Aktuelles, Branche - geschrieben von dp am Sonntag, August 11, 2019 15:56 - noch keine Kommentare
Bromium: Zeitaufwand zur Schadcode-Erkennung im Hacker-Interesse
Dauer laut eigenen Untersuchungen zwischen 27 Minuten und 31 Stunden
[datensicherheit.de, 11.08.2019] Beim Angriff mit neuer Malware reicht das Zeitfenster von deren Auftauchen beim Opfer bis zur Erkennung – und seien es nur Minuten – offensichtlich aus, um bereits Schaden anzurichten. Also nur auf Detektion zu setzen, könne folglich nicht der „Heilige Gral der IT-Sicherheit“ sein, so Bromium. Bis neue Schadsoftware überhaupt erkannt wird, vergehe immer Zeit. Bromium hat diese Problematik nach eigenen Angaben am Beispiel eines Kunden detailliert untersucht.
35 isolierte Threats – 29 definitiv bösartig, der Rest unbekannt oder verdächtig
Im Juni 2019 seien bei diesem Kunden mit der Bromium-Lösung „Secure Platform“, welche laut Bromium „Applikations-Isolation mittels Micro-Virtualisierung bietet“, genau 35 Threats isoliert worden. Davon seien 29 definitiv bösartig gewesen, die restlichen entweder noch unbekannt oder Alarmierungen aufgrund eines verdächtigen Verhaltens.
Konkret seien 25 verschiedene Malware-Typen identifiziert worden, wobei bei acht zum Zeitpunkt der Isolation eine Hash-basierte Erkennung noch nicht möglich gewesen sei. „Bis sie letztlich überhaupt erkennbar waren, vergingen dann nach Bromium-Untersuchungen zwischen 27 Minuten und 31 Stunden.“
Unternehmen und Behörden fokussieren immer noch hauptsächlich auf Detektion von Angriffen
„Und genau an diesem Punkt zeigt sich das ‚Window of Opportunity’ für die Angreifer, die sehr wohl wissen, dass sich viel zu viele Unternehmen und Behörden immer noch hauptsächlich mit der Detektion von Angriffen beschäftigen“, erläutert Jochen Koehler, „Regional VP Sales Europe“ bei Bromium in Heilbronn.
Koehler ergänzt: „Die logische Konsequenz lautet, potenziell gefährliche User-Aktivitäten strikt zu isolieren, anstatt weiterhin nur auf Erkennung zu setzen.“
Jochen Koehler, „Regional VP Sales Europe“ bei Bromium
Micro-Virtualisierungstechnologie – effektivste Möglichkeit zur Isolation von Gefahren
Die derzeit effektivste Möglichkeit für die Isolation von Gefahren bietet demnach die Micro-Virtualisierungstechnologie. Diesen Ansatz verfolge Bromium seit Einführung seiner Software „Secure Platform“. Diese Lösung schließe die zeitliche Lücke zwischen Auftreten und Erkennung von Schadsoftware.
Zentrale Lösungsbestandteile seien „ein ,Xen‘-basierter, speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen“.
Micro Virtual Machines kapseln riskante Anwenderaktivitäten mit Daten fremder Quellen
Basierend auf dieser Technologie würden Hardware-isolierte „Micro Virtual Machines“ (VMs) realisiert, die alle riskanten Anwenderaktivitäten mit Daten aus fremden Quellen kapselten.
Dazu gehörten das Aufrufen einer unternehmensfremden Webseite über einen Link in Dokumenten oder E-Mails, das Herunterladen einer Datei von solchen Webseiten, das Öffnen und Bearbeiten eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums.
Mögliche Schädigungen auf jeweilige virtuelle Instanz begrenzen
Mögliche Schädigungen durch bisher unbekannte Malware blieben immer auf die jeweilige virtuelle Instanz begrenzt, die zudem nach Beendigung einer Aktivität, etwa dem Speichern eines Files oder Schließen eines Browser-Tabs, automatisch gelöscht werde.
Eine Infizierung des Endgeräts mit Schadsoftware und nachfolgend des Unternehmens- oder Behördennetzes über einen dieser Wege sei damit „nahezu ausgeschlossen“.
Neuaufsetzen kompletter System infolge einer Malware-Infektion überflüssig
Gegenüber traditionellen, erkennungsbasierten Sicherheitslösungen biete ein Einsatz der Bromium-Isolationslösung noch weitere positive Nebeneffekte:
Der mit „False Positives“ verbundene Analyseaufwand entfalle und „False Negatives“ blieben ohne Auswirkungen, da Bedrohungen isoliert seien. Nicht zuletzt werde auch das Neuaufsetzen kompletter System infolge einer Malware-Infektion überflüssig.
Threat Intelligence im Interesse der Sharing Community
Zum Serviceangebot von Bromium gehöre auch die Erstellung eines regelmäßigen „Threat Insights Report“ mit einer Auswertung von bei Kunden isolierten Threats:
„Immer mehr Anwender stellen dafür ihre Daten bereit“, berichtet Koehler, „und von dieser ,Threat Intelligence‘ profitieren dann unmittelbar alle anderen Mitglieder der ,Bromium Threat Sharing Community‘.“
Weitere Informationen zum Thema:
datensicherheit.de, 23.07.2019
Unerwünschtes Déjà-vu: Malware-Attacke auf Krankenhäuser
datensicherheit.de, 09.05.2019
Ransomware: Deutschlands Unternehmen und Behörden haben ein neues altes Problem
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren