[datensicherheit.de, 11.08.2019] Beim Angriff mit neuer Malware reicht das Zeitfenster von deren Auftauchen beim Opfer bis zur Erkennung – und seien es nur Minuten – offensichtlich aus, um bereits Schaden anzurichten. Also nur auf Detektion zu setzen, könne folglich nicht der „Heilige Gral der IT-Sicherheit“ sein, so Bromium. Bis neue Schadsoftware überhaupt erkannt wird, vergehe immer Zeit. Bromium hat diese Problematik nach eigenen Angaben am Beispiel eines Kunden detailliert untersucht.

35 isolierte Threats – 29 definitiv bösartig, der Rest unbekannt oder verdächtig

Im Juni 2019 seien bei diesem Kunden mit der Bromium-Lösung „Secure Platform“, welche laut Bromium „Applikations-Isolation mittels Micro-Virtualisierung bietet“, genau 35 Threats isoliert worden. Davon seien 29 definitiv bösartig gewesen, die restlichen entweder noch unbekannt oder Alarmierungen aufgrund eines verdächtigen Verhaltens.
Konkret seien 25 verschiedene Malware-Typen identifiziert worden, wobei bei acht zum Zeitpunkt der Isolation eine Hash-basierte Erkennung noch nicht möglich gewesen sei. „Bis sie letztlich überhaupt erkennbar waren, vergingen dann nach Bromium-Untersuchungen zwischen 27 Minuten und 31 Stunden.“

Unternehmen und Behörden fokussieren immer noch hauptsächlich auf Detektion von Angriffen

„Und genau an diesem Punkt zeigt sich das ‚Window of Opportunity’ für die Angreifer, die sehr wohl wissen, dass sich viel zu viele Unternehmen und Behörden immer noch hauptsächlich mit der Detektion von Angriffen beschäftigen“, erläutert Jochen Koehler, „Regional VP Sales Europe“ bei Bromium in Heilbronn.
Koehler ergänzt: „Die logische Konsequenz lautet, potenziell gefährliche User-Aktivitäten strikt zu isolieren, anstatt weiterhin nur auf Erkennung zu setzen.“

Foto: Bromium

Jochen Koehler, „Regional VP Sales Europe“ bei Bromium

Micro-Virtualisierungstechnologie – effektivste Möglichkeit zur Isolation von Gefahren

Die derzeit effektivste Möglichkeit für die Isolation von Gefahren bietet demnach die Micro-Virtualisierungstechnologie. Diesen Ansatz verfolge Bromium seit Einführung seiner Software „Secure Platform“. Diese Lösung schließe die zeitliche Lücke zwischen Auftreten und Erkennung von Schadsoftware.
Zentrale Lösungsbestandteile seien „ein ,Xen‘-basierter, speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen“.

Micro Virtual Machines kapseln riskante Anwenderaktivitäten mit Daten fremder Quellen

Basierend auf dieser Technologie würden Hardware-isolierte „Micro Virtual Machines“ (VMs) realisiert, die alle riskanten Anwenderaktivitäten mit Daten aus fremden Quellen kapselten.
Dazu gehörten das Aufrufen einer unternehmensfremden Webseite über einen Link in Dokumenten oder E-Mails, das Herunterladen einer Datei von solchen Webseiten, das Öffnen und Bearbeiten eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums.

Mögliche Schädigungen auf jeweilige virtuelle Instanz begrenzen

Mögliche Schädigungen durch bisher unbekannte Malware blieben immer auf die jeweilige virtuelle Instanz begrenzt, die zudem nach Beendigung einer Aktivität, etwa dem Speichern eines Files oder Schließen eines Browser-Tabs, automatisch gelöscht werde.
Eine Infizierung des Endgeräts mit Schadsoftware und nachfolgend des Unternehmens- oder Behördennetzes über einen dieser Wege sei damit „nahezu ausgeschlossen“.

Neuaufsetzen kompletter System infolge einer Malware-Infektion überflüssig

Gegenüber traditionellen, erkennungsbasierten Sicherheitslösungen biete ein Einsatz der Bromium-Isolationslösung noch weitere positive Nebeneffekte:
Der mit „False Positives“ verbundene Analyseaufwand entfalle und „False Negatives“ blieben ohne Auswirkungen, da Bedrohungen isoliert seien. Nicht zuletzt werde auch das Neuaufsetzen kompletter System infolge einer Malware-Infektion überflüssig.

Threat Intelligence im Interesse der Sharing Community

Zum Serviceangebot von Bromium gehöre auch die Erstellung eines regelmäßigen „Threat Insights Report“ mit einer Auswertung von bei Kunden isolierten Threats:
„Immer mehr Anwender stellen dafür ihre Daten bereit“, berichtet Koehler, „und von dieser ,Threat Intelligence‘ profitieren dann unmittelbar alle anderen Mitglieder der ,Bromium Threat Sharing Community‘.“

Weitere Informationen zum Thema:

datensicherheit.de, 23.07.2019
Unerwünschtes Déjà-vu: Malware-Attacke auf Krankenhäuser

datensicherheit.de, 09.05.2019
Ransomware: Deutschlands Unternehmen und Behörden haben ein neues altes Problem

[datensicherheit.de, 23.07.2019] „Nicht schon wieder…“, so kommentiert Jochen Koehler, „Regional VP Sales Europe“ bei Bromium in Heilbronn, sein Déjà-vu, dass deutsche Krankenhäuser abermals von Cyber-Attacken betroffen waren. „Gab es das nicht voriges Jahr schon einmal? Und im Jahr davor? Und 2016? Ja, ich erinnere mich, das gab es schon damals, da war es das Lukaskrankenhaus in Neuss.“

Foto: Bromium

Jochen Koehler: „Gab es das nicht voriges Jahr schon einmal? …“

Hinweise auf neuerliche Ransomware-Attacke

Diesmal habe es den Südwesten Deutschlands erwischt. Betroffen gewesen seien anscheinend mehr als zehn Krankenhäuser der DRK-Trägergesellschaft Süd-West in Rheinland-Pfalz und im Saarland. Über die konkreten Ursachen sei bisher nichts bekannt, es deute viel auf eine neuerliche Ransomware-Attacke hin.

Vermutlich auf gut gefälschte E-Mail reingefallen

Man könne nur vermuten, „dass wieder einmal ein tüchtiger Mitarbeiter auf eine gut gefälschte E-Mail hereingefallen ist, wie es allein in Deutschland täglich hundertfach passiert“. Wirklich vorwerfen könne man es ihm sicher nicht.

An der Zeit, die Sicherheitstechnik aufzurüsten

Vielleicht sei es doch an der Zeit, die Sicherheitstechnik ein wenig aufzurüsten und sich nicht länger allein auf die rechtzeitige Detektion von Schadcode zu verlassen.

Isolation aller riskanten Anwenderaktivitäten

Der folgerichtige Weg sei die „Isolation aller riskanten Anwenderaktivitäten“. Solche Lösungen setzten nicht reaktiv auf die reine Erkennung von Angriffen, sondern bauten proaktiv einen Schutzwall auf. Derartige Maßnahmen dürften dem Gesundheitswesen nicht unbekannt sein: „Patienten aus Epidemie-Krisengebieten werden bei ihrer Aufnahme ja schließlich auch isoliert…“

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2019
Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten / Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser / Erneut scheint eine Phishing-E-Mail mit Schadsoftware im Anhang erfolgreich gewesen zu sein

[datensicherheit.de, 18.07.2018] Anbieter von Sicherheitssoftware vermarkten den Einsatz von Künstlicher Intelligenz (KI) in ihren Produkten gerne als technologischen Fortschritt. Dabei hätten sie gar keine Wahl, denn Cyber-Kriminelle gäben den Takt vor und würden immer mächtiger, sagt Jochen Koehler, „Regional Director DACH“ bei Bromium. Die Schuld an dieser Situation sieht Bromium demnach im konzeptionellen Ansatz einer ganzen Branche.

Cyber-Kriminelle dominieren Wettlauf

Tatsächlich befänden sich Cyber-Kriminelle im Kampf um die Sicherheitshoheit seit jeher im Vorteil: Sie unterlägen keinen Organisationszwängen, seien schnell, per Definition skrupellos und gäben mit immer fortschrittlicheren Attacken den Takt vor.
Anbieter von Sicherheitssoftware könnten neuartige Angriffe nicht antizipieren und müssten reagieren – bis aber angepasste Abwehrmaßnahmen entwickelt und am Ende von ihren Unternehmenskunden produktiv eingesetzt werden, sei es meist schon zu spät. Dann beginne der Kreislauf wieder von vorne.

KI-Hacking: Angriffsmuster automatisch verändern und bis zur Unkenntlichkeit tarnen

Hacker seien in diesem Spiel stets einen Schritt voraus – und jetzt entdeckten sie KI. Damit könnten sie ihre Attacken noch raffinierter gestalten und noch schneller durchführen. Diese Technologie erlaube ihnen, Angriffsmuster automatisch zu verändern und bis zur Unkenntlichkeit zu tarnen. Damit wachse der technologische und zeitliche Vorsprung der Angreifer weiter.
Der einzige Zug, der Herstellern bleibe, um überhaupt eine Chance zur Abwehr zu haben, sei der eigene Einsatz von KI in ihren Lösungen. „Cyber-kriminelle zwingen sie damit in eine Aufrüstspirale, in der die Anbieter nicht die Oberhand gewinnen können“, warnt Koehler.
Immerhin seien Sicherheitssoftware-Hersteller mit dem KI-Einsatz ebenfalls in der Lage, Maßnahmen zu automatisieren: KI-Programme könnten zum Beispiel ihre gigantischen Datenbanken durchforsten und „nach immer feineren Angriffsmustern oder Anomalien suchen, um sie völlig selbstständig abzuwehren – wenn sie denn gefunden werden“.

Foto: Bromium

Jochen Koehler: Zeit, über neue Methoden zur Verteidigung von Hacker-Attacken nachzudenken!

Abwehr von Cyber-Angriffen immer schwieriger

Das Erkennen von Malware sei der Schlüssel von Angriffsabwehr-Strategien und Kernbestandteil der Produkte und Lösungen der Anbieter. Eine solche Strategie habe einen immanenten Nachteil: „Die Erkennungsrate muss bei 100 Prozent liegen; gleichzeitig müssen Abwehrmaßnahmen zu 100 Prozent greifen, um erfolgreich zu sein. Das ist in den wenigsten Fällen möglich, schon gar nicht bei KI-getriebenen Angriffen“, erläutert Koehler.
Dieser konzeptionelle Fehler einer gesamten Industrie, d.h. eine falsche Abwehrstrategie, mache die Abwehr von Cyber-Angriffen immer schwieriger. Der Einsatz von KI werde den Vorsprung der Angreifer vergrößern und nicht verringern, wie es sich viele Anbieter erhofften. Koehler: „Es ist an der Zeit, über neue Methoden zur Verteidigung von Hacker-Attacken nachzudenken, sonst wird der Kampf gegen einen immer mächtigeren Gegner aussichtslos.“

Weitere Informationen zum Thema:

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 02.07.2018
IT-Sicherheit: Investitionen an der falschen Stelle

datensicherheit.de, 22.09.2017
IT-Security: Die Zukunft liegt in der Automatisierung

[datensicherheit.de, 14.10.2016] Phishing-Ratgeber zur Identifizierung gefälschter E-Mails gebe es viele – vor allem an die Verantwortung des einzelnen Mitarbeiters werde appelliert. Bromium verdeutlicht, dass ohne die Implementierung neuer Sicherheitsmechanismen und -lösungen der zunehmenden Gefahr durch betrügerische E-Mails kaum beizukommen sei.

Vorgehensweise von Hackern immer professioneller

Im Sommer 2016 hätten erneut Hacker-Angriffe auf deutsche Politiker die Schlagzeilen beherrscht. Die gefälschten E-Mails hätten angeblich aus dem NATO-Hauptquartier gestammt und einen Link enthalten, über den Informationen zum Erdbeben in Italien und zum Putsch in der Türkei angeboten worden seien.
E-Mails mit realistischem Inhalt seien bei Weitem keine Ausnahme mehr. Dabei werde die Vorgehensweise von Hackern immer professioneller. E-Mails, die sich schon durch zahlreiche Rechtschreibfehler selbst entlarven, gehörten inzwischen weitgehend der Vergangenheit an.

Proaktiv statt reaktiv!

Das wirft laut Bromium die Frage auf, wie man den mit E-Mails, Dateianhängen oder Links verbundenen Gefahren zuverlässig begegnet werden kann. Klar sei, dass Schadsoftware, die etwa durch einen E-Mail-Dateianhang auf Endpoint-Rechner gelangt, durch klassische Maßnahmen wie Virenscanner, Firewalls oder Intrusion-Prevention-Systeme nicht zuverlässig abgewehrt werden könne. Denn diese Lösungen seien auf die Erkennung der eingeschleusten Malware angewiesen, etwa durch Signaturen, Verhaltensanalysen oder heuristische Methoden. Beim Aufspüren neuer zielgerichteter Attacken stießen sie prinzipbedingt aber an ihre Grenzen.
Auch wenn bisherige Ansätze unzulänglich seien, heiße das noch lange nicht, dass es keine neuen Lösungen gebe, die eine wesentlich höhere Sicherheit garantieren könnten, sagt Jochen Koehler, „Regional Director DACH“ bei Bromium in Heilbronn. Solche Lösungen seien heute verfügbar. Koehler: „Gemeinsamer Nenner ist, dass sie nicht wie früher nur reaktiv auf die reine Abwehr von Angriffen setzen, sondern proaktiv einen Schutzschild aufbauen.“

Isolierung aller möglicherweise gefährlichen Aktivitäten

Neue Applikationen im Bereich der Endpunktsicherheit ermöglichten eine Isolierung aller möglicherweise gefährlichen Aktivitäten eines PC-Nutzers. Zu nennen sind hier laut Koehler etwa „Sandboxing“-Lösungen, die bisher vor allem im Netzwerk-Bereich eingesetzt wurden, zunehmend aber auch als Endgeräte-Tools zur Verfügung stehen.
Bromium geht nach eigenen Angaben noch einen Schritt weiter als herkömmliche „Sandboxing“-Ansätze, indem E-Mail-Anhänge nicht mehr auf dem Client selbst geöffnet werden und auch in E-Mails enthaltene Links nur noch in sogenannten „Micro-VMs“ zur Ausführung kommen, das heißt in Hardware-isolierten virtuellen Maschinen, die zur Laufzeit in der CPU gestartet werden. Dieses Konzept ähnele dem Lösungsansatz „Remote-Controlled Browser System“ (ReCoBS), der auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen werde – allerdings sei die Bromium-Lösung für den Nutzer völlig transparent und auf dem Endgerät selbst implementiert. Eine Kompromittierung des Endpunkts über E-Mails sei damit ausgeschlossen.

Weitere Informationen zum Thema:

Bromium
Bromium Advanced Endpoint Security