Kaspersky zeigte auf der CeBIT seine neue "Anti Targeted Attack Platform" für Unternehmen und Infrastrukturanbieter. Viele Attacken auf Firmen bleiben 98 Tage und länger unentdeckt und verursachen enorme Schäden.
Die Zahlen sind ernüchternd und werden von den betroffenen Unternehmen natürlich nicht an die große Glocke gehängt. Attacken auf Finanzhäuser bleiben, nach Auswertungen des Sicherheitsanbieters
Kaspersky, im Durchschnitt 98 Tage lang unentdeckt. Die Eindringlinge manipulieren typischerweise erst einmal nichts, sondern sondieren die IT-Systeme des Opfers, bevor sie dann zuschlagen.
Schaubild: Architektur der neuen "Anti Targeted Attack Platform" von Kaspersky Lab.
Quelle: (Quelle: Kaspersky )
Der
Schaden beträgt etwa eine halbe Million Euro, in Einzelfällen noch mehr. Da sind der Imageschaden, den das Unternehmen erleidet, Gerichtskosten wegen Schadensersatzansprüchen und Verluste an Wettbewerbsfähigkeit noch nicht eingerechnet. Noch länger bleiben Attacken bei Einzelhändlern unentdeckt: durchschnittlich 198 Tage (Kaspersky Global Security Risks Report 2015).
Firewalls reichen nicht
Der traditionelle Parameter-Ansatz, bei dem eine Firewall die IT-Systeme wie die Befestigungsmauern einer Burg von außen schützt, ist den Angriffen nicht mehr gewachsen. Irgendein Virus kommt immer durch, irgendein Endanwender klickt immer auf das mit Malware verseuchte Mail-Attachement oder riskiert einen Blick auf die Datei "Gehaltslisten 2016", wo er dann den Trojaner aktiviert.
Sicherheitsplattformen der nächsten Generation rechnen deshalb mit erfolgreichen Eindringlichen und versuchen, den Schaden im IT-System so gering wie möglich zu halten, den Virus zu isolieren, seinen Aktionsradius einzugrenzen. So wie ein gutes Medikament die Beschwerden beim kranken Patienten minimiert.
Kaspersky spricht von einer "Weltneuheit" und stellte auf der CeBIT seine "Anti Targeted Attack Platform" vor. Oleg Glebov, Solution Business Lead beim russischen Sicherheitsanbieter, war extra aus Moskau eingeflogen, um die Details zu erläutern. Die neue Plattform ist so komplex, dass Kaspersky einen Riesenkuchen mit mehreren Layern und Komponenten aufgebaut hatte, mit dem sich das Publikum schon einmal geschmacklich dem Thema annähern konnte.
Sensoren auf allen Layern
Kasperskys Anti Targeted Attack Platform überwacht den Netzverkehr im Unternehmen in Echtzeit und kombiniert das mit einer Metadaten-Analyse, einer Objekt-Sandbox zum Isolieren verdächtiger Dateien und einer Endpoint-Verhaltensanalyse der Anwender. Die Bedrohungsanalyse korreliert also mehrere Einflussfaktoren miteinander, um neue Malware, Ransomware, Crimeware und die besonders gefährlichen Advanced Persistent Threats zu erkennen.
Advanced Persistent Threats: Selten, aber brandgefährlich und schädlich.
Quelle: (Quelle: Kaspersky )
Im Einzelnen:
- Netzwerksensoren überwachen den Netz-Traffic, um Frühindikatoren zu erkennen, die auf einen Angriff hindeuten (Anomalien. Musterabweichungen etc.).
- E-Mail-Sensoren sollen potentiell schädliche Objekte aus Mail-Anhängen entfernen.
- Endpoint-Sensoren (light agents) sammeln Informationen über netzwerkaktive Prozesse, die von den Endanwendern (Endpoints) des Unternehmens ausgeführt werden.
- Websensoren machen potenziell gefährliche Objekte im Webverkehr unschädlich und verwenden dafür das ICAP-Protokoll. Dadurch werden Angriffe vereitelt, die bereits durch den bloßen Besuch einer infizierten Webseite starten.
Kasperskys Sandbox-Technologie ist eine Art Hochsicherheitslabor für besonders gefährliche Viren. Sandboxen stellen eine isolierte, virtualisierte Umgebung bereit, wo Sicherheitsexperten verdächtige Objekte, die Netzwerk-, Mail- und Websensoren identifiziert haben, dynamisch untersuchen können. Stellt sich ein Objekt im isolierten Sandbox-Test als Schädling heraus, kann er trotzdem keinen Schaden im System anrichten.
Der Targeted Attack Analyzer kombiniert die Daten der Netzwerk- und Endpoint-Sensoren und vergleicht sie mit der "Baseline", also den typischen Mustern, um verdächtige Aktivitäten aufzuspüren. Durch die Korrelation mehrerer Faktoren wird ungewöhnliches, abweichendes Verhalten transparent. Ein einfacher Virenscanner wäre nicht in der Lage, solch komplexe Angriffe aufzudecken.
Viele Unternehmen sind im Besitz der Daten und "Incidents", nutzen sie aber nicht für die Prävention, sagt Oleg Glebov. Das sei ein teurer Fehler. Das Zeitalter der Produkte gehe zu Ende, die Ära der Plattformen breche an. Das war auf der CeBIT oft zu hören und gilt auch für die Sicherheit. Kaspersky komplettiert seine neue Plattform mit dem Beratungs- und Dienstleistungsangebot "Security Intelligence Services".