Malware-as-a-Service als Geschäftsmodell

Von unserem Gastautor Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender

[datensicherheit.de, 15.12.2020] Die sich weiter professionalisierende Hacker-Industrie bietet nicht nur Malware und Tools zur Miete an. Kriminelle Experten stellen auch ihre Arbeitsleistung für Geld zur Verfügung. Deren Expertise für Advanced Persistent Threats (APTs) erfordert zur Erhöhung der Cybersecurity eine Abwehr auf Augenhöhe: Managed Detection and Response (MDR).

Cyber-Kriminalität rientiert sich verstärkt am Vorbild der Geschäftswelt

In den letzten Jahren hat sich die Cyber-Kriminalität weiter organisiert und orientiert sich dabei verstärkt am Vorbild der Geschäftswelt. Fast ein Jahrzehnt lang bot zunächst Malware-as-a-Service den schnellen Einstieg in die Welt des Cybercrime und schon immer waren die verschiedensten Werkzeuge auf dem illegalen Markt: Remote Access Trojaner (RAT), Bot-Netze für den Spam-Versand oder sogar anspruchsvolle Ransomware-Angriffe. Derart ausgestattet können mittlerweile Täter mit geringer technischer Kompetenz selbst komplexe Malware bedienen. Die erzielten Einnahmen werden wie im normalen Wirtschaftsleben unter den verschiedenen Mitwirkenden geteilt: Dann erhält zum Beispiel der Hersteller 40 Prozent und der Rest geht an die Betreiber, welche die Attacke durchführen.

Das vorhandene Ökosystem aus Dienstleistungen und Schadsoftware hat Cyber-Kriminelle dazu angeregt, ihre Arbeitsteilung im industriellen Stil weiterzuführen: Entwickler schreiben den Code, Produktmanager entwerfen die umfassenden Roadmaps und berücksichtigen dabei die Gegenmaßnahmen der Abwehr. Ein technischer Support unterstützt die Anwender in ihrem Tagesgeschäft. Finanziert wird das ganze Geschäftsmodell von den Opfern. In eigener Sache werben die Akteure dann in sozialen Medien oder unter einem Forum-Alias mit den erzielten finanziellen Ergebnissen vergangener Kampagnen, um neue Partner zu rekrutieren.

Cybersecurity vs. Malware-as-a-Service als Geschäftsmodell

Kommerzielle Malware-as-a-Service hat leider ihre Leistungsfähigkeit bewiesen. Analysen zeigen, dass der Trend zu Kommerzialisierung im negativen Sinne nachhaltiger und weitreichender ist, als man vermutet: Entwickler und Partner erzielen Einnahmen in Milliardenhöhe. Die Urheber der GandCrab-Ransomware-Attacke gaben zum Beispiel 2019 in Untergrundforen an, mehr als zwei Milliarden US-Dollar von den angegriffenen Unternehmen erpresst zu haben.

Von der kriminellen Malware zum APT-Dienstleister

Vor zwei Jahren haben APT-Söldnergruppen begonnen, ihre Dienste anzubieten. Sie wenden sich an Akteure in wichtigen Positionen, die an anspruchsvollen Angriffsmethoden interessiert sind und möglicherweise mit Regierungen zusammenarbeiten. Diese Gruppen haben IT-Systeme in weiten Teilen Europas sowie in Deutschland im Fokus und nutzen fortschrittliche Taktiken, Techniken und Prozesse (TTPs) für die Spionage sowie den Diebstahl sensibler Informationen.

Die bis dahin unbekannte APT-Gruppe RedCurl attackierte 2018 mehrere Unternehmen aus den Bereichen Banken, Versicherungen, Recht, Bauwesen, Finanzen, Beratung, Einzelhandel und Tourismus. Laut der Analyse der IT-Sicherheitsexperten von Group-IB nutzten die Urheber ein leistungsfähiges Malware-Framework für die Datenexfiltration. Im Sommer 2020 legte Bitdefender die Aktivitäten einer weiteren, professionell agierenden APT-Angreifergruppe offen: Ihr Geschäftsmodell beruhte auf Cyber-Spionage in der Immobilienbranche. Dafür nutzte sie eine bösartige Payload, die sich als Plugin für die beliebte 3D-Computergrafiksoftware Autodesk 3ds Max tarnte. Professionelle Tests des Codes gegen Abwehrlösungen stellten sicher, dass die Malware beim Ausspielen nicht entdeckt wurde.

Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender, Bild: Bitdefender

Die Expertise der hinter solchen Angriffen stehenden Organisationen hebt Cyber-Kriminalität auf ein neues Niveau. APT-Tools zur Spionage sind die Produkte erfahrener Entwickler-Teams, die über hochspezialisierte Kenntnisse verfügen. Diese nutzen für das jeweilige Vorhaben zugeschnittene Toolkits. Sie verhindern zudem, dass sich die Schadsoftware über das eigentliche Angriffsziel hinaus weiter ausbreitet. In der Folge gelangen Anbieter von Abwehrlösungen seltener an eine Kopie der Malware, um diese in Zukunft zu erkennen. Das stellt die Abwehrteams gerade kleinerer und mittlerer Unternehmen vor große Herausforderungen. Herkömmliche Ansätze, Malware dateibasiert zu erkennen, übersehen zum Beispiel polymorphe Malware-Samples und sogenannte Fileless Malware. Living-off-the-Land Taktiken, die zum Beispiel das Remote Desktop Protocol (RDP) oder andere legitime Tools missbrauchen, sind nur schwer festzustellen. Dies macht es kleinen und mittleren Unternehmen und Organisationen sehr schwer, auf diese Gefahren mit der notwendigen Schnelligkeit zu reagieren.

Die meisten Unternehmen verfügen zwar über grundlegende Technologien zum Schutz vor verschiedenen Malware-Arten. Aber die hochentwickelten Werkzeuge der APT-Profis können sich nach Eindringen in das Unternehmensnetzwerk unter dem Radar der Abwehr bewegen und deren Maßnahmen zumindest für eine Weile ausweichen.

Abwehr professionalisieren

Allein mit Lösungen für die Endpunktsicherheit lassen sich bösartige Verhaltensweisen und Nutzlasten über die ganze Angriffskette hinweg nicht erkennen. Technologie allein genügt nicht, um komplexe und mit hohem Anspruch und Können entwickelte Attacken zu identifizieren. Sich gegen APT-Angreifer zu verteidigen, verlangt nach einem Zusammenspiel von Software und Experten.

Um sämtliche Absichten und das volle Ausmaß einer von Profis gefahrenen Attacke aufzudecken, kommt es nämlich auf die Beurteilung von den in einer EDR-Lösung (Endpoint Detection and Response) aggregierten Ereignissen durch einen menschlichen Analysten an. Ein relevanter Vorfall wird dafür an Spezialisten für digitale Forensik zur Analyse übergeben. Das Incident Management dämmt den Schaden ein. Es reduziert die Kosten und die Zeit, um den vorherigen Systemstatus oder Datenbestand wiederherzustellen und verhindert einen Reputationsschaden.

Doch das für eine solche Analyse erforderliche Fachwissen ist rar und hat seinen Preis. Zudem braucht es seine Zeit, ein Team von Cyber-Risikospezialisten zu schulen. Angesichts hochentschlossener Angreifer sollten viele Unternehmen daher erwägen, sich Hilfe von außen in Form von Angeboten zu Managed-Detection-and-Response zu holen.

Ein extern betriebenes MDR (Managed Detection and Response) kombiniert bewährte Sicherheitstechnologien für Endpoint-Detection-Sicherheitsanalysen und Untersuchungen des Netzwerkverkehrs mit der notwendigen Kompetenz und Kenntnis hochqualifizierter Experten. Eine solche ausgelagerte, zusätzliche IT-Sicherheitszentrale unterstützt Unternehmen, die nicht auf weitergehende Technologien – wie etwa SIEM (Security Information and Event Management), TIP (Threat Intelligence Platform) und SOAR (Security Orchestration Automation and Response) – zurückgreifen können oder nicht genug Personal besitzen, um geschäftskritische Cyber-Bedrohungen rund um die Uhr abzuwehren. Die zusätzliche Betreuung durch Experten ermöglicht eine fortschrittliche Erkennung von Sicherheitsvorfällen mit einer schnellen Reaktion unter Verwendung automatisierter, zuvor genehmigter Prozesse. So sind die externen Analysten in der Lage, zügig Maßnahmen zu ergreifen, Bedrohungen abzuschwächen und abzuwehren.

Zu den MDR-Angeboten gehört darüber hinaus das aktive Threat Hunting bis hin zur Überwachung des Dark Webs sowie die Forensik zur Untersuchung kontextbezogener und verwertbarer Bedrohungsindikatoren. Die Experten analysieren zudem den Risikofaktor Mensch, beziehungsweise Mitarbeiter. Kundenspezifisch definierte Bedrohungsmodelle ermöglichen eine angepasste Reaktion auf Vorfälle. Gezielt lassen sich unternehmenskritische und für das Unternehmen mit besonderen Risiken behaftete Angriffsziele überwachen. Das Security Operation Center (SOC) des MDR-Anbieters bietet die Erfahrung von Experten und liefert Berichte entsprechend der Anforderungen von Kunden aus verschiedenen Branchen.

Augenhöhe wiederherstellen

Nicht nur die Bedrohungslandschaft hat sich also verändert – sondern auch die Organisation, die Strukturen und letztlich auch die Personalausstattung der Cyber-Kriminellen. Deren Vorbild sind dabei die Arbeitsteilung und die Geschäftsmodelle in der legalen Geschäftswelt. Angreifer lagern Technik und Entwicklung aus. Böswillige Dienstleister bringen sich mit ihren Angeboten für den Angriff auf Unternehmen jeder Größe und in allen Bereichen weiter in Stellung, um von der Cyber-Kriminalität zu profitieren. Da ist es an der Zeit, dass auch die legale Wirtschaft sich auf seine Kollaborationsprozesse besinnt: Die Unternehmen benötigen dabei nicht nur den Zugriff auf Abwehrtechnologien, sondern auch auf Kompetenz und Erfahrung von externen Experten, um den Schadakteuren die Stirn zu bieten. Was man braucht, aber nicht selbst kann, kauft man sich ein.

Weitere Informationen zum Thema:

datensicherheit.de, 06.08.2018
Sicherer Zugang zu öffentlichen WLANs

Bitdefender
Website

[datensicherheit.de, 16.02.2020] Sicherheitsforscher von SentinelLabs haben Aktivitäten der nach Unternehmensangaben „pro-russischen“ Hacker-Gruppierung Gamaredon untersucht, die ihre Angriffe auf ukrainische Behörden ausrichten. In den letzten Monaten hat die seit 2013 aktive Gruppe neue offensive Hacker-Komponenten genutzt, um ihre Angriffe zu forcieren. Interessant sei vor allem der Umfang der Operationen, die Anzahl der Opfer sowie die Anpassungsfähigkeit der Tools. Überraschend sind die Beständigkeit, mit der die Tools eingesetzt werden, und die Genauigkeit, mit der sie auf ein bestimmtes Ziel zugeschnitten sind. Die Gruppe setzt auch verstärkt auf Social Engineering-Methoden, um an Informationen zu gelangen.

82 Cyberangriffe auf Kritische Infrastrukturen im Jahr 2019

Am 25. Januar 2020 erklärte der ukrainische Sicherheitsdienst, er habe 2019 482 Cyberangriffe auf kritische Infrastrukturen verhindert und die Einreise von 278 Personen verboten, die an der „Propaganda des Separatismus“ beteiligt waren. Gamaredon richtet sich ausschließlich gegen die ukrainischen nationalen Sicherheitseinrichtungen, was sie zu einem Hauptbeteiligten an den anhaltenden politischen und militärischen Spannungen in der Region macht.

Die Aktivitäten von Gamaredon sind für das russische Militär vor allem ein Versuchsfeld, um das Potenzial der Cyberkriegsführung in einem modernen Gewaltkonflikt oder einer landesweiten politischen Auseinandersetzung zu beobachten. Laut SentinelLabs‘ Einblick in die Telemetrie der Opfer von Advanced Persistent Threats (APT) von Gamaredon, fielen der Gruppe mehr als fünftausend ukrainische Einheiten zum Opfer. Die Karte der Gamaredon-Infektionen zeigt Angriffe in der gesamten Ukraine, insbesondere aber eine Konzentration der Angriffe entlang der Grenze, an der ukrainische Truppen stationiert sind.

Internet als fünfte Domäne der Kriegsführung

Was die Sicherheits- und Militäraspekte von Cyberangriffen betrifft, so ist Gamaredon ein anschauliches Beispiel dafür, wie das Internet als fünfte Domäne der Kriegsführung Angreifern die Möglichkeit gibt, ihren Kampf fortzusetzen, obwohl alle anderen Domänen aufgrund strategischer oder politischer Rahmenbedingungen verwehrt bleiben. Aus militärischer Sicht bietet Gamaredon eine ausgewogene Kosteneffizienz, da Versuche, auf dem Schlachtfeld vorzurücken, nicht sofort zu Eskalation und Vergeltung führen. Es ist eine raffinierte Möglichkeit, aus dem traditionellen Nullsummenspiel militärischer Operationen auszusteigen, indem man einen Offensivvorteil erzielt, ohne seine politische Haltung in einem Friedensprozess aufzugeben. In Anbetracht der Tatsache, dass moderne Konflikte dazu neigen, ähnlich wie im Donbass „einzufrieren“, werden Gruppen wie Gamaredon vermutlich zum festen Bestandteil aktueller Auseinandersetzungen werden.

APT-Attacken dienen Spionage und Datendiebstahl

[datensicherheit.de, 17.09.2019] Cyber-Kriminelle nutzen vermehrt sogenannte Advanced Malware, um in Netzwerke einzudringen und sich dort möglichst lange unentdeckt aufzuhalten – i.d.R. mit dem Ziel der Spionage und des Datendiebstahls. Zu Opfern werden diejenigen, bei denen es möglichst wertvolle Informationen zu holen gibt, beispielsweise Industrieunternehmen, die Finanzbranche oder Regierungsbehörden. Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, erläutert die Vorgehensweise der Angreifer sowie „Best Practices“ zum Schutz vor ihnen.

Bild: Digital Guardian

Christoph M. Kumpa empfiehlt mehrschichtigen Security-Ansatz aus Mitarbeitertrainings und Technologien

Advanced Malware: Attacken deutlich zugenommen

„Advanced Malware“, auch als „Advanced Persistent Threats“ (APT) bezeichnet, sind laut Kumpa Malware-Stämme, die mit erweiterten Funktionen für die Infektion, Kommunikation, Steuerung, Bewegung im Netzwerk oder Datenexfiltration- und Payload-Exekution ausgestattet sind:
„Dabei ist die Schadware darauf auslegt, möglichst unentdeckt und hartnäckig zu sein, und entgeht der Erkennung durch herkömmliche Antivirenlösungen.“ Aufgrund der ausgeklügelten Angriffsmöglichkeiten und der Geschwindigkeit, mit der Cyber-Kriminelle immer neue Malware-Versionen entwickelten, seien in den letzten Jahren die APT-Attacken deutlich gestiegen.

Cyber-kriminelles Vorgehen bei Attacken mit Advanced Malware

„Advanced Malware“-Angriffe folgten in der Regel einer gemeinsamen Angriffsabfolge, so Kumpa:

1.  Planung: In dieser Phase wählten Cyber-Kriminelle ein Ziel aus und untersuchten dessen Infrastruktur, um festzustellen, wie die Malware eingeführt wird, welche Kommunikationsmethoden während des Angriffs verwendet und wie und wo Daten extrahiert werden sollen. Bei „Advanced Malware“-Attacken beinhalte diese Phase typischerweise die Planung gezielter Social-Engineering-Angriffe.
2. Malware-Einführung: In diesem Stadium werde Malware zur Erstinfektion an die Opfer abgegeben. Dies geschehe häufig über Spear-Phishing-E-Mails mit infizierten Anhängen oder über Drive-by-Angriffe durch eine verseuchte Website.
3. Command and Control: „Advanced Malware“ kommuniziere mit dem Angreifer, um ihm erkannte Informationen zu senden und zusätzliche Befehle von ihm zu erhalten. Kumpa erläutert: „Die Schadware sendet Benutzer-, Netzwerk- und Maschineninformationen an den Hacker und erhält von ihm neue Anweisungen, welche Identitäten oder Maschinen als nächstes infiziert werden sollen, wie man die Ziele identifiziert sowie Anweisungen zur Datenexfiltration.“
4. Ausweitung der Infizierung: „Advanced Malware“ verfüge oft über robuste Selbstvermehrungsfunktionen, um Ziele schnell zu identifizieren und zu infizieren. Angreifer würden solange wie möglich das Netzwerk erforschen und Malware verbreiten, bis sie diejenigen Computer oder Systeme infizierten, die Zugriff auf wertvolle Daten haben.
5. Zielerkennung: „Sobald der Angreifer Fuß gefasst und das Netzwerk erkundet hat, werden die Ziele für die Endphase der Malware-Ausbreitung identifiziert. In diesem Stadium wird die Malware auf Computer oder Systeme verbreitet, die die gewünschten Daten enthalten.“
6. Exfiltration: Dabei wird laut Kumpa die Malware-Payload ausgeführt. „Bei einem Angriff, der sich auf Datendiebstahl konzentriert, ist dies die Phase, in der gezielte Daten gesammelt und an einen vom Angreifer kontrollierten Ort übertragen werden.“ Die „Advanced Malware“ verwende Verschleierungstechniken, um diese Exfiltration sowie andere Aktivitäten zu verbergen, zum Beispiel die Verschlüsselung oder Komprimierung von Dateien mit Hilfe von Krypto- und Packer-Tools.
7. Rückzug: „Nachdem ein ,Advanced Malware‘-Angriff abgeschlossen ist, zieht sich die Malware oft zurück und versteckt sich in einem Computernetzwerk oder zerstört sich selbst, je nach Zielorganisation und der Wahrscheinlichkeit einer Entdeckung durch Sicherheitssysteme.“

Best Practices zum Schutz vor Attacken mit Advanced Malware

• Kontext- und verhaltensbasierte Erkennung von Anomalien: Die von „Advanced Malware“ eingesetzten Verschleierungstechniken machten viele traditionelle Sicherheitslösungen unwirksam, um Angriffe zu erkennen oder abzuwehren. Deshalb wendenten sich Unternehmen Lösungen zu, „die kontext- und verhaltensbasierte Erkennung einsetzen, um Malware anhand ihrer Aktivität, statt durch Signaturen zu identifizieren und zu stoppen“. Um die Erkennung von „Advanced Malware“-Angriffen zu verbessern, sollten IT-Teams auf erhöhte Bedrohungsaktivitäten oder anderes anomales Verhalten in Systemen achten. Sie sollten zudem Endpunkte auf Warnzeichen für einen „Advanced Malware“-Angriff überwachen, einschließlich Netzwerkerkundung, verdächtige Dateiübertragungen und Kommunikation mit verdächtigen Befehls- und Steuerservern.
• Sandboxing: „Advanced Threat Detection“-Lösungen böten Sandboxing und die Überwachung zur Erkennung von „Advanced Malware“-Angriffen. Sandboxing ermögliche es, die verdächtige Datei in einer isolierten Umgebung auszuführen und zu beobachten, bevor sie im Netzwerk zugelassen wird. Dies ermögliche eine Entdeckung der Malware, bevor sie die Systeme infiltrieren und Schäden verursachen kann.
• Kontrolle aller Infiltrations- und Exfiltrationspunkte: „Advanced Malware“-Präventions- und Schutzmaßnahmen sollten sich auf die Sicherung von Bedrohungsvektoren – sowohl Infiltrations- als auch Exfiltrationspunkte – konzentrieren, um das Potenzial für Infektionen und Datendiebstahl zu minimieren. „Die Anwendung von Kontrollen auf Vektoren wie E-Mail, Internetverbindungen, Dateitransfer und USB bietet Schutz vor Advanced Malware-Infektionen für Angriffe im Frühstadium sowie die Datenexfiltration im Falle einer erfolgreichen Advanced Malware-Infektion.“
• Verschlüsselung sensibler Daten: Alle sensiblen Datenbestände sollten verschlüsselt sein und alle Schlüssel als letzte Verteidigungslinie sicher gespeichert werden. Dies trägt nach Kumpas Aussagen dazu bei, dass der Schaden so gering wie möglich bleibt, auch wenn das Netzwerk infiltriert wird und das Ereignis nicht erkannt wird.
• Sicherheitsschulungen: „Schließlich ist es angesichts der immer ausgefeilteren ,Social Engineering‘-Angriffe auch wichtig, den Mitarbeitern umfassende und kontinuierliche Cyber-Sicherheitsschulungen zu bieten“, betont Kumpa. Phishing-Angriffe seien eine beliebte Methode für „Advanced Malware“-Angriffe, weshalb es wichtig sei, „dass die Mitarbeiter mit den Taktiken der Cyber-Kriminellen vertraut sind“.

Bedrohung durch Advanced Malware wird noch weiter zunehmen

Kumpas Fazit: „Die Bedrohung durch ,Advanced Malware‘ wird auch zukünftig weiter steigen. Um sensible Daten wie Geschäftsgeheimnisse, Geistiges Eigentum, Finanz- und Kundendaten zu schützen, benötigen Unternehmen deshalb einen mehrschichtigen Security-Ansatz aus Mitarbeitertrainings und Technologien.“
„Advanced Threat Detection“-Tools sowie Sicherheitslösungen, die „Data Loss Prevention“ (DLP), „Endpoint Detection and Response“ (EDR) und die Überwachung von Anomalien im Nutzer- und Entitätsverhalten auf Basis von „Machine Learning“ könnten das Risiko von Datenexfiltration und Spionage durch „Advanced Malware“-Angriffe erheblich reduzieren.

Weitere Informationen zum Thema:

datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken

datensicherheit.de, 27.05.2019
Cyber-Hygiene: Grundstein der IT-Security

datensicherheit.de, 30.04.2019
Sensible Daten aufspüren und schützen

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks

datensicherheit.de, 05.11.2018
Willkommen im Botnet: Über die Unsicherheit der Dinge

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

datensicherheit.de, 09.09.2018
Cyber-Erpressung auf Bestellung

datensicherheit.de, 14.08.2018
Echtzeit-Identifizierung von Daten-Sicherheitsrisiken

datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

Erste Anzeichen eines Trends seit zwei Jahren sichtbar

[datensicherheit.de, 09.06.2019] Die Forscher und das Emergency Response Team (ERT) von Radware berichten von einem wachsenden Trend zu Cyberangriffen auf Managed Service Provider (MSPs). Während diese Branche typischerweise mit Hilfe von Advanced Persistent Threats (APTs) attackiert wird, deuten mehrere Ereignisse in den letzten Monaten darauf hin, dass auch technisch weniger versierte Gruppen versuchen, MSPs anzugreifen, um die Beziehung zwischen MSPs und ihren Kunden zu nutzen.

Managed Service Provider bieten Fernverwaltungsdienste für die Infrastruktur ihrer Kunden

MSPs bieten Fernverwaltungsdienste für die Infrastruktur ihrer Kunden, einschließlich der Möglichkeit, Updates oder Anwendungen zu installieren. Auf diese Fähigkeiten globaler MSPs haben es die Hacker laut Radware abgesehen mit dem Ziel, ihre Wirkung durch eine Trickle-Down-Strategie zu maximieren.

Foto: Radware

Michael Tullius, Regional Director DACH, Radware

Erste Anzeichen eines Trends seit zwei Jahren sichtbar

Erste Anzeichen des Trends zu Angriffen auf MSPs wurden vor zwei Jahren sichtbar. Im April 2017, inmitten der wachsenden Spannungen zwischen den Vereinigten Staaten und China, veröffentlichte das US-CERT eine Warnung, in der eine neu auftretende Bedrohung beschrieben wurde, die sich auf Dienstleister in verschiedenen Sektoren auswirkt. Ende 2018 wurde eine spezifischere Warnung über Advanced Persistent Threats veröffentlicht, die sich aktiv gegen MSPs richten. Die erste Warnung wurde zwei Monate später aktualisiert, nachdem zwei chinesische Hacker angeklagt wurden, die mit dem chinesischen Staatsministerium verbunden waren.

Hacker zielen zunehmend auf die Supply Chain ab

Während Hacker zunehmend auf die Supply Chain abzielen, bringen sie jeweils ein anderes Set von Taktiken, Techniken und Verfahren ein und verfolgen unterschiedliche Ziele. APTs und nationalstaatliche Hacker verfolgen in der Regel Spionagezwecke, während organisierte Cyberkriminelle nach Daten oder personenbezogenen Daten (PII) suchen, die sie verkaufen oder mit denen sie Betrug begehen können. Sogar Ransomware-Kampagnen gegen MSPs wurden zuletzt beobachtet.

Die Implementierung der richtigen defensiven Barrieren erschwert es Cyberkriminellen und APTs, Zugang zu erhalten und die Persistenz im Zielnetzwerk zu erhalten. Zum Schutz vor diesen Arten fortschrittlicher Bedrohungen sollten Unternehmen eine umfassende Verteidigungslösung in Betracht ziehen, die Transparenz, Widerstandsfähigkeit, Skalierbarkeit, Sicherheit und Kontrolle bietet, um die Zahl der Bedrohungen zu verringern.

Weitere Informationen zum Thema:

datensicherheit.de, 22.05.2019
Managed Service Provider: Fokus auf Rolle als strategische Berater

datensicherheit.de, 08.05.2019
Public-Cloud-Ressourcen: Drei Tipps zur Absicherung

datensicherheit.de, 24.11.2014
Cybersecurity: Fünf Dinge die jeder Anbieter von Managed Services wissen sollte

Unternehmensvermögen und Reputation sind gleichermaßen bedroht

Ein Gastbeitrag von Hatem Naguib, Senior Vice President und General Manager Security Business, Barracuda Networks

[datensicherheit.de, 20.07.2017] In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunkur hat. Gezielte Langzeitangriffe, sogenannte  Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen.

Phishing und Ransomware sind die erfolgreichsten Angriffsmethiden

Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.

Bild: Barracuda NetworksHatem Naguib, Senior Vice President und General Manager Security Business

Hatem Naguib: „Phishing und Ransomware sind die erfolgreichsten Angriffsmethiden“

Die jüngsten Ransomware-Angriffe stellen eine noch größere Bedrohung dar: Statt einfach nur Geld zu nehmen und danach die Opfer in Ruhe zu lassen, werden bei einigen Vorgehensweisen die Daten, ohne Möglichkeit der Wiederherstellung, zerstört und nicht einfach nur verschlüsselt. Was kommt als Nächstes? Womöglich eine neue Taktik unter Nutzung sogenannter „Protectionware“, bei der das Opfer gezwungen wird, regelmäßig zu zahlen, damit seine Daten weiterhin verfügbar bleiben?

Die Auswirkungen dieser Angriffe sind weitreichend. Nicht nur die Unternehmensvermögen sind in Gefahr, sondern auch der gute Ruf, die Rentabilität und nicht zuletzt Arbeitsplätze. Die Auswirkungen können verheerend sein, vor allem für kleine Unternehmen, die vielleicht nicht über die Möglichkeiten verfügen, sich schnell davon zu erholen. Neben den finanziellen Einbußen zieht der Angriff weitere Folgen für das Unternehmen nach sich.

Aufgrund der Aktualität von Ransomware-Gefahren, haben wir etwas tiefer gegraben. Im Mai dieses Jahres führten wir eine Umfrage mit dem Schwerpunkt Ransomware durch, um mehr über die Hauptsorgen sowie über den Umfang der Bedrohung insbesondere im mittelständischen Markt herauszufinden. Die Umfrage ist Teil eines globalen Berichts, der die Ergebnisse von weltweit 1.300 Interviews mit IT-Verantwortlichen von Unternehmen mit einer Größe von 1 – 10.000 Mitarbeitern analysierte. Der höchste Prozentsatz der Antworten (18,1 Prozent) stammte von Unternehmen mit 101 – 250 Beschäftigten.

Eine überwältigende Mehrheit von 92 Prozent der Teilnehmer machen sich Sorgen, ihr Unternehmen könne zur Zielscheibe von Ransomware werden. Diese Ängste scheinen berechtigt zu sein: Fast die Hälfte, nämlich 47 Prozent der Befragten waren selbst schon einmal von Ransomware betroffen. Von ihnen waren 59 Prozent nicht in der Lage, den Ursprung des Angriffs zu benennen. Leider ist das nichts Ungewöhnliches: Eine große Zahl von Unternehmen bemerkt häufig nicht einmal, dass überhaupt in das Netzwerk eingebrochen wurde, ganz zu schweigen davon, an welcher Stelle. Von den übrigen 41 Prozent jedoch nannten 76 Prozent E-Mail als Ursprung des Ransomware-Angriffs. E-Mail ist nach wie vor einer der meistgenutzten Services für die Geschäftskommunikation sowie einer der Bedrohungsvektoren, die am häufigsten anvisiert werden. Diese Resultate unterstreichen, wie wichtig mehrschichtige Sicherheit für E-Mail ist – an der Schnittstelle sowie für die interne Nachrichtenübermittlung. Zudem weisen sie auf die Bedeutung einer der am häufigsten übersehenen Bereiche hin: Die Aufklärung von Mitarbeitern, die unter Umständen das schwächste Glied sind, wenn es um den Schutz vor Bedrohungen wie Ransomware geht.

Für alle, die Software-as-a-Service-Anwendungen (SaaS) einsetzen, waren die Ergebnisse besonders interessant, da sie sich auf die integrierten Sicherheitsfunktionen dieser Anwendungen beziehen. So haben etwa 70 Prozent der Befragten nicht das Gefühl, dass Microsoft Office 365 ihren Anforderungen an den Schutz vor Ransomware gerecht wird, was die Bedeutung von Sicherheitslösungen von Drittanbietern unterstreicht. Um genau zu sein, setzen fast 60 Prozent der Teilnehmer externe Lösungen als Ergänzung nativer Sicherheitsfunktionen ein. Dies lässt darauf schließen, dass Unternehmen sich nur dann geschützt fühlen, wenn sie die Anwendung in Verbindung mit Sicherheitslösungen nutzen.

Wie können Unternehmen sich vor diesen Risiken schützen? Hier sind einige Tipps dazu:

1. Niemand ist zu unbedeutend, um zur Zielscheibe zu werden: Ein verbreiteter Irrtum kleiner und mittlerer Unternehmen ist es, zu denken, sie seien zu klein, um ein attraktives Angriffsziel darzustellen, und sich daher auf der sicheren Seite zu wähnen. In Wirklichkeit sind diese Unternehmen anfälliger für Attacken, da davon ausgegangen wird, dass sie über weniger Mitarbeiter, Technik und Ressourcen für den Kampf gegen zielgerichtete Angriffe verfügen.
2. Alles sichern: Die digitale Transformation bietet Unternehmen erhebliche Möglichkeiten mit Blick auf die Produktivität sowie Kosteneinsparungen. Doch sie sorgt auch für eine Vergrößerung der Angriffsfläche und öffnet die Tür für ausgefeiltere und zielgerichtete Attacken. Moderne fortschrittliche Angriffe nutzen typischerweise verschiedene Vektoren aus: Wie unsere Untersuchungen zeigen, ist E-Mail nach wie vor ein Schwerpunkt für Angreifer, die Ransomware einsetzen. Die beste Verteidigung ist eine Großoffensive, d. h. Unternehmen müssen den Ansatz verfolgen, „alles zu sichern“, um sich vor modernen Attacken zu schützen. Um dies zu tun und smartere Arten von Schadsoftware wie Ransomware abzuwehren, benötigen Unternehmen Advanced Threat Protection über alle Bedrohungsvektoren hinweg. Das bedeutet, dass jede ATP-fähige Lösung, die von den anderen Lösungen zusammengetragenen Informationen verwenden kann, so dass die Verarbeitung schneller und besser skalierbar ist. Eine Netzwerk-Firewall allein ist nicht genug, genauso wie eine E-Mail-Sicherheitsschnittstelle allein nicht ausreicht. Unternehmen, die die Vorteile von virtualisierten und Cloud-Netzwerken nutzen möchten, müssen sicherstellen, dass sie dort die gleichen Sicherheits- und Zugriffsbeschränkungen einsetzen wie in ihrer lokalen Infrastruktur.
3. Konsequente Umsetzung, Überwachung und Aufklärung: Das Verhalten der Benutzer ist möglicherweise die größte Schwachstelle, und es ist unvermeidlich, dass irgendwann jemand einen Link anklickt. Trotzdem ist Aufklärung ein entscheidender Bestandteil einer zuverlässigen Strategie für Datensicherheit, denn Angreifer versuchen immer häufiger, sich im Rahmen von gezielten Phishing- und Spear-Phishing-Kampagnen „menschliche Netzwerke“ zunutze zu machen.
4. Unterbrechungen nach einem Angriff möglichst kurz halten: Für den Fall, dass alle Stricke reißen, braucht es einen Plan für die schnelle Wiederherstellung der Daten. In Bezug auf Ransomware ist es in der Regel am besten, einen umfassenden Sicherungs- und Wiederherstellungsplan zu entwickeln sowie zu implementieren, der es erlaubt, alle verschlüsselten Daten mit minimalem Aufwand wiederzuerlangen.

Es ist wichtig, sich bewusst zu machen, dass man auch dann, wenn man schon einmal betroffen war, nicht gegen zukünftige Angriffe immun ist. Stattdessen sehen manche Angreifer in den betroffenen Unternehmen womöglich ein leichtes Ziel und planen daher eine Attacke mit noch schwerwiegenderen Folgen. Es ist demzufolge nie zu spät, aber unabdingbar, die Sicherheitsstrategie zum Schutz der Unternehmensdaten wiederholt zu prüfen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2017
Ransomware – nur die Spitze des Eisberges

Sicherheitsarchitektur sorgt auch für Schutz bei KMU

[datensicherheit.de, 25.03.2014]  Im Rahmen der CeBIT 2014 traf die Redaktion von datensicherheit.de  mit Amnon Bar-Lev, Präsident von Check Point zusammen, der die neue Sicherheitsarchitektur Software-defined Protection (SDP) von Check Point dem Fachpublikum erstmals vorstellte. Dabei stellte er auch heraus, dass gerade auch „Sicherheit für kleine und mittelständische Unternehmen“ zur Abwehr von Advanced Persistent Threats (APT’s) durchaus möglich ist: „Die Bedrohungslandschaft ist sehr viel raffinierter geworden und gleichzeitig werden die IT-Umgebungen von Unternehmen immer komplexer. Unternehmen wollen zwar wissen wie sie ein höheres Sicherheitsniveau erreichen können, aber auf eine Art und Weise, die einfach zu managen und anzuwenden ist. SDP ist einfach und flexibel und kann Bedrohungsinformationen robust in Echtzeit-Schutz konvertieren.“

© Check Point

Amnon Bar-Lev, Präsident von Check Point

SDP war aus Sicht von Bar-Lev nötig geworden, weil sich die Bedrohungslage geändert hat: „Wir haben es mit drei Arten von Bedrohungen zu tun. Bedrohungen, von denen wir wissen, dass wir sie kennen. Bedrohungen, von denen wir wissen, dass wir sie nicht kennen. Und schließlich Bedrohungen, von denen wir nicht wissen, dass wir sie nicht kennen. Unsere innovative Threat Prevention erlaubt es uns, gerade diese ‚Bad Guys‘ zu identifizieren und durch Echtzeit-Sicherheitsupdates abzublocken.“

Diese Sicherheitsarchitektur basiert auf drei miteinander verbundenen Ebenen:

• Enforcement-,
• Kontroll- und
• Management-Ebene.

Die erste Ebene baut auf physischen, virtuellen und host-basierten Enforcement-Punkten auf, überwacht den Traffic und führt Gegenmaßnahmen gegen Angriffe durch. Eine Segmentierung des Netzwerks schützt die Sicherheitsinfrastruktur des Unternehmens im Fall einer Attacke auf eine einzelne Komponente des Netzwerks vor einer großflächigen Beschädigung. Die Segmentierung besteht aus vier zentralen Schritten: Zuerst werden „Atomic Segments“ (kleinteilige Segmente) mit den gleichen Schutz- und Policy-Charakteristiken definiert. Diese werden dann für einen modularen Schutz gruppiert und physikalische oder virtuelle Komponenten konsolidiert. Im letzten Schritt werden sogenannte „Trusted Channels“ etabliert, also vertrauenswürdige Kanäle, über die der Traffic und die Daten zwischen den einzelnen Segmenten hin und her fließen können.

Die Kontroll-Ebene des SDP hat dagegen die Aufgabe, konkrete Schutzmaßnahmen zu generieren und an die entsprechenden Enforcement-Punkte zu leiten. Als erstes werden dabei der Austausch zwischen Benutzern, Daten und Applikationen durch Access Control und Data Protection überwacht und alle Daten „at rest“ also im Ruhestand und „in motion“ also während des Austauschs geschützt. Nun kommt die Threat Prevention zum Einsatz, sie macht sich mit Hilfe der Threat-Intelligenz auf die Suche nach der bösartigen Schadsoftware und Schutzmaßnahmen ergreift.

Dritter und letzter Teil der SDP-Architektur ist die Management-Ebene. Sie ist die Schnittstelle des Systems und verbessert die Aktivitäten der einzelnen SDP-Ebenen sowie die Zusammenarbeit mit den jeweiligen IT-Sicherheitsverantwortlichen. Darüber hinaus soll die Management-Ebene als offen und modular ausgelegtes Tool ein hohes Maß an Effizienz und Dynamik garantieren.

Je nach Größe und Anforderungen des Unternehmens werden zusätzlich zu dieser Architektur die entsprechend passenden und benötigten Appliances und Blades von Check Point kombiniert. Für kleine und mittelständische Unternehmen gibt es seit letztem Jahr dann auch die 600 Appliance für Organisationen mit bis zu 100 Mitarbeitern. Durch die Einbindung der Appliance in die Sicherheitsarchitektur lässt sich die Sicherheitslösung nach den jeweiligen Anforderungen flexibel skalieren. Die Lösung hat sich bereits bei Niederlassungen im Ausland bewehrt und schützt damit auch das Netzwerk des Mutterunternehmens vor dem Einfall von Schadsoftware.

Weitere Informationen zum Thema:

datensicherheit.de, 03.03.2014
Software-defined Protection: Check Point führt neue Sicherheitsarchitektur ein

Studie von Trend Micro zeigt, wie Mitarbeiter im Web zu „beweglichen Zielen“ werden

[datensicherheit.de, 25.02.2013] Fälle wie Mata Hari oder Lawrence von Arabien bilden die Ausnahme, in der Regel bleiben Spione unerkannt. Auch ihre Methoden sind nicht immer so phantasievoll wie in einem James-Bond-Film: Neun von zehn gezielten Angriffen („Advanced Persistent Threats“), die es auf die Informationen eines Unternehmens oder einer Behörde abgesehen haben, beginnen mit einer einfachen E-Mail-Nachricht. Wie eine Untersuchung von Trend Micro zeigt, sind die „Spearphishing“-Angriffe (also besonders zielgenaue „Phishing“-Angriffe“) so geschickt erstellt, dass neugierige Anwender den verseuchten Dateianhang öffnen oder den integrierten Link anklicken, hinter dem sich Schadsoftware oder ein Exploit verbirgt – und schon den kriminellen Absendern den Zugang zum Netzwerk ihrer Firma ermöglicht haben.

Die „Spearphishing-Kampagnen“, deren Name sich vom „Speerfischen“ ableitet, verwenden allgemein verfügbare Informationen über ihr Opfer und sind gezielt auf bestimmte Personen oder Gruppen innerhalb einer Organisation und deren persönliche Situation zugeschnitten. Anders als bei herkömmlichen „Phishing“-Kampagnen sprechen die E-Mails die Betroffenen beispielsweise mit ihrem Namen und Titel an und enthalten die genaue Berufsbezeichnung oder Position des Opfers.

exe-Dateien bei Cyberkriminellen weniger beliebt

Die Untersuchung hat gezeigt, dass 94 Prozent dieser gezielten E-Mail-Angriffe verseuchte Dateianhänge als „Payload“ oder Infektionsquelle nutzen. Die verbliebenen sechs Prozent entfallen auf Methoden wie die Übertragung von Schadprogrammen durch bösartige Links, über die sich die Anwender bösartige Dateien herunterladen. Diese große Diskrepanz ist leicht zu erklären: Wenn Angestellte in großen Unternehmen oder Behörden Dateien – wie beispielsweise Geschäftsunterlagen, Berichte, Lebensläufe – gemeinsam nutzen, tun sie das im Normalfall per E-Mail, weil das Herunterladen aus dem Internet als unsicher angesehen wird.

Dabei entfallen 70 Prozent der „Spearphishing“-Emails auf rtf-, xls- und zip-Dateien (38, 15 beziehungsweise 13 Prozent). Dass andererseits ausführbare exe-Dateien bei Cyberkriminellen nicht so beliebt sind, liegt vor allem daran, dass solche Dateianhänge in der Regel von Sicherheitslösungen entdeckt und abgewehrt werden. Bei drei Vierteln der untersuchten Fälle wiederum ließen sich die E-Mail-Adressen der Opfer durch eine einfache Websuche herausfinden oder waren besonders leicht zu erraten, weil sie gebräuchliche E-Mail-Formate verwendeten.

Mitarbeiter in Behörden werden zu „beweglichen Zielen“

Trend Micros Untersuchungen haben auch gezeigt, dass Cyberkriminelle mit diesen Angriffen vor allem Regierungsbehörden und Aktivistengruppen ins Visier nehmen. Abgesehen davon, dass sie ohnehin ein beliebtes Spionageziel der Cyberkriminellen sind, könnte das zum einen daran liegen, dass Behörden oft detaillierte Informationen über ihre Mitarbeiter im Internet veröffentlichen. Zum anderen geben Aktivistengruppen, die meist sehr aktiv in sozialen Medien sind, bereitwillig Auskunft über ihre Mitglieder, um dadurch die Kontaktaufnahme und die Kommunikation zu erleichtern. Doch dieser dienstleistungsorientierte Ansatz hat seine Schattenseiten, Mitarbeiter – auch hochrangige – werden durch die umfangreichen öffentlich zugänglichen Profilinformationen zu einer leichten Beute.

Weitere Informationen zum Thema:

Trend Micro
Spear-Phishing E-Mail: die beliebteste APT-Angriffstechnik

[datensicherheit.de, 08.07.2011] Immer mehr Bedrohungen umgehen die sich auf „Perimeter-“ und „Content-Security“ konzentrierenden herkömmlichen IT-Sicherheitsvorkehrungen. TREND MICRO hat sein Angebot für Echtzeit-Bedrohungsmanagement zum Schutz vor besonders ausgeklügelten Angriffsarten – sogenannte „Advanced Persistent Threats“ –, die gezielt auf ein bestimmtes Unternehmen ausgerichtet sind, erweitert:
In Verbindung mit Cloud-basiertem Schwachstellen-Management, virtuellen Patch-Funktionalitäten sowie speziellen Risikomanagement-Services senken der neue „Trend Micro Threat Intelligence Manager“ sowie das in einer neuen Version erhältliche „Trend Micro Threat Management System“ das Risiko, solch gezielten Angriffen ausgesetzt zu sein, ebenso deren Auswirkungen auf Unternehmen.
Ein Drittel aller Angriffe auf die IT-Sicherheit führt innerhalb weniger Minuten zu einer Infektion, von denen die meisten aber wochen- oder sogar monatelang nicht entdeckt werden. Wie groß der Bedarf speziell nach einer Absicherung gegenüber gezielten Langzeitangriffen ist, hat nun die Studie „Verizon Data Breach Investigation Report 2011“ von Verizon untersucht – demnach zeige sich zum einen, wie komplex die mehrstufigen gezielten Angriffe seien, zum anderen, wie viele Monate üblicherweise zwischen dem eigentlichen Angriff und der Entdeckung und abschließenden Eindämmung verborgener Malware vergingen.
Somit reichen herkömmliche Sicherheits- und Risikomanagement-Strategien nicht aus. Vielmehr sind sich Analysten und Sicherheitsexperten darin einig, dass Unternehmen ihr Risikomanagement anpassen und erweitern müssten. So plädiert Forrester Research beispielsweise für ein so genanntes „Zero-Trust-Sicherheitsmodell“. Dieser Denkansatz geht davon aus, dass Unternehmen ihre Grundhaltung ändern und ihre internen Kontrollmechanismen anpassen müssen. Wenn sie aktuellen Bedrohungen effektiv begegnen wollen, benötigten sie eine entsprechende Grundhaltung („Zero-Trust“) und müssten genau darüber informiert sein, was in ihrem Netzwerk geschieht.
Die Online-Bedrohungen, denen sich Unternehmen heutzutage ausgesetzt sähen, würden zunehmend raffinierter. Zum Schutz vor „Advanced Persistent Threats“ habe TREND MICRO sein Portfolio nun entsprechend erweitert – dank Echtzeit-Bedrohungsmanagement-Lösungen könnten Unternehmen die aktuellen Bedrohungen und mögliche Schwachstellen besser im Blick behalten, außerdem hätten sie einen genauen Überblick über sämtliche Komponenten ihres Netzwerks und bessere Steuerungsmöglichkeiten. Nur das Zusammenspiel eines Cloud-basierten Ansatzes mit den integrierten Such-, Analyse- und Korrekturfunktionen, wie es TREND MICRO biete, führe dabei zum Ziel einer entscheidenden Verbesserung der Sicherheit bei gleichzeitiger Kostensenkung, so Arno van Züren, „Director Business Development Service Provider Central Europe“ bei TREND MICRO.
Bei derartigen Angriffen verfolgen Cyber-Kriminelle einen mehrstufigen Ansatz – sie verschaffen sich Zugang zum Unternehmensnetzwerk, laden dort zusätzliche Malware herunter, kompromittieren gezielt bestimmte Systeme und entwenden die Daten. Während die eigentlichen Angriffe innerhalb kurzer Zeit ablaufen, beträgt die Zeitspanne vom Befall bis zur ursprünglichen Kompromittierung oft Stunden oder Tage – und bis zur tatsächlichen Entdeckung und vollständigen Säuberung können sogar mehrere Monate vergehen. Während dieses gesamten Zeitraums befindet sich ein Schädling im Unternehmensnetzwerk, dessen einziger Zweck darin besteht, wertvolle Daten zu entwenden. Es ist möglich, diese Malware-Arten aufzuspüren – während ihres Eintritts in das Netzwerk, aufgrund ihrer Aktivitäten innerhalb des Netzwerks sowie durch ihre Auswirkung auf Endgeräte und Server. Die Echtzeit-Bedrohungsmanagement-Lösungen von TREND MICRO konzentrierten sich auf diese Faktoren, um sowohl das Risiko dieser langfristigen Angriffe als auch die Auswirkungen und die Dauer erfolgreicher Angriff zu reduzieren – sie senkten die Wahrscheinlichkeit, Opfer eines Eindringens zu werden. Sie verkürzten die Zeit bis zum Aufspüren eines Angriffs sowie die für Eindämmung und Sanierung anfallende Zeit.
Mit dem neuen „Threat Intelligence Manager“ sollen Unternehmen einen umfassenden Überblick über den gesamten Ablauf eines sicherheitsrelevanten Vorfalls erhalten. IT-Verantwortliche hätten schnellen Zugriff auf die aktuellen Bedrohungsstatistiken und könnten Schwachstellen in kurzer Zeit analysieren und beheben. Sie könnten so in kurzer Zeit gezielte Langzeitangriffe aufspüren, herausfinden, wie sie in das Netzwerk gelangen konnten, und ihre Auswirkungen abschätzen. Der „Threat Intelligence Manager“ soll ab 15. Juli 2011 verfügbar sein.
Das in einer aktualisierten Version verfügbare „Threat Management System“ sei darauf ausgerichtet, das Abfließen von Daten zu verhindern, die Bereinigung der Systeme zu automatisieren, und Unternehmen einen genauen Einblick in ihr Netzwerk zu geben. Bevorzugt komme diese Lösung bei Behörden sowie Großunternehmen in der Bank- und in der Telekommunikationsbranche zum Einsatz. Das „Dynamic Threat Analysis System“ als Teil der aktuellen Version erweitere als Plattform zur Erkennung und Analyse von Malware die bestehenden Such- und Korrelationsfunktionen um Methoden wie eine „Sandbox“, damit Malware, die durch das „Threat-Management-System“ oder direkt von einem IT-Sicherheitsspezialisten erfasste wurde, untersucht, deren Auswirkungen simuliert und sie vollständig forensisch analysiert werden könne.
Diese Lösungen seien eingebettet in ein Portfolio, das zum Thema Risikomanagement verschiedene Lösungen und Services bereithalte. Daneben biete TREND MICRO verschiedene Dienstleistungen zur Unterstützung von Unternehmen an – vom Monitoring über die Bedrohungsanalyse bis hin zur Planung der Sicherheitsstrategie.

Weitere Informationen zum Thema:

Realtime publishers
„Advanced Persistent Threats und Echtzeitbedrohungsmanagement“ (eBook)

Forrester Research, 24.01.2011
„Pull Your Head Out Of The Sand And Put It On A Swivel: Introducing Network Analysis And Visibility“

TREND MICRO
Vulnerability Management Services / Automatische Schwachstellen- und Risikobewältigung, unterstützt von Qualys

TREND MICRO
Deep Security – Virtualisierungssicherheit für Unternehmen / Trend Micro Deep Security / Erweiterter Schutz für physische, virtuelle und webbasierte Server