Wie Sie unbekannten Bedrohungen effektiver begegnen können

Sandboxing

KOMMT IHNEN DAS BEKANNT VOR?

Sie leiten den IT-Sicherheitsbetrieb einer Behörde und sind immer häufiger in der Situation, entweder direkt durch Mitarbeiter oder über die IT-Infrastruktur Dateien, E-Mails oder URLs zu erhalten, bei denen nicht zweifelsfrei erkennbar ist, ob diese eine Bedrohung darstellen. Gerade per E-Mail versuchen es Cyberkriminelle immer wieder, gefährliche Dateien direkt oder über Links bis zum Anwender durchzuschleusen.

Der Anwender ist oft überfordert, wird geschickt ausgetrickst oder arbeitet unter Druck: Eine kurze Sekunde der Unaufmerksamkeit genügt und es ist passiert. Sollte dieser Fall eintreten, ist die Erwartungshaltung der Amtsleitung oder des Vorgesetzten oft, zeitnah oder sogar sofort eine Auskunft zu erhalten, wie nun weiter zu verfahren ist bzw. welches Risiko entstanden sein könnte.

ALLES NICHT SO EINFACH…

Nun beginnt das große Suchen:

Der betroffene Mitarbeiter wird befragt oder der Rechner, auf dem die Datei gefunden wurde, untersucht.

Im schlimmsten Fall muss die Suche sogar auf andere Teile der ITInfrastruktur (z.B. Mailserver) ausweitet werden.

Teil der Untersuchung ist, wie die Datei in die Organisation gekommen ist, evtl. als Anhang zu einer E-Mail? Über eine Webseite? Oder per Datenträger?

Der Hash-Wert der Datei wird gebildet, um herauszufinden, ob diese Datei evtl. an anderer Stelle schon bekannt ist.

Verschiedene externe Quellen werden zu Rate gezogen, um mehr Hintergrundinformationen zu evtl. Indicators of Compromise (IOC) zu erlangen.

All diese Schritte laufen gegen die Zeit. Denn je länger es dauert, desto mehr Schaden könnte potentiell entstehen. Die hier anfallende Arbeit ist nicht planbar und häufig werden schnell Kapazitätsgrenzen erreicht.

WIE LÖSE ICH DAS PROBLEM?

Folgt man dem Assume-Breach-Paradigma, wie auch bereits vom BSI in seinem Lagebericht 2015 beschrieben, folgt daraus der Einsatz von Technologien wie EDR / XDR und/oder Detonationssandboxen. Eine Sandbox erlaubt es Ihnen, Dateien auszuführen und deren Verhalten aufzuzeichnen. Auf diesem Wege lässt sich sehr schnell und vollständig analysieren, inwiefern das Verhalten einer Datei vertrauenswürdig ist oder nicht. Auch kann man die so aufgezeichneten Ereignisse gegen Ereignisse anderer Systeme abgleichen und ermitteln, ob die verdächtige Datei bereits zuvor ausgeführt oder verbreitet wurde.

Einmal zentral in ihrer Organisation installiert, erlaubt es eine Sandbox darüber hinaus den Automatisierungsgrad deutlich zu erhöhen. Beispielsweise in dem man die Sandbox an einen Mailserver bindet. Sollten auf dem Mailserver verdächtige Dateien ankommen, werden diese automatisiert zur Detonation gebracht. Die Rückmeldung an den Mailserver wiederum kann zum Verschieben der Datei in eine Quarantäne führen und so effektiv Schaden minimieren. Ebenso lässt sich eine Verbindung zum Endpunkt oder zum Perimeter herstellen.

So steht – ohne manuellen Eingriff an verschieden Stellen einer IT-Infrastruktur – ein automatisiertes Analysewerkzeug zur Verfügung, das insbesondere bei unbekannten Daten und Bedrohungen schnelle Auskunft gibt und eine schnelle Reaktionsfähigkeit ermöglicht. Da sich die Lösung individuell anpassen läßt, können je nach Bedarf verschiedene Betriebssysteme simuliert werden. Es ist sogar möglich gezielt eine besonders verwundbare Umgebung aufzubauen, um noch genauer ihr Verhalten im Extremfall zu beobachten.

TIPP

Wünschen Sie sich mehr Hintergrundinformationen zu einer Malware, damit Sie deren Verbreitung, Abstammung und Risiko besser einordnen können? Dann wählen Sie einen Anbieter, der Sie mit erweiterten Threat Intelligence Services unterstützt.

DAS SIND IHRE VORTEILE
  • Sie erhalten mehr Daten aus den verteilten Rechenzentren und können sich ein umfassenderes Bild der Security-Lage machen.
  • Durch die Automatisierung sparen Sie viel Aufwand und entlasten Ihre Mitarbeiter
  • Anwender in Ihrer Behörde erhalten schnell Analyse-Ergebnisse und können sofort weiterarbeiten. Das erhöht die Akzeptanz, den Sandboxing-Service zu nutzen.
  • Sie erhöhen kostengünstig die Sicherheit in den einzelnen Rechenzentren, ohne dass an jedem Endpunkt eine eigene Sandbox installiert werden muss.
  • Sie erleichtern es Mitarbeitern, Sicherheitsvorfälle zu melden und Compliance-Anforderungen laut ITSicherheitsgesetz zu erfüllen.

DER PARTNER AN IHRER SEITE

Mit Deep Discovery Analyzer von Trend Micro erhalten Sie eine führende Sandboxing-Lösung, die über moderne erkennungstechnische Methodiken verfügt und somit höchste Erkennungsraten bei der niedrigsten Anzahl von False Positives bietet. Trend Micro wurde im Forrester Wave™: Enterprise Detection and Response als Leader genannt und ist laut MITRE ATT&CK Evaluations – APT29 führend bei der Ersterkennung.

Trend Micro (börsennotiert in Tokyo) hat über 30 Jahre Erfahrung als Spezialist für Sicherheitslösungen. Das Unternehmen wird seit 15 Jahren erfolgreich von seiner Mitgründerin Eva Chen geleitet, die als Leading Woman in IT international anerkannt ist. Seit der Gründung im Jahr 1988 achtet sie mit ihrem Managementteam darauf, dass das Unternehmen gesund wächst und reinvestiert auch in Krisenzeiten umfangreich in Forschung und Entwicklung.

Ihr Credo: „Unsere einzige Konkurrenz sind Cyberkriminelle, denen man Einhalt gebieten muss.“

Haben Sie Fragen?

Kontaktieren Sie uns jetzt. Unser Support Team berät Sie gerne.

Andreas Glück,
Sales Development Specialist

Denis Gallagher,
Sales Development Specialist

Merten Müller,
Sales Development Specialist