[datensicherheit.de, 21.08.2018] Klassische Sicherheitslösungen scheitern beim Schutz vor Downloads, die unbekannten Schadcode enthalten. Durch eine Isolierung der Gefahrenherde mittels Virtualisierung soll ein sicheres Downloaden und Öffnen von Dokumenten aus unbekannten Quellen garantiert sein, so Sicherheitssoftware-Anbieter Bromium.

Bei Downloads von Dateien aus externen Quellen besteht immer die Gefahr, Opfer von Malware zu werden: sei es durch das Klicken auf Weblinks, durch die Installation von Programmen oder das Starten von FTP-Filetransfers.

Mit klassischen Sicherheitslösungen wie Antiviren-Tools oder Firewalls können Unternehmen die mit Downloads verbundenen Gefahren nicht zuverlässig ausschließen. Der Grund: Sie sind auf die Detektion von Schadsoftware angewiesen und daher bei neuer, bisher unbekannter Malware nur bedingt erfolgreich.

Isolierung potentieller Gefahren

Einen nach eigenen Angaben zuverlässigeren Ansatz wählt Bromium durch die Isolierung potenzieller Gefahren; die Grundlage dafür ist Virtualisierung. Bei der Lösung Secure Platform erfolgt der Malware-Schutz direkt am Endpunkt durch Hardware-isolierte Micro-VMs, mit denen alle Anwenderaktivitäten mit Daten aus unbekannten Quellen gekapselt werden – so auch das Downloaden einer Datei. Eine mögliche Schädigung bleibt immer auf die jeweilige Micro-VM beschränkt, die zudem nach Beendigung einer Aktivität, etwa dem Schließen eines Files, automatisch gelöscht wird. Damit wird zuverlässig verhindert, dass ein Schadprogram ein Endgerät kompromittiert und sich im verbundenen Netzwerk ausbreitet.

Anwender der Bromium-Lösung können somit Downloads ohne Risiko vornehmen, gleichgültig, welchen Angriffsweg ein Hacker wählt. Alle aktuellen Varianten laufen zwangsläufig ins Leere. Dazu zählen etwa:

• Fake-Updates: Ein Mitarbeiter wird beim Besuch einer Website zu einem Fake-Update veranlasst und installiert damit Malware auf seinem Rechner.
• Links zu Dokumenten: Ein Mitarbeiter erhält einen Link in einer E-Mail oder einem Chat-Programm mit der Aufforderung, ein Dokument herunterzuladen, das Malware erhält.
• URL-Weiterleitung: Ein ursprünglicher Link leitet auf eine andere URL weiter, die Dateien mit Schadcode enthält.
• DNS-Manipulation: Über die Kompromittierung von Aufzeichnungen zur DNS-Suche kann ein Anwender zum Download eines bösartigen Files geführt werden, auch wenn er einem eigentlich „sicheren“ Link folgt oder ein URL-Lesezeichen nutzt.
• Fingierte Treiber und Systemtools: Ein Mitarbeiter sucht einen Treiber zur Behebung eines Systemproblems oder ein kostenloses Systemtool und landet auf einer nicht-offiziellen Download-Seite, die zur Installation von Malware führt.
• Watering-Hole Attack („Wasserloch-Attacke“): Ein Angreifer infiziert eine Website, die üblicherweise von einer Zielgruppe genutzt wird, mit bösartigen, zum Download angebotenen Dateien.

Bild: Bromium

Jochen Koehler ist Regional Director DACH bei Bromium.

„Gefahrlose Downloads mittels Micro-Virtualisierung bedeuten nicht nur höchste Sicherheit, sondern auch eine höhere Benutzerfreundlichkeit, da die Mitarbeiter durch die Sicherheitslösung nicht be-, sondern entlastet werden“, erklärt Jochen Koehler, Regional Director DACH bei Bromium in Heilbronn. „Zum einen werden sie in ihrer Arbeit nicht durch restriktive Sicherheitsrichtlinien behindert, zum anderen müssen sie sich nicht ständig mit Verboten herumschlagen, etwa Links in E-Mails unbekannter Absender nicht anzuklicken oder deren Anhänge nicht zu öffnen.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2018
IT-Sicherheitsbranche: Falsche Abwehrstrategie führt in KI-Aufrüstspirale

datensicherheit.de, 14.10.2016
Vorbeugung statt nur Reaktion auf Hacker-Attacken über gefälschte E-Mails empfohlen

datensicherheit.de, 03.07.2013
Drive-by-Downloads: Über 90 Prozent aller Attacken auf deutsche Nutzer basieren auf infizierten Links

[datensicherheit.de, 03.02.2013] Laut einer Studie von Varonis wird das Thema Datensicherheit in virtuellen Umgebungen von IT-Organisationen häufig vernachlässigt:
48 Prozent der Befragten hätten angegeben, dass in ihrem Unternehmen bereits unbefugte Zugriffe auf virtuelle Server stattgefunden hätten bzw. dass sie dies vermuteten. Wie die bei den „VMworld Conferences“ durchgeführte Studie zeige, werde Sicherheitsbelangen in virtuellen Umgebungen eine zu geringe Bedeutung beigemessen. Tatsächlich hätten 70 Prozent der Studienteilnehmer auf virtuellen Servern nur wenige oder keine Auditing-Prozesse implementiert, so Varonis.
Angaben von Gartner zufolge seien bereits mehr als 50 Millionen virtuelle Computer (Virtual Machines, VM) auf Servern installiert. Dementsprechend verwendeten fast alle Befragten (87 Prozent) virtuelle Anwendungsserver – meist aufgrund der rascheren Bereitstellung (76 Prozent) und Notfallwiederherstellung (74 Prozent). Diejenigen, die keine virtuellen Server einsetzen, hätten als Hauptgründe dafür Speicherplatz (37 Prozent), Leistung (30 Prozent) und mangelnde Vorteile (20 Prozent) angegeben.
Das Thema Dateisicherheit scheine in Unternehmen aller Größen unter den Tisch zu fallen. Während 60 Prozent der Studienteilnehmer angegeben hätten, Berechtigungen mit großer Sorgfalt zu vergeben und anschließende Änderungen zu überprüfen, hätten 70 Prozent unabhängig von der Größe des jeweiligen Unternehmens wenige oder keine Mechanismen zum Auditieren von Änderungen implementiert. Dies sei also selbst in großen Organisationen der Fall gewesen. Tatsächlich räumten 20 Prozent der Unternehmen mit mehr als 5.000 Mitarbeitern ein, über keine Möglichkeit zur Dateiprotokollierung zu verfügen. Beunruhigend sei dies vor allem deshalb, weil die Vergabe von Berechtigungen alleine noch keine ausreichende Sicherheit biete. Nur über einen Audit-Mechanismen lasse sich auch feststellen, ob und von wem eine Berechtigung geändert wurde – und vertrauliche Daten somit dennoch eventuell gefährdet sind.
48 Prozent berichteten, dass auf ihren virtuellen Servern bereits unbefugte Dateizugriffe stattgefunden hätten bzw. sie dies vermuteten. Sensible Unternehmensinformationen würden also der Gefahr von Missbrauch, Verlust und Diebstahl ausgesetzt – ein weiteres Indiz für die mangelnde Sicherheit in virtuellen Umgebungen. Überraschenderweise glaubten ganze 68 Prozent derjenigen, die sämtliche Aktivitäten überwachen, dass dennoch Unbefugte auf ihre Daten zugreifen.
Offensichtlich nähmen IT-Abteilungen das Thema Virtualisierung auf die leichte Schulter. Nach der Virtualisierung von Komponenten schienen die IT-Mitarbeiter davon auszugehen, dass für die Details zur Verwaltung von Dateiberechtigungen und zur Zugriffsüberwachung automatisch gesorgt werde. Möglicherweise erachteten die Teams, die für das Management von Virtualisierungsprojekten zuständig sind, die Themen Dateisicherheit und Governance auch nicht als ihre Aufgabe – und das Sicherheitsteam habe vielleicht keinen Überblick über diese Vorgänge, sagt Arne Jacobsen, „Director DACH“ bei Varonis.

Abbildung: Varonis Systems, New York

Studie von Varonis: Thema Datensicherheit in virtuellen Umgebungen von IT-Organisationen häufig vernachlässigt

Die Ergebnisse deuteten darauf hin, dass die Virtualisierung zwar eine bahnbrechende Methode zur Isolation von Anwendungen und Diensten mit nur wenigen Klicks darstelle, jedoch keine Lösung für das Berechtigungsmanagement und die Zugriffsüberwachung sei, sondern deren Komplexität sogar noch erhöhe.
Der Schutz von Daten auf virtuellen Servern erfordere dieselbe Sorgfalt und Aufmerksamkeit wie in physischen Umgebungen – vielleicht sogar noch mehr, da das Management mehrerer Betriebssysteme auf einem einzigen Rechner deutlich komplexer sei. Damit Organisationen die Kontrolle über ihre digitalen Objekte behalten, sei die Weiterbildung ihrer IT für sie überlebenswichtig – und zwar sowohl die Schulung von Mitarbeitern zum Umgang mit virtuellen Dateisystemen als auch zur effektiven Nutzung automatisierter Prozesse, um Sicherheitslücken aufzudecken, Aktivitäten zu überwachen und Berechtigungen zu steuern, so Jacobsen.

Weitere Informationen zum Thema:

varonis
Nearly Half of IT Staff Fear Unauthorized Access To Virtual Servers

[datensicherheit.de, 10.03.2011] KASPERSKY lab wird „vShield Endpoint“ unterstützen – eine Security-Architektur von VMware, die bei virtualisierten Maschinen und Hosts zum Einsatz kommt:
Damit wird der umfassende KASPERSKY-Schutz vor Schadsoftware auf virtualisierte Maschinen übertragen, ohne Kompromisse bei der Leistung zu machen. „vShield Endpoint“ ist die VMware-Architektur, die einen Schutz virtualisierter Umgebungen erlaubt, ohne dass dabei Agents der Security-Lösung auf virtuellen Maschinen installiert werden müssen. Die Virenprüfung wird dadurch nicht auf jeder virtuellen Maschine einzeln, sondern zentral erledigt. Die Leistungsfähigkeit der virtualisierten Maschinen bleibt bei gleichzeitig höchster Sicherheit vollständig erhalten.
Ihre Endpoint-Sicherheitsarchitektur sei führend. VMwarewerde eng mit KASPERSKY labzusammenarbeiten, um die stark ansteigende Zahl virtualisierter Umgebungen zu sichern und deren Leistungsfähigkeit zu erhalten. Dafür entwickelten sie gemeinsam eine hochintegrierte Lösung, so Parag Patel, Vice President, „Global Strategic Alliances“ von VMware.
KASPERSKY labfreue sich sehr darüber, „VMware vShield Endpoint“ zu unterstützen. Damit hätten ihre Kunden die Möglichkeit, ihre High-End-Sicherheit ohne Leistungsabstriche in ihre virtuellen Umgebungen und heterogenen IT-Landschaften zu integrieren – bei gleichzeitig hoher Wirtschaftlichkeit, kommentiert Nikolay Grebennikov, Chief Technology Officer von KASPERSKY lab.

[datensicherheit.de, 31.10.2010] TREND MICRO lädt für den 4. November 2010, von 16 bis 17 Uhr, zu einem „virtuellen Kamingespräch“ ein, bei denen das Thema „Sicherheit und Virtualisierung“ aus unterschiedlichen Perspektiven beleuchtet wird. Die Teilnehmer können die Diskussion mitverfolgen und per Chat eigene Fragen stellen:
Virtualisierung von Server- und Desktop-Umgebungen sei für viele IT-Anwender noch ein abstraktes Thema. TREND MICRO, nach eigenen Angaben derzeit der „technologisch führende Hersteller von Sicherheitslösungen für die Virtualisierung“, möchte das ändern und lädt deshalb zu einem „Kamingespräch“ in angenehmer Atmosphäre ein – virtuell. Drei IT-Security-Experten des Hauses stehen bereit, in einer spannenden Diskussionsrunde alle Fragen zu beantworten. Nach Anmeldung erhalten Teilnehmer ihre Zugangsdaten und loggen sich dann am 4. November 2010 um 16 Uhr ein – und stellen per Chat ihre Fragen.

Weitere Informationen zum Thema:

TREND MICRO
DIE NEUE SICHT DER DINGE. / DAS TREND MICRO KAMINGESPRÄCH.

[datensicherheit, 25.11.2009] Menschliche Fehler sind ein wesentlicher Grund für die Zunahme an Datenverlusten. Dies belegen auch die Erfahrungen von Kroll Ontrack, einem führendem Anbieter von Services und Software in den Bereichen Datenrettung, Datenlöschung und Computer-Forensik:
Fehlbedienungen würden durch immer komplexere Storage-Systeme folgenschwerer. Gerade in der Virtualisierung komme es daher immer häufiger zu Anfragen nach Datenrettung. Sinkende Investitionen in Hardware, in das Training und in eine optimale Besetzung des IT-Personals verstärkten diesen Effekt.
Fortschrittliche Speichermöglichkeiten durch Virtualisierung und Cloud Computing böten optimierte und hochflexible Speicherlandschaften, aber der „Faktor Mensch“ lasse sich nicht ausblenden. Je komplexer eine Technologie sei, desto häufiger und folgenreicher würden Bedienungsfehler, erklärt Edmund Hilt, Managing Director bei „Kroll Ontrack“. Die Komplexität der neuen Speicherlandschaften erforderten ein deutliches Mehr an Fortbildung und eine intensive Einarbeitung. Die auf Rekordtief gesunkenen Ausgaben in der IT erhöhten die Häufigkeit des Datenverlustes durch menschliches Versagen – die aktuellen Einsparungen bei den IT-Ausgaben würden häufig mit Datenverlust bezahlt.
Die fünf häufigsten Fälle von menschlichem Versagen sind laut den Experten von „Kroll Ontrack“ die folgenden:

1. Entfernung des falschen Laufwerks
2. Re-Formatierung eines Laufwerks
3. Speicherung korrupter oder veralteter Backups
4. Wiederaufbau eines schlechten RAID-Verbundes
5. Versehentliches Löschen von Daten ohne verwertbares Backup

Eine Wiederherstellung der Daten sei aber in den meisten Fällen noch möglich, wenn rechtzeitig professionelle Hilfe gesucht werde, so „Kroll Ontrack“.

Weitere Informationen zum Thema:

Ontrack Data Recovery
Virtualisierung – VMware Recovery