Anwendungskontrolle von Kaspersky Lab mit Dynamic Whitelisting und Default Deny erreichte übrigens Höchstnoten in allen unabhängigen Tests, an denen die Technologie teilnahm.4
Um die Implementierung von Anwendungskontrolle und Whitelisting zu unterstützen (inklusive vieler automatisierter Features), bietet das Kaspersky Systems Management (als Teil von Kaspersky Endpoint Security für Business oder als eigenständiges Toolset) Gartners Empfehlung entsprechend Tools zur Erstellung sowohl eines Inventars als auch von Bildern.
Vulnerability Assessment und Patch Management in Kaspersky Endpoint Security für Business.
Auf Position zwei und drei der Liste der wichtigsten Anti-APT-Maßnahmen stehen das Patchen von Anwendungen und Betriebssystemen als unerlässliche Komponenten jeder erfolgreichen Bedrohungsabschwächungsstrategie. „Kritische“ Sicherheitslücken in Geschäftsanwendungen, Betriebssystemen und anderer in der Organisation verwendeter Software kann zu nicht autorisierter Ausführung von Code durch Kriminelle mit extrem negativen Auswirkungen auf die Geschäfte führen.
Die Komponenten Patch Management und Vulnerability Assessment von Kaspersky Lab werden als Teil unserer Technologie Systems Management bereitgestellt, wodurch sie der Benutzerfreundlichkeit halber in das weiter gefasste Tag-für-Tag-Management der Systeme integriert werden. Schauen wir einmal, was genau jede dieser Komponenten tut.
Vulnerability Assessment ist ein kritisch wichtiges Element zum Schutz von Unternehmen vor Attacken, bei denen Schwachstellen in der Software ausgenutzt werden, zielgerichtete Attacken eingeschlossen. Eine IT-Abteilung, die die Technologie Vulnerability Assessment einsetzt, kann unverzüglich Sicherheitslücken in der Unternehmenssoftware aufdecken, die potentiell von Cyberkriminellen ausgenutzt werden können, und kann mit Hilfe des Patch Managements umgehend Maßnahmen ergreifen, um diese Löcher zu stopfen.
Um Schwachstellen aufzudecken, wird ein spezieller Software-Agent am Endpoint verwendet. Er analysiert die Windows-Versionen oder andere installierte Software und vergleicht sie mit den Daten in der fortwährend aktualisierten selbstentwickelten Schwachstellen-Datenbank. Unsere Datenbank enthält alle notwendigen Informationen über Sicherheitslücken in populären Apps Dritter. Vulnerability Assessment ist für die gemeinsame Nutzung mit der Technologie Patch Management vorgesehen, um Software-Schwachstellen schnell und effektiv zu bekämpfen.
Patch Management sorgt dafür, dass Endpoints vollständig aktualisiert werden, um so das Risiko erfolgreicher Exploit-Attacken deutlich zu reduzieren. Das Patch Management von Kaspersky Lab bietet Systemadministratoren ein hohes Maß an Automation und kann anstelle von oder in Verbindung mit Microsofts WSUS verwendet werden.
Die Technologien Vulnerability Assessment und Patch Management von Kaspersky Lab stehen in den Ausführungen „Advanced“ und „Total“ von Kaspersky Endpoint Security für Business bereit.
Auch die Zahlen belegen, dass die Lösung von Kaspersky Lab Marktführer ist, der der erste Platz nach Anzahl der gepatchten Produkte und Anwender gebührt. Die Effektivität der Lösung Patch Management von Kaspersky Lab hat sich in unabhängigen Tests bewährt, unter anderem in dem zuletzt von AV-Test durchgeführten Test.
Betrachten wir die Technologien noch einmal vom Standpunkt der Bedrohungsklassifikation aus, die wir eingangs bereits erwähnten. Anwendungskontrolle mit Whitelisting, Vulnerability Assessment und Patch Management sollen unbekannte Bedrohungen abwenden, die Teil einer jeden APT-Attacke sind. Zur Abwehr der raffiniertesten Bedrohungen bietet Kaspersky Lab zudem die Technologien Automated Exploit Prevention, System Watcher und Default Deny.
Die Technologien Anwendungskontrolle, Dynamic Whitelisting, Vulnerability Scanning und Patch Management von Kaspersky Lab decken drei Aspekte der Top-4 der Mitigationsstrategien wirkungsvoll ab. Ein Hauptaspekt zielgerichteter Attacken – Exploits für Software-Sicherheitslücken – kann durch Einsatz dieser Technologien erfolgreich unschädlich gemacht werden. Doch ein kugelsicherer Schutz verlangt nach mehr als den Top-4. Im dritten Teil dieser Reihe werden wir die übrigen sinnvollen Anti-APT-Strategien genauer unter die Lupe nehmen.
1 Beschrieben in Teil 1 der Strategien zur Abschwächung von APTs
2 How to Successfully Deploy Application Control, Gartner ID G00246912
3 Competitive Landscape: Critical Infrastructure Protection, Gartner ID G00250700
4 Detaillierte Testergebnisse finden Sie auf den Seiten 1, 2 und 3.