[datensicherheit.de, 26.03.2015] Carsten Pinnow (CP) für datensicherheit.de im Gespräch mit Noam Green, Produkt Manager bei Check Point Software Technologies zum Thema „Threat Extraction“, einem neuen Ansatz zur Bekämpfung von durch Office-Makros aktiverten Bedrohuingen.

CP: Können Sie die Gefahren, die sich in angehängten MS Office Dateien oder PDF Dokumenten verstecken können, in wenigen Sätzen erklären und wenn möglich einige Beispiele nennen?

Green: MS-Office-Dateien und PDF-Dokumente können zahlreiche Arten von Malware enthalten, wie Bots oder Trojaner. Zwar sind MS-Office-Makros standardmäßig deaktiviert, aber Nutzer können durch Social Engineering dazu gebracht werden, diese zu aktivieren. Der Microsoft Malware Protection Center gab im Januar 2015 bekannt, dass es in diesem Monat zu einem dramatischen Anstieg von Bedrohungen kam, die Makros benutzten, um Malware via Spam und Social Engineering zu verbreiten.

Aktuelle Beispiele von Malware finden Sie unter dem Link https://threatpost.com/microsoft-reports-massive-increase-in-macros-enabled-threats/110204 oder https://threatpost.com/microsoft-reports-massive-increase-in-macros-enabled-threats/110204.

CP: Wie genau funktioniert Threat Extraction und wann genau setzt es ein?

Green: Check Point Threat Extraction bietet einen komplett neuen Ansatz um Malware, die sich in E-Mail- oder Download-Dokumenten befindet, zu bekämpfen. Da theoretisch jedes Dokument Malware enthalten könnte, ist der einzig komplett sichere Weg zu Malware-freien Dokumenten, das Dokument sofort mit bekannten sicheren Elementen zu rekonstruieren. Aktiver Inhalt und eingebettete Objekte werden von dem Dokument extrahiert. So werden alle potentiellen Gefahren eliminiert, das Dokument rekonstruiert und allen Mitarbeitern werden sofort Malware-freie Dokumente geliefert.

Foto: Check Point

Noam Green, Produkt Manager bei Check Point Software Technologies

CP: Wenn Nutzer nicht jedes Dokument prüfen lassen wollen, können sie auch eigene Regeln formulieren und wie zeitaufwendig ist der Threat Extraction Vorgang?

Green: Threat Extraction ist extrem schnell und braucht nur wenige Sekunden (oder sogar lediglich Bruchteile einer Sekunde), um das sichere Dokument zu erstellen. Auch die Auswirkung auf die Performance ist unwesentlich (weniger als 1% Datenverlust bei einem Unternehmen mit 8.000 Nutzern). Check Point empfiehlt jedes Dokument durch die Threat Extraction laufen zu lassen, aber Administratoren können auch selbst festlegen, welche Dokumente rekonstruiert werden sollen.

CP: Was ist der technologische Unterschied zwischen Threat Emulation und Threat Extraction und wie arbeiten sie zusammen?

Green: Der Unterschied ist ziemlich ausgeprägt – während Threat Emulation versucht, zwischen gutartiger und infizierter Datei zu unterscheiden, betrachtet Threat Extraction von vornherein eine Datei mit aktivem Inhalt als mögliche Gefahr und rekonstruiert deshalb diese Dokumente sofort. Threat Extraction überprüft nicht, ob es sich bei dem aktiven Inhalt tatsächlich um Malware handelt, es rekonstruiert die Datei präventiv. Threat Emulation besitzt die sogenannte Sandboxing-Fähigkeit, die gutartige und infizierte Dateien identifiziert, indem sie in einer sicheren Umgebung nachgebildet werden. Zusammenfassend liefert Threat Extraction Null Malware Dokumente in Null Sekunden und Threat Emulation die Sichtbarkeit von Angriffsversuchen sowie die Inspektion und Kontrolle der Originaldokumente.

CP: Wie genau passt das Produkt in Check Points Threat Prevention Strategie?

Green: Um die beste Threat Prevention Lösung zu bieten, haben wir eine neue Lösung kreiert: die sogenannte NGTX – Next Generation Threat Extraction. Das Paket bietet die besten und vollständigsten Threat Prevention Fähigkeiten wie IPS, Application Control, Anti Bot, Anti Virus, URL Filter, Anti Spam, Threat Emulation und Threat Extraction.

[datensicherheit.de, 04.12.2014] Palo Alto Networks geht für das Jahr 2015 von drei großen Trends im Bereich „Threat-Prevention“ aus. Einer davon sei die Zunahme von „Malvertising“ – also die Verbreitung von Malware über Online-Werbung. Mindestens von gleichbleibender wenn nicht gar eher zunehmender Bedeutung werde die Zahl der „Common Vulnerabilities and Exposures“ (CVEs), also bekannter Schwachstellen und Sicherheitslücken, sein. Des Weiteren sieht Palo Alto Networks im Enterprise-Security-Markt einen Trend zu integrierten Plattformlösungen anstelle von Standolone- und UTM-Sicherheitslösungen (Unified Threat Management).

Einsatz vermeintlich legitimer Mittel für umfassende Angriffe

„Malvertising“ als Angriffsmethode gibt es schon seit einigen Jahren. Zuletzt wurden im September und Oktober 2014 die Internetriesen Yahoo! und AOL kompromittiert. Den Angreifern gelang es so, mehrere Tausend US-Dollar pro Tag zu erbeuten.
Die Verwendung von „Malvertising“ als Angriffsmethode deutet auf eine Abkehr von aufwändiger Trickserei wie „Spear-Phishing“ und „Packet-Sniffing“ zugunsten einer Technik hin, die einen legitimen Geschäftsprozess für die Verbreitung von Malware nutzt, erläutert Palo Alto Networks. Dieses Verfahren ermögliche Angreifern den Zugriff auf potenziell Millionen von Benutzern – mit minimalem Aufwand. Weit verbreitete Geschäftskanäle mit wenig bis gar keiner Sicherheit würden daher verlockende Ziele für die Angreifer darstellen. Es werde eine sorgfältige Koordination erfordern, um diese Kanäle sicherer zu machen.

Zunahme bei Zero-Day-Exploits mit dem Fokus auf Legacy-Code

Sichere Programmiertechniken gehörten mittlerweile zum Alltag der Softwareentwickler – mittels statischer und dynamischer Analyse würden Schwachstellen in Code und Geschäftslogik identifiziert und behoben, bevor die Anwendung veröffentlicht oder aktualisiert wird. Klar sei laut Palo Alto Networks, dass Sicherheitslücken die Anwendungsintegrität beeinträchtigen und damit das Vertrauen der Kunden und deren Geschäft. Es sei daher einfacher und viel billiger, Schwachstellen bereits im Entwicklungszyklus zu beheben. Allerdings bedeute dies auch, dass „Legacy-Code“ viel teurer zu warten sei, auch wenn eine Sicherheitslücke noch nicht in „freier Wildbahn“ ausgenutzt wurde. Da Black-Hat-Hacker zudem immer kreativer würden, werde die Zahl der CVEs im Jahr 2015 auf hohem Niveau von 2014 bleiben, wenn nicht sogar steigen.

Stärkere Verschmelzung von IPS- und Firewall-Funktionalität

Da im Enterprise-Markt zunehmend die Vorteile eines echten plattformbasierten Sicherheitsansatzes erkannt würden, sei ein zunehmender Abschied der Anbieter von Standalone- und UTM-Sicherheitslösungen zu erwarten.
Es gebe ohnehin keinen besseren Weg, um die Wirksamkeit von IPS-Lösungen (Intrusion Prevention System) zu erhöhen, als die Kombination mit anderen defensiven Techniken wie Entschlüsselung, Dekomprimierung, Anwendungs-ID, Benutzer-ID, Data-Loss Prevention und „Sandboxing“. Der Marktwandel vom herkömmlichen IPS zum „Next-Generation-IPS“ und zur „Next-Generation-Firewall“ plus „-IPS“ habe bereits begonnen, aber es würden noch mehr Innovationen erforderlich sein, um mit „den Bösen“ Schritt halten zu können. Damit werde die integrierte Alleskönner-Plattform, die keine Benutzerinteraktion erfordert und sowohl in Rechenzentren als auch in der Cloud eingesetzt werden kann, zunehmend attraktiver, so Palo Alto Networks‘ Prognose.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2014
Managed Security Services: NTT Com Security und Palo Alto Networks schließen globale Vereinbarung