Ransomware & Zero Day Angriffe abwehren!

Ransomware & Zero Day Angriffe abwehren – Verteidigung gegen das Unerkannte

Ihr Netzwerk wird ständig von allen Seiten attackiert. Traditionelle Methoden zur Verteidigung Ihres Netzwerks gegen Angreifer und Cyberkriminelle zeigen kaum noch Wirkung. Perimeter werden regelmäßig überwunden, Benutzer klicken weiterhin unreflektiert auf Links und öffnen Anhänge und Ihr Sicherheitspersonal ist angesichts der Flut an Warnmeldungen und Alarmen überfordert. Von all dem verdeckt, greifen ZeroDay- und komplexe Bedrohungen Ihre Daten ab oder zerstören sie, stehlen Ihr geistiges Eigentum oder wettbewerbsrelevante Informationen oder geben Ihr Unternehmen schlicht der Lächerlichkeit preis. Wenn Ihre aktuelle Sicherheitsinfrastruktur diese Angriffe oder die im Netzwerk hinterlassenen Spuren nicht erkennen kann, kommt es früher oder später zu einer Sicherheitsverletzung. Doch wie können Sie sich vor etwas schützen, das Sie noch nie zuvor gesehen haben?

Grenzschutz ist nicht genug

Bisher galt das Hauptaugenmerk von Unternehmen in Sachen Sicherheit der Außengrenze. Das Netzwerk im Inneren zu schützen verursachte aber nicht nur Kosten, sondern führte vor allem zu Leistungseinbußen. Ihre Business-Intelligence- und hauseigenen Anwendungen erfordern jedoch einen Durchsatz in Leitungsgeschwindigkeit. Ihre Mitarbeiter benötigen und fordern latenzarme Verbindungen zu diesen Anwendungen, sowohl innerhalb des Netzwerks wie auch in der Cloud. Es reicht nicht mehr aus, ein Gerät innerhalb Ihrer Netzwerkgrenzen zu platzieren und auf das Beste zu hoffen. Mit der Bereitstellung interner Firewalls und einer gut durchdachten und geplanten Netzwerksegmentierungsstrategie können Probleme erkannt werden, die möglicherweise die Außengrenze überwunden haben und in die tiefsten Tiefen Ihres Netzwerk eingedrungen sind. Ihr Netzwerk benötigt eine umfassende interne sowie auch externe Lösung, die Ihren Perimeter, Ihren Kern, Ihre Endgeräte und alles dazwischen schützt.

Ist Automatisierung der Schlüssel?

Ihr Netzwerk wird immer schneller, die Anzahl und Arten von Geräten immer größer. Tools und Technologien werden nun auch außerhalb der geschützten Grenzen des traditionellen Netzwerks eingesetzt. Egal, ob Sie Ihre Anwendungen in die Cloud oder an einen entfernten Standort migriert haben: Die Ansprüche an Ihre Netzwerkleistung wachsen beständig. Bei all dem Datenverkehr kann es selbst für den erfahrensten und fähigsten Abwehrspezialisten äußerst schwierig sein, bösartige Aktivitäten aufzuspüren. Und Ihre Abwehrspezialisten benötigen jede Hilfe, die sie bekommen können. Bei der heutigen Bedrohungslage bedeutet das, dass ein möglichst großer Teil der Analyse und Reaktion auf automatisierte Systeme ausgelagert wird. Das klare Ziel dahinter ist, Bedrohungen automatisch zu erkennen und zu bekämpfen, bevor sie Schaden anrichten. Ihr Netzwerk braucht eng ineinander greifende, integrierte Lösungen. Wenn ein Gerät ein Problem erkennt, aber andere Verteidigungsmaßnahmen nicht warnen kann oder wenn Ihre IT-Mitarbeiter aufgrund der Vielzahl anderer Warnmeldungen nicht reagieren können, erhöht sich die Wahrscheinlichkeit, dass ein Angreifer sich aus dem Staub macht oder seine Spuren verwischt, bevor Abwehr- und Gegenmaßnahmen eingeleitet werden. Diese Insellösungen konzentrieren sich in der Regel nur auf kleine Teilbereiche im Puzzle Ihrer Netzwerksicherheit und können zu Lücken in Ihrer Verteidigungslinie führen. Je besser die Phasen integriert und automatisiert sind, desto effizienter und wirkungsvoller ist Ihre Verteidigung.

Phase 1: Prävention

Über das Ende der signatur- und reputationsbasierten Erkennungsmethoden wurde schon oft beschworen. Tatsächlich spielen signaturbasierte Anti-Malware, Web Filtering, Intrusion Prevention und ähnliche Komponenten aber weiterhin eine wichtige Rolle bei der Abwehr unterschiedlichster Bedrohungen in Ihrem Netzwerk. Der Großteil der Bedrohungen, Angriffe und versuchten Exploits in Ihrem Netzwerk ist leicht erkennbar und bekannt. Mit Technologien, die sich schnell aktualisieren und leicht bereitstellen lassen, können Sie dieses Störfeuer heraus filtern, damit sich Ihre Mitarbeiter auf den Teil der Bedrohungen konzentrieren können, die es wirklich in sich haben.

Phase 2: Erkennung

Zero-Day-Bedrohungen und raffinierte Angriffe, die auf die Umgehung signaturbasierter Erkennungsmethoden ausgelegt sind, werden fast täglich gegen wertvolle Ziele eingesetzt. Moderne „Sandbox“-Technologien sind robust genug, um zunächst unbemerkte Bedrohungen zu erkennen und Mitarbeiter zu alarmieren, die dann schnell handeln können. Die Sandbox Appliances von heute bieten Ihrem Netzwerk eine gesicherte, isolierte Umgebung, in der das Verhalten unbekannter Dateien genau überwacht und beobachtet werden kann, ohne Benutzer und Netzwerk zu beeinträchtigen. Die leistungsfähigen Ressourcen einer Sandbox-Lösung sollten integraler Bestandteil Ihres Netzwerkverteidigungsplans sein.

Phase 3: Abwehr und Gegenmaßnahmen

Hat Ihre Sandbox eine Bedrohung erkannt, kommt Ihr Reaktionsplan zum Einsatz. Benutzer und Geräte müssen unter Quarantäne gestellt und von anderen Teilen des Netzwerks getrennt werden, um die Auswirkungen eines Zwischenfalls auf Ressourcen und Daten zu minimieren. Ihre Reaktionsteams müssen in der Lage sein, die erkannte Malware bzw. den Angriff zu analysieren und zu untersuchen, und müssen die betroffenen Systeme dann wieder in einen sicheren Zustand versetzen. Die erfassten Erkennungsdaten müssen an Ihre anderen Präventionssysteme weitergeleitet werden, damit andere Elemente des Angriffs schon während der Präventionsphase erkannt werden können. Die von der Sandbox gesammelten Informationen müssen an Ihren Anbieter weitergeleitet werden, um sicherzustellen, dass neue Angriffs- und Einbruchsmethoden nachträglich untersucht und Gegenmaßnahmen für andere Produkte Ihrer Sicherheitsumgebung bereitgestellt werden können.

Zum Thema haben wir für Sie drei Dokumente bereitgestellt, die Sie gerne herunterladen dürfen:

Zum Einen ein White-Paper zum Thema ATP.

Zum Anderen einen Einkaufsführer, der die o.a. Punkte berücksichtigt.

Das dritte Dokument behandelt die Sandbox-Technologie und ihre praktische Anwendung in der heutigen Bedrohungslandschaft.

Fragen und Terminwünsche zu den o.a. Themen nehmen gerne entgegen:

DSC_2012 klein

Dennis Goslar

goslar@oberberg.net

Dirk Zurawski
02261 9155051
zurawski@oberberg.net
DSC_2022 klein

Bastian Breidenbach

breidenbach@oberberg.net