Wie Sie mehr Gefahrenmeldungen im CERT sammeln

Sandboxing

KOMMT IHNEN DAS BEKANNT VOR?

Sie leiten das CERT Ihres Bundeslandes. Ihr Team aus Security-Spezialisten bildet die zentrale Anlaufstelle für Behörden, Kommunen und Ministerien in allen Fragen der Cybersecurity. Sie informieren über Schwachstellen, veröffentlichen Handlungsempfehlungen und unterstützen bei Sicherheitsvorfällen.

Doch damit Sie ein genaues aktuelles Security-Lagebild erstellen können, brauchen Sie möglichst viele Informationen aus den einzelnen Rechenzentren. Das Problem dabei: Da jede Behörde und öffentliche Verwaltungen ihre IT und IT-Security in der Regel selbst verantworten, haben Sie keinen direkten Einblick, was dort passiert. Vielmehr sind Sie darauf angewiesen, dass Mitarbeiter Angriffe melden. Aber das passiert leider viel zu selten.

ALLES NICHT SO EINFACH…

Grund für die mangelnde Transparenz ist meist ein zu umständlicher Prozess. So können Anwender zum Beispiel E-Mails, die ihnen verdächtig erscheinen, an das CERT schicken. Aber das ist für alle Beteiligten aufwändig:

Die E-Mails landen im zentralen CERT-Postfach. Ihre Mitarbeiter müssen sie dort heraussuchen, von Hand auf einen USB-Stick laden und in eine Sandbox einspielen. Nach der Analyse müssen sie das Ergebnis an den Anwender zurückschicken – so aufbereitet, dass er es versteht.

Es dauert Stunden oder gar Tage, bis der Anwender Antwort erhält. So lange möchte oder kann er meist nicht warten. Also ignoriert er Risiken oder schickt verdächtige E-Mails erst gar nicht zur Überprüfung.

Eigentlich können Sie sich diesen langwierigen Prozess gar nicht leisten. Ihr Team steht ohnehin schon unter Druck, Sie leiden unter Fachkräftemangel und müssen gut mit Ihren Ressourcen haushalten.

Gerade per E-Mail schaffen es Cyberkriminelle immer wieder, gefährliche Dateien bis zum Anwender durchzuschleusen. Denn ein Großteil des Datenverkehrs ist heute HTTPS-verschlüsselt und kann daher aus rechtlichen Gründen nicht auf Netzwerkebene analysiert werden. Eigentlich braucht man also Sandboxen an allen Endpunkten, wo die Dateien im Klartext vorliegen. Aber das ist viel zu teuer.

WIE LÖSE ICH DAS PROBLEM?

Sie brauchen eine zentrale Sandbox im CERT, die über eine eigene E-Mail-Adresse erreichbar ist und sich mit den Sicherheitssystemen in den Behörden und öffentlichen Verwaltungen verbinden lässt. Anwender oder Security-Systeme können verdächtige Nachrichten dann direkt an die Sandbox schicken. Aus dem Analyse-Ergebnis wird automatisiert eine kurze, verständliche Meldung generiert und zurückgesendet. Der Anwender weiß also sofort, wie er mit der verdächtigen E-Mail verfahren soll. Die CERT-Mitarbeiter erhalten indessen den ausführlichen Bericht und können gegebenenfalls weitere Nachforschungen anstellen.

Die Lösung sollte sich individuell anpassen lassen und möglichst viele Profile unterstützen. So können Sie ganz nach Bedarf verschiedene Betriebssysteme simulieren oder gezielt eine besonders verwundbare Umgebung aufbauen. Außerdem ist es wichtig, dass die Sandbox unter besonderen Sicherheitsvorkehrungen auch ins Internet kommunizieren kann.

Denn nur so haben Sie die Möglichkeit zu untersuchen, wie ein Angriff verlaufen würde. Darüber hinaus sollte sich die Lösung leicht in die bestehende Security-Infrastruktur integrieren lassen und umfassende Erkennungstechniken bieten, am besten unterstützt durch Machine Learning.

TIPP

Wünschen Sie sich mehr Hintergrundinformationen zu einer Malware, damit Sie deren Verbreitung, Abstammung und Risiko besser einordnen können? Dann wählen Sie einen Anbieter, der Sie mit erweiterten Threat Intelligence Services unterstützt.

DAS SIND IHRE VORTEILE

Sie erhalten mehr Daten aus den verteilten Rechenzentren und können sich ein umfassenderes Bild der Security-Lage machen.
Durch die Automatisierung sparen Sie viel Aufwand und entlasten Ihre Mitarbeiter.
Anwender in Ihrer Behörde erhalten schnell Analyse-Ergebnisse und können sofort weiterarbeiten. Das erhöht die Akzeptanz, den Sandboxing-Service zu nutzen.
Sie erhöhen kostengünstig die Sicherheit in den einzelnen Rechenzentren, ohne dass an jedem Endpunkt eine eigene Sandbox installiert werden muss.
Sie erleichtern es Mitarbeitern, Sicherheitsvorfälle zu melden und Compliance-Anforderungen laut IT-Sicherheitsgesetz zu erfüllen.

DER PARTNER AN IHRER SEITE

Mit Deep Discovery Analyzer von Trend Micro erhalten Sie eine führende Sandboxing-Lösung, die über moderne erkennungstechnische Methodiken verfügt und somit höchste Erkennungsraten bei der niedrigsten Anzahl von False Positives bietet. Trend Micro wurde im Forrester Wave™: Enterprise Detection and Response als Leader genannt (1. Quartal 2020) und ist laut MITRE ATT&CK Evaluations – APT29 führend bei der Ersterkennung.

Trend Micro (börsennotiert in Tokyo) hat über 30 Jahre Erfahrung als Spezialist für Sicherheitslösungen. Das Unternehmen wird seit 15 Jahren erfolgreich von seiner Mitgründerin Eva Chen geleitet, die als Leading Woman in IT international anerkannt ist. Seit der Gründung im Jahr 1988 achtet sie mit ihrem Managementteam darauf, dass das Unternehmen gesund wächst und reinvestiert auch in Krisenzeiten umfangreich in Forschung und Entwicklung.

Ihr Credo: „Unsere einzige Konkurrenz sind Cyberkriminelle, denen man Einhalt gebieten muss.“

PDF herunterladen

Zurück zur Startseite

Haben Sie Fragen?

Kontaktieren Sie uns jetzt. Unser Support Team berät Sie gerne.

Andreas Glück,
Sales Development Specialist

Denis Gallagher,
Sales Development Specialist

Merten Müller,
Sales Development Specialist

Entdecken Sie den Cyber Risk Index (CRI)