- Teil 1: Wie man APTs abschwächt. Angewandte Theorie
- Teil 2: TOP 4 der Mitigationsstrategien, die 85% aller Bedrohungen abschwächen
- Teil 3: Strategien über die TOP 4 hinaus. Für einen kugelsicheren Schutz
- Teil 4: Gefahr erkannt, Gefahr gebannt: die APT-Detektionsstrategie
Teil 3: Strategien über die TOP 4 hinaus. Für einen kugelsicheren Schutz
Im zweiten Teil dieser Reihe haben wir uns angeschaut, auf welche Weise die ‚TOP 4‘ der APT-Mitigationsstrategien von der Liste des ASD vor 85 Prozent aller Bedrohungen schützen können. Doch was ist mit den restlichen 15 Prozent? Hier kommen die anderen Maßnahmen auf der Liste zum Einsatz.
Obwohl es keine 100%ige Sicherheit gibt, bietet der von Kaspersky Lab empfohlene vielschichtige IT-Sicherheitsansatz einen hoch effizienten Schutz gegen bekannte und unbekannte Bedrohungen. Die Technologien von Kaspersky Lab decken die meisten der vom ASD empfohlenen 35 Mitigationsstrategien ab1. Schauen wir sie uns einmal genauer an:
ASD Ranking | Mitigationsstrategie, Kurzname | Kaspersky Lab Technologien |
1 | Einsatz von Weißen Listen für Apps | Dynamic Whitelisting |
2 | Patchen von Schwachstellen in Anwendungen | Vulnerability Assessment und Patch-Management |
3 | Patchen von Betriebssystemschwachstellen | |
5 | Festigung der User-Anwendungskonfiguration | Web Control (Blockieren von Skripten in Webbrowsern) , Web-Antivirus |
6 | Automatisierte dynamische Analyse von E-Mail- und Web-Content | Mail-Antivirus und Web-Antivirus, Security für Mail Server, Security für Internet Gateway, DLP für Mail und Collaboration Add-ons |
7 | Generische Abwehr von Exploits | Automatische Exploit-Prävention |
8 | HIDS/HIPS | System Watcher und Application Privilege Control |
12 | Software-basierte Anwendungsfirewall für eingehenden Traffic | Erweiterte Firewall |
13 | Software-basierte Anwendungsfirewall für ausgehenden Traffic | Erweiterte Firewall |
15 | Protokollieren von Computerereignissen | Kaspersky Security Center |
16 | Protokollieren von Netzwerkaktivität | Kaspersky Security Center |
17 | Filtern des E-Mail-Contents | Kaspersky Security für Mail Sever |
18 | Filtern des Webcontents | Web Control |
19 | Webdomain-Whitelisting | Web Control |
20 | Blockieren von gefälschten E-Mails | Anti-Spam |
22 | AV-Software, die heuristische Technologien und automatisierte Internet-basierte Reputationsratings verwendet | Anti-Malware |
26 | Kontrolle von Wechsel- und mobilen Medien | Device Control |
29 | Inspektion von MS-Office-Dateien auf Workstations | Anti-Malware |
30 | Signatur-basierte AV-Software | Anti-Malware |
Wie die Technologien von Kaspersky Lab die TOP-35 Mitigationsstrategien des ASD für spezialisierte Sicherheitssoftware abdecken.
Festigung der User-Anwendungskonfiguration, Deaktivieren der Ausführung von Internet-basiertem Java-Code etc. auf Platz 5 mit der Effizienzeinstufung „hervorragend“.
Von den wichtigsten Strategien – abgesehen von den „großen vier“ -, die von den Kaspersky Lab-Lösungen abgedeckt werden, schauen wir uns zunächst die Festigung der User-Anwendungskonfiguration etwas genauer an, die die Deaktivierung von Java-Code-Ausführung im Browser umfasst. Die Web Antivirus-Technologie von Kaspersky Lab unterstützt diese Technik über eine Analyse von http-Website-Inhalten. Website-Inhalte werden auf der Grundlage von Sicherheitspolicies oder weil eine Bedrohung vorhanden ist, geprüft und, wenn nötig, blockiert. Administratoren können Policies und Regeln einstellen, um die unternehmensspezifischen Anforderungen zu erfüllen. Während der Web-Antivirus unerwünschte/gefährliche Skripte an der Ausführung hindern kann, verhindert die Anwendungskontrolle von Kaspersky Lab den Gebrauch von unautorisierten oder ungepatchten Browsern, PDF-Viewern und so weiter.
Dieser spezielle Ansatz ist nur für die populärsten Browser relevant, und die gesamte häufig genutzte Software sollte ebenfalls korrekt konfiguriert sein, nicht benötigte und unsichere Funktionen sollten gemäß den individuellen Anforderungen und Policies der Organisation deaktiviert sein; Sicherheitslösungen sollten nicht automatisch legitime Apps einstellen oder Funktionen ausschalten.
Automatisierte dynamische Analyse von E-Mail- und Web-Content auf Platz 6 mit der Effizienzeinstufung „hervorragend“
Die automatisierte dynamische Analyse von E-Mail- und Web-Content ermöglicht die Detektion von verdächtigem Inhalt und Verhalten und befindet sich auf Platz 6 der ASD-Liste mit „hervorragender“ Effizienzeinstufung. Die Möglichkeiten von Kaspersky Labs Mail- und Web-Anti-Malware-Lösungen, die sich um eine hocheffiziente heuristische Analyse ranken, entsprechen exakt diesen Empfehlungen und können Malware erkennen, die nicht mit Hilfe traditioneller AV-Datenbanken gefunden werden kann.
Die Analyzer beginnen normalerweise damit, den Code auf die Art von verdächtigem Content zu scannen, die charakteristisch für Schadprogramme ist (statische Analyse). Beispielsweise suchen viele Schadprogramme nach ausführbaren Programmen, öffnen die gefundenen Dateien und modifizieren sie.
Ungeachtet der hohen Performance sind die Detektionsraten für neuen Schadcode der statischen Analyse niedrig und die False-Positive-Rate ist hoch. Die Technologien von Kaspersky Lab verwenden eine Kombination von statischer und dynamischer Analyse, die die Ausführung einer Anwendung in einer sicheren virtuellen Umgebung imitiert. Die dynamische Methode ist deutlich ressourcenintensiver als die statische, doch sie bietet höhere Malware-Erkennungsraten als die statische, mit einer niedrigeren False-Positive-Quote.
Die automatisierte dynamische Analyse von E-Mail- und Web-Content sollte ebenfalls Teil jeder fortschrittlichen spezialisierten Anti-APT-Lösung sein. Wir bei Kaspersky Lab glauben, dass Sicherheitssysteme nicht nur den Netzwerk-Traffic, sondern auch die Anhänge und andere heruntergeladene Dateien in der Sandbox analysieren sollten.
Generische Abwehr von Exploits auf Platz 7 mit der Effizienzeinstufung „hervorragend“
Das Blockieren generischer Exploits in Betriebssystemen kann teilweise mit Hilfe von herkömmlichen Technologien implementiert werden (wie z.B. DEP, ASLR und EMET), doch spezialisierte Sicherheitstools und –Technologien können den Schutz auf ein wesentlich höheres Niveau heben.
Die Technologie Automatic Exploit Prevention (AEP) von Kaspersky Lab reduziert das Risiko zielgerichteter Attacken unter Verwendung von Exploits deutlich, selbst im Fall von Zero-Day-Schwachstellen. AEP wehrt in erster Linie bisher unbekannte Exploits ab. Weit verbreitete schädliche Objekte werden von anderen Sicherheitssystemen blockiert, wie z.B. Web-Antivirus, Datei-Antivirus oder sogar durch Anti-Spam-Filter, wodurch die Gesamtsicherheit des Endnutzers deutlich verbessert wird.
Das Enhanced Mitigation Experience Toolkit (EMET) von Microsoft ist der Technologie von Kaspersky Lab, Automatic Exploit Prevention (AEP), auf den ersten Blick sehr ähnlich. Doch es handelt sich hier viel mehr um eine Ergänzung denn um eine Konkurrenz-Technologie, die in Kombination mit den Produkten von Kaspersky Lab für eine noch stärkere Abwehr sorgen.
Die Technologie von Microsoft blockiert die Ausführung von Exploits mit Hilfe von Techniken wie der Data Execution Prevention (DEP) und dem Sicherheitsfeature SEHOP (Structured Execution Handling Overwrite Protection). EMET 5.0 führt zudem die Methode Attack Surface Reduction (ASR) ein, die einige Plugins (inklusive Java) daran hindert, sich in den Internet Explorer zu laden.
Es gibt einige Überschneidungen zwischen Kasperskys AEP und EMET, doch die Unterschiede zwischen den beiden Produkten überwiegen deutlich gegenüber jeglichen Ähnlichkeiten. Außerdem ist AEP nur eine Komponente der vielschichtigen Verteidigungsstrategie, die die Produkte von Kaspersky Lab für Unternehmen und Heimanwender bieten. Das gesamte Spektrum der in den Kaspersky Lab-Produkten bereitgestellten Technologien, unter vielen anderen z.B. Anwendungskontrolle (AC) und System Watcher (SW), ist viel breiter als das, was EMET in der Lage ist zu leisten bzw. wofür die Technologie konzipiert wurde.
Das unten stehende Diagramm illustriert die Interkonnektivität zwischen AEP und EMET sowie die tiefe Integration von SW und AEP in die Produkte von Kaspersky Lab.
Während EMET ausschließlich als ein Mitigations-Tool positioniert ist, ist AEP neben der Abschwächung von Bedrohungen auch zuständig für die Detektion von Anomalien. Es funktioniert folgendermaßen: System Watcher liefert Informationen über alle wichtigen Systemereignisse. Diese Informationen über das Verhalten von Software werden verglichen mit Schablonen typischer Malware-Funktionalität und typischen Malware-Verhaltens. Auf der Grundlage dieser Daten unterscheidet und erkennt AEP verdächtiges Verhalten von Anwendungen. Die Technologie von Kaspersky Lab bietet eine permanente Situationsanalyse, die aktuelle Daten mit denen von früheren Ereignissen vergleicht, wie auch die dazugehörigen Dateien, Prozesse und Reputationen usw., um schließlich zu entscheiden, ob Anwendungen erlaubt oder blockiert werden.
Was die Sicherheit betrifft, so minimieren sowohl AEP als auch EMET die Wahrscheinlichkeit, dass eine Sicherheitslücke ausgenutzt wird, indem sie dem Exploit viele Hindernisse in den Weg legen. Der bilaterale Ansatz ist ein entscheidender Vorteil von AEP. Er implementiert eine kompakte Abwehr von Exploits mit minimalen Kompatibilitätsrisiken. Die Technologie Kaspersky Lab AEP ist sehr einfach zu konfigurieren und funktioniert ohne jegliche Konflikte zusammen mit bereits installierter Software.
Mehrere Jahre in Folge demonstrierte Kaspersky Endpoint Security für Business die besten Ergebnisse in dem von MRG Effitas durchgeführten Real World Enterprise Security Exploit Prevention Test. Die letzten Tests fanden zwischen November 2013 und Februar 2014 statt, woraufhin der Lösung von Kaspersky Lab der Status ‚MRG Effitas Certified‘ verliehen wurde.
Host-basiertes Intrusion Detection/Prevention System auf Platz 8 mit der Effizienzeinstufung „hervorragend“
Die Funktionalität System Watcher und Application Privilege Control von Kaspersky Lab bieten effiziente Host-basierte Intrusion Detection/Prevention Systeme (HIDS/HIPS).
System Watcher sammelt Daten über die von den auf Endpoints laufenden Anwendungen durchgeführten Aktionen und gibt diese Informationen an andere Komponenten weiter, um zur Verbesserung des Schutzes beizutragen. System Watcher trifft die Sicherheit betreffende Entscheidungen unter Verwendung von Daten aus den regelmäßig aktualisierten Datenbanken mit Mustern von gefährlichem App-Verhalten. Bei Entdeckung eines neuen Virus‘ oder einer Modifikation bereits bekannter Malware fügen unsere Experten der heuristischen Datenbank ein neues Muster hinzu und aktualisieren es zusammen mit der Antiviren-Datenbank von Kaspersky Lab. Diese Technologie ermöglicht es Ihnen, andere schädliche Software mit ähnlichem Verhalten zu blockieren und die von der Malware verursachten Aktionen zurückzusetzen.
Neben Modifizierungen der Registry und Prozesseinschleusungen unterbindet System Watcher auch Keylogger-Aktivität. Hinweise auf Tastaturaufzeichnungen fließen in die Schablonen für die Detektion von schädlichem Verhalten ein.
Anwendungsfirewall, die eingehenden/ausgehenden Traffic blockiert auf den Plätzen 12 und 13 mit der Effizienzeinstufung „hervorragend“
Mit einer simplen Änderung der Standard-Einstellungen der Kaspersky-Firewall können die Strategien 12 und 13 des ASD für Software-basierte Anwendungsfirewalls implementiert werden.
Firewalls wenden Regeln für alle Netzwerkverbindungen an, indem sie jeden erkannten Verbindungsversuch entweder blockieren oder zulassen. Der Schutz vor verschiedenen Angriffstypen läuft auf zwei Ebenen, und zwar auf Netzwerk- und Anwendungsebene.
Das Blockieren unnötiger Netzwerkverbindungen verringert die potentielle Angriffsfläche, da die so Netzwerkservices weniger bloßgestellt sind. Das Blockieren von ausgehendem Netzwerk-Traffic, der von nicht vertrauenswürdigen Anwendungen generiert wurde, trägt dazu bei, Cyberkriminelle daran zu hindern, organisationsbezogene Daten abzugreifen, das heißt komplizierte, vielschichtige Attacken haben geringere Erfolgschancen.
Die Firewall schützt persönliche Daten, die auf einem lokalen Host gespeichert sind, indem alle Bedrohungen blockiert werden, die für das Betriebssystem potentiell gefährlich sein könnten, während der Host mit dem Internet oder dem LAN verbunden ist. Sie filtert die gesamte Netzwerkaktivität unter Verwendung von zwei Regel-Typen: Software-Netzwerkregeln und Netzwerk-Paketregeln.
Protokollieren von Computerereignissen/Netzwerkaktivität auf den Plätzen 15 und 16 mit der Effizienzeinstufung „hervorragend“
Kaspersky Security Center protokolliert sowohl Computerereignisse als auch Netzwerkaktivität. Die Ereignisprotokolle können in der standardmäßigen Microsoft Windows Management Konsole eingesehen und auch in das Format .evtx exportiert werden. Ein zentralisiertes Protokollieren ist ausschlaggebend für eine effiziente Systemadministration.
Allerdings sind Protokolle sehr viel nützlicher, wenn sie in Verbindung mit Tools zur Interpretation und einfachen Berichtserstellung verwendet werden, die durch Sicherheitsoffiziere eingesetzt werden. Daher unterstützt die Lösung von Kaspersky Lab nun auch führende Security Information and Events Management (SIEM)-Systeme, wie z.B. ArcSight und Qradar2. In diesem Stadium werden die meisten sicherheitskritischen Ereignisse übermittelt, wie etwa Warnmitteilungen über unerwünschten Content, das Blockieren von Dateizugriff, die Erkennung von unterschiedlichen Malware-Typen usw.
Filtern von E-Mail-Inhalten auf Platz 17 mit der Effizienzeinstufung „hervorragend“
Kaspersky Security für Mail Sever scannt eingehende, ausgehende und gespeicherte E-Mails, schützt die neusten Versionen der großen E-Mail- und Kollaborationsplattformen, darunter Microsoft Exchange, IBM Lotus Domino und Linux-basierte Mail-Server. Die intelligente, Cloud-gestützte Spam-Filterung für Microsoft Exchange und Linux-basierte Mail-Server läuft in Echtzeit, um so die Traffic-Belastung, die durch unerwünschte Mitteilungen erzeugt wird, deutlich zu reduzieren.
Der Einsatz Weißer Listen für Anwendungen schützt Endpoints als Teil der Lösung von Kaspersky Endpoint Security. Es kontrolliert die Ausführung von heruntergeladenen Dateien und E-Mail-Anhängen. Kaspersky Endpoint Security analysiert mit Hilfe von Reputations-Datenbanken außerdem PDF- und Microsoft Word-Dateien.
Filtern der Webinhalte auf Platz 18 mit der Effizienzeinstufung „hervorragend“
Der Web-Antivirus von Kaspersky Lab ermöglicht das Filtern von Web-Traffic und er schützt damit Computersysteme vor Malware, die über die Protokolle HTTP und HTTPS transportiert wird. Diese Komponente scannt außerdem auch FTP-Traffic. Kaspersky Anti-Virus für Proxy Server filtert den Web-Traffic sowohl mit Hilfe von heuristischen Technologien und Signaturen als auch mittel Cloud-basierter Reputations-Ratings. Web Control kategorisiert den Content, bevor er in Abhängigkeit von seiner Beschaffenheit abgelehnt oder zugelassen wird.
Jede Webseite oder Datei, die vom Web-Antivirus abgefangen wird, wird auf Schadcode und Anomalien geprüft. Wird eine Webseite oder ein anderes Objekt für gefährlich gehalten, so wird der Zugriff blockiert. Wenn die Webseite oder das Objekt nicht infiziert ist, kann es ganz normal geladen werden. Dadurch können so genannte ‚Wasserloch‘-Attacken vermieden werden, bei denen Kriminelle beliebte legitime Websites infizieren (Nachrichtenportale etc.) und so versuchen, sich Zugriff auf die Systeme normaler Nutzer zu verschaffen. Websites mit technischen Informationen, die für Systemadministratoren nützlich sind, sind beliebte Ziele Cyberkrimineller, die hoffen PCs mit Zugriff auf administrative Reche und anderen kritischen Informationen zu infizieren.
Spear-Phishing und Wasserloch-Attacken sind die gängigsten Methoden, um zielgerichtete Attacken in Gang zu setzen, doch es sind nicht die einzigen. Die Technologien von Kaspersky Lab verhindern, dass schädliche Aktivität über Websites losgetreten wird, ganz egal, welche Angriffsmethode der Missetäter einsetzt – ob Social Engineering, Links aus Suchergebnislisten oder anderes.
Webdomain-Whitelisting für alle Domains auf Platz 19 mit der Effizienzeinstufung „hervorragend“
Die Web Control von Kaspersky Lab ermöglicht es Systemadministratoren, Weiße Domain-Listen für ihre Organisation zu erstellen und zu pflegen. Web Control filtert den HTTP/HTTPS-Traffic entsprechend der internen Politik der Organisation, d.h. normalerweise, dass soziale Netzwerke, Musik, Videos und nicht unternehmensbezogene Mails während der Geschäftszeiten blockiert werden.
Web Control funktioniert so ähnlich wie eine Firewall. Der Administrator erstellt eine Auswahl an Regeln, aufgrund derer bestimmte Seiten erlaubt oder blockiert werden. Die Regeleigenschaften beinhalten Nutzeraccounts, Zeitpläne, Inhalt und Output. Die Regeln werden in der vom Administrator festgelegten Reihenfolge angewandt und eine Seite wird entsprechend der ersten anwendbaren Regel verarbeitet.
Verwendung heuristischer und automatischer Internet-basierter Reputationsratings auf Platz 22 mit der Effizienzeinstufung „gut“
Die fortschrittliche Anti-Malware-Technologie, Kern aller Kaspersky Lab-Produkte, verwendet heuristische und automatisierte Internet-basierte Reputationsratings – grundlegende Komponenten einer effektiven IT-Sicherheit. Die Reputationen von Dateien und URLs sind über das Kaspersky Security Network verfügbar.
Kontrolle mobiler Medien auf Platz 26 mit der Effizienzeinstufung „gut“
Die Technologie Device Control von Kaspersky Lab hilft bei der Verwaltung und Sicherung von Wechsel- und mobilen Medien. Sie ermöglicht dem Administrator, verschiedene Geräte im Unternehmensnetzwerk zu überwachen und, wenn nötig, die Nutzung einiger dieser Geräte zu verbieten. Am häufigsten wird diese Komponente benutzt, um unautorisierte USB-Sticks zu blockieren.
Überprüfung der MS Word-Dateien auf Workstations auf Platz 29 mit der Effizienzeinstufung „gut“
Microsoft Word Dokumente sind nur ein Dateityp, den die fortschrittliche Anti-Malware-Technologie von Kaspersky Lab analysiert. Diese Kontrolle ist eine sinnvolle Ergänzung zu der integrierten Technologie Microsoft Office Protected View und dem Sicherheits-Add-on Office File Validation.
Signatur-basierte Anti-Malware-Software auf Platz 30 mit der Effizienzeinstufung „gut“
Die fortschrittliche Anti-Malware-Technologie von Kaspersky Lab verwendet neben anderen Detektionsmethoden auch eine traditionelle Dateisignatur-Datenbank. Die Produkte von Kaspersky Lab interagieren sehr gut mit der Software anderer Anbieter auf anderen Gerätetypen, in völliger Übereinstimmung mit der empfohlenen ASD-Strategie. Anwender, die jeden einzelnen Schritt dieser Mitigationsstrategie gehen und verschiedene Anbieter für Endpoints und Gateways wählen möchten, empfehlen wir, an den Endpoints Produkte von Kaspersky Lab zu verwenden – unsere Erfolge in zahlreichen unabhängigen Tests sprechen für sich.
Die vielschichtigen Kombinationsmöglichkeiten von Datei- und Web-Anti-Malware, Geräte- und Anwendungskontrolle, fortschrittlicher Anti-Phishing- und anderer Technologien, die alle über eine einzige Konsole im Kaspersky Security Center verwaltet werden, ermöglicht einen effektiven Schutz vor zielgerichteten Attacken. Jede der in dieser Reihe erwähnten Technologien ist Teil des Produkts Kaspersky Endpoint Security für Business. Kaspersky Security für Mail Server ist nur in der Version ‚Total‘ verfügbar; für alle anderen Technologien ist die Version ‚Advanced‘ ausreichend.
Technologische Führungsrolle von Kaspersky Lab: Mehr als noch ein weiterer Sicherheitsanbieter.
Kaspersky Lab ist mehr als noch ein weiterer Anbieter von Sicherheitslösungen, der verspricht, Ihre IT-Infrastruktur vor jeder Bedrohung zu schützen. Informationssicherheit liegt uns in den Genen: Unsere Technologien fußen auf dem globalen Intelligenz-Netzwerk von Kaspersky Lab, das mehr als 60 Millionen freiwillige Teilnehmer am Kaspersky Security Network weltweit umfasst. Diese Sicherheits-Cloud verarbeitet mehr als 600.000 Anfragen pro Sekunde.
Unsere Gruppe von erstklassigen Sicherheitsexperten – das Global Research and Analysis Team – ist ein integraler Bestandteil der Kaspersky Lab-Strategie. Ihr Hauptaugenmerk gilt der Entdeckung und Analyse neuer Cyberwaffen sowie der Vorhersage neuer Bedrohungstypen. Kaspersky Lab ist für die Entdeckung und Abwehr der wichtigsten und raffiniertesten Bedrohungen bekannt, wie etwa Epic Turla, Careto und Roter Oktober, und auch das ist das Ergebnis unserer Hingabe und Verpflichtung zu Forschung und Entwicklung.
Die Expertise von Kaspersky Lab wird in Kreisen der Top-Sicherheitsorganisationen der Welt anerkannt und respektiert. Es ist unser prinzipieller Standpunkt, jede Attacke zu detektieren und unschädlich zu machen, ungeachtet ihres Ursprungs und ihres Zwecks. Wir kooperieren und beraten uns mit Interpol, Europol und vielen nationalen CERTs.
Wir sind ein rein Technologie-gesteuertes Unternehmen – mehr als ein Drittel der Mitarbeiter von Kaspersky Lab arbeitet in der Forschung und Entwicklung. Alle unsere Lösungen werden firmenintern auf einer einzelnen Code-Basis entwickelt. Unsere Führungsrolle und unsere Fachkompetenz wurden in zahlreichen unabhängigen Tests bestätigt. Im Kalenderjahr 2013 nahmen wir an 79 Tests und Prüfungen teil. 61 Mal wurde Kaspersky Lab in den“Top-3″ genannt, und 41 Mal belegten unsere Produkte den ersten Platz.
Alle diese Dinge in Kombination verhelfen Kaspersky Lab zu einem umfassenden Verständnis für die Risikominimierung in der IT-Sicherheit und machen die Lösungen von Kaspersky Lab zu den besten auf dem Markt verfügbaren, um die Mitigations- und Bedrohungsmanagement-Strategien Ihres Unternehmens zu implementieren.