Den größten Schaden richten Cyberkriminelle heutzutage mit gezielten Angriffen ("Advanced Persistent Threats") an: Dank der geschickten Nutzung von Social-Engineering-Techniken wie "Spearphishing" gelangen sie unbemerkt ins Innere eines Unternehmens oder einer Behörde, wo sie oft über Monate hinweg unerkannt bleiben. In aller Stille können sie dann aus sicherer Entfernung wertvolle Informationen stehlen, von Kreditkartendaten bis hin zum geistigen Eigentum eines Unternehmens. Im schlimmsten Fall gelangen sie an Regierungsgeheimnisse und gefährden dadurch die nationale Sicherheit eines Landes. Mit "Custom Defense" ermöglicht es Trend Micro den Sicherheitsverantwortlichen, gezielte Angriffe nicht nur zu erkennen und zu analysieren, sondern auch in kürzester Zeit ihre Schutzmechanismen anzupassen.
"Bei Cyberspionage, die es gezielt auf ein Unternehmen und seine Mitarbeiter, Systeme und Daten abgesehen hat, zeigt sich: Hier laufen herkömmliche Verteidigungsmechanismen ins Leere - denn das Ziel der gezielten Angriffe ist es ja, genau diese Standardmechanismen zu durchbrechen. Diese 'targeted attacks', die sich geschickt 'unterhalb des Radars' bewegen, zeigen außerdem, dass es hundertprozentigen Schutz nicht gibt. Deshalb erfordern gezielte Angriffe auch gezielte Verteidigungsmechanismen", so Udo Schneider, Senior Manager PR Communications bei Trend Micro. "Hier setzt die Lösung 'Custom Defense' an. Sie liefert auf die jeweilige Situation des Unternehmens zugeschnittene Informationen, um welche Bedrohungen es sich handelt und welche Cyberkriminellen beteiligt sind. Erst wenn sie diese zentralen Informationen vorliegen haben, können sich Unternehmen effektiv schützen."
1. Aufspüren
Kernstück der Lösung ist eine Plattform, die das Netzwerk nach Zero-Day-Malware, verdächtiger Netzwerkkommunikation und auffälligen Verhaltensmustern durchsucht, die für herkömmliche Sicherheitslösungen unsichtbar sind. Die in Kontrollpunkte an mehreren Stellen des Netzwerks integrierte Lösung erkennt und blockiert Angriffe, die beispielsweise über private und geschäftliche E-Mails, Social-Media-Anwendungen oder mobile Geräte erfolgen. Sie kann auch die Kommunikation der Malware mit der Cyberkriminellen selbst erkennen und blockieren. Auch Versuche, sich anderen wertvollen Systemen innerhalb des Unternehmenswerks "seitlich" anzunähern, werden unterbunden.
Im Gegensatz zu anderen Lösungen können hier mehrere benutzerdefinierte Sandkästen genutzt werden, was zum einen die tatsächliche IT-Umgebung besser abbildet und zum anderen die Bestimmung erleichtert, ob das Unternehmen kompromittiert wurde - und das, ohne das Einbußen bei der Netzwerk-Performance zu befürchten wären. In der sicheren Umgebung einer "Sandbox" kann dann verdächtiger Code kontrolliert ausgeführt werden. Zudem ist die Lösung sogar für Hacker-Techniken unsichtbar, die ihrerseits nach Sandbox-Lösungen suchen.
2. Analysieren
Auf die Erkennung des Angriffs folgt die genaue Analyse. Die IT-Verantwortlichen können nun ein genaues Profil des Angriffs erstellen und dessen Risiken, Ursprung und Eigenschaften einschätzen. Sie erhalten zudem direkt nutzbare Informationen, wie sie den Angriff eindämmen und beseitigen können. Ihnen steht dazu eine benutzerdefinierte Übersicht über ihre spezifische IT-Umgebung zur Verfügung.
3. Anpassen
Um die Schutzmechanismen sofort anpassen und gegen weitere Angriffe stärken zu können, können IT-Verantwortliche maßgeschneiderte Gegenmaßnahmen erstellen; dazu zählen beispielsweise IP-Blacklists oder der maßgeschneiderte Schutz vor Spearphishing-Angriffen.
Die Lösung aktualisiert automatisch das "Global Threat Intelligence Network" und sendet benutzerdefinierte Sicherheits-Updates an die Trend Miro-Lösungen am Gateway, den Endpunkten und Servern. Die als offene und erweiterbare Plattform erstellte Lösung kann Sicherheits-Updates auch an Sicherheitslösungen anderer Sicherheitsanbieter senden.
4. Antworten
Im letzten Schritt liefert die Lösung einen kontextabhängigen 360-Grad-Überblick des Angriffs, mit dem die Unternehmensverantwortlichen auf die Aktionen der Angreifer reagieren können. Sie erfahren, welche Informationen gezielt angegangen werden, wie der Angriff abläuft, wer der Angreifer ist, und - und das die vielleicht wichtigste Information - welcher Auftraggeber hinter dem Angriff steckt.
Wie ein Unternehmen oder eine Behörde dann auf einen solchen gezielten Angriff reagiert, hängt vom Einzelfall ab", fasst Udo Schneider zusammen. "Im einfachsten Fall erschwert ein Ausweichmanöver den Kriminellen die Fortführung ihres Angriffs. Denkbar ist es auch, die Gangster öffentlich bloßzustellen und sie in der Cyber-Community zu diskreditieren. Und schließlich ist es auch möglich, rechtliche Schritte gegen die Angreifer und ihre Hintermänner einzuleiten. "
Weiterführende Informationen
"Custom Defense" besteht aus mehreren Lösungen, die zum Teil umfangreich überarbeitet wurden. Hierzu zählen zum einen Änderungen bei "Deep Discovery", die vor allem die Bedürfnisse großer Unternehmen und staatlicher Einrichtungen abdecken. Zum anderen sind hier erstmals umfassende Aufklärungsfunktionen in Sicherheitslösungen für E-Mail-Gateways und Server integriert worden: in "ScanMail for Microsoft Exchange", "ScanMail for Lotus Domino" sowie "InterScan Messaging Security". Diese verfügen zudem über eine neue "Detection-Engine", die Exploits für Programme von Herstellern wie Adobe und Microsoft in E-Mail-Anhängen identifiziert, sie anschließend blockiert oder in Quarantäne setzt.
"Bei Cyberspionage, die es gezielt auf ein Unternehmen und seine Mitarbeiter, Systeme und Daten abgesehen hat, zeigt sich: Hier laufen herkömmliche Verteidigungsmechanismen ins Leere - denn das Ziel der gezielten Angriffe ist es ja, genau diese Standardmechanismen zu durchbrechen. Diese 'targeted attacks', die sich geschickt 'unterhalb des Radars' bewegen, zeigen außerdem, dass es hundertprozentigen Schutz nicht gibt. Deshalb erfordern gezielte Angriffe auch gezielte Verteidigungsmechanismen", so Udo Schneider, Senior Manager PR Communications bei Trend Micro. "Hier setzt die Lösung 'Custom Defense' an. Sie liefert auf die jeweilige Situation des Unternehmens zugeschnittene Informationen, um welche Bedrohungen es sich handelt und welche Cyberkriminellen beteiligt sind. Erst wenn sie diese zentralen Informationen vorliegen haben, können sich Unternehmen effektiv schützen."
1. Aufspüren
Kernstück der Lösung ist eine Plattform, die das Netzwerk nach Zero-Day-Malware, verdächtiger Netzwerkkommunikation und auffälligen Verhaltensmustern durchsucht, die für herkömmliche Sicherheitslösungen unsichtbar sind. Die in Kontrollpunkte an mehreren Stellen des Netzwerks integrierte Lösung erkennt und blockiert Angriffe, die beispielsweise über private und geschäftliche E-Mails, Social-Media-Anwendungen oder mobile Geräte erfolgen. Sie kann auch die Kommunikation der Malware mit der Cyberkriminellen selbst erkennen und blockieren. Auch Versuche, sich anderen wertvollen Systemen innerhalb des Unternehmenswerks "seitlich" anzunähern, werden unterbunden.
Im Gegensatz zu anderen Lösungen können hier mehrere benutzerdefinierte Sandkästen genutzt werden, was zum einen die tatsächliche IT-Umgebung besser abbildet und zum anderen die Bestimmung erleichtert, ob das Unternehmen kompromittiert wurde - und das, ohne das Einbußen bei der Netzwerk-Performance zu befürchten wären. In der sicheren Umgebung einer "Sandbox" kann dann verdächtiger Code kontrolliert ausgeführt werden. Zudem ist die Lösung sogar für Hacker-Techniken unsichtbar, die ihrerseits nach Sandbox-Lösungen suchen.
2. Analysieren
Auf die Erkennung des Angriffs folgt die genaue Analyse. Die IT-Verantwortlichen können nun ein genaues Profil des Angriffs erstellen und dessen Risiken, Ursprung und Eigenschaften einschätzen. Sie erhalten zudem direkt nutzbare Informationen, wie sie den Angriff eindämmen und beseitigen können. Ihnen steht dazu eine benutzerdefinierte Übersicht über ihre spezifische IT-Umgebung zur Verfügung.
3. Anpassen
Um die Schutzmechanismen sofort anpassen und gegen weitere Angriffe stärken zu können, können IT-Verantwortliche maßgeschneiderte Gegenmaßnahmen erstellen; dazu zählen beispielsweise IP-Blacklists oder der maßgeschneiderte Schutz vor Spearphishing-Angriffen.
Die Lösung aktualisiert automatisch das "Global Threat Intelligence Network" und sendet benutzerdefinierte Sicherheits-Updates an die Trend Miro-Lösungen am Gateway, den Endpunkten und Servern. Die als offene und erweiterbare Plattform erstellte Lösung kann Sicherheits-Updates auch an Sicherheitslösungen anderer Sicherheitsanbieter senden.
4. Antworten
Im letzten Schritt liefert die Lösung einen kontextabhängigen 360-Grad-Überblick des Angriffs, mit dem die Unternehmensverantwortlichen auf die Aktionen der Angreifer reagieren können. Sie erfahren, welche Informationen gezielt angegangen werden, wie der Angriff abläuft, wer der Angreifer ist, und - und das die vielleicht wichtigste Information - welcher Auftraggeber hinter dem Angriff steckt.
Wie ein Unternehmen oder eine Behörde dann auf einen solchen gezielten Angriff reagiert, hängt vom Einzelfall ab", fasst Udo Schneider zusammen. "Im einfachsten Fall erschwert ein Ausweichmanöver den Kriminellen die Fortführung ihres Angriffs. Denkbar ist es auch, die Gangster öffentlich bloßzustellen und sie in der Cyber-Community zu diskreditieren. Und schließlich ist es auch möglich, rechtliche Schritte gegen die Angreifer und ihre Hintermänner einzuleiten. "
Weiterführende Informationen
"Custom Defense" besteht aus mehreren Lösungen, die zum Teil umfangreich überarbeitet wurden. Hierzu zählen zum einen Änderungen bei "Deep Discovery", die vor allem die Bedürfnisse großer Unternehmen und staatlicher Einrichtungen abdecken. Zum anderen sind hier erstmals umfassende Aufklärungsfunktionen in Sicherheitslösungen für E-Mail-Gateways und Server integriert worden: in "ScanMail for Microsoft Exchange", "ScanMail for Lotus Domino" sowie "InterScan Messaging Security". Diese verfügen zudem über eine neue "Detection-Engine", die Exploits für Programme von Herstellern wie Adobe und Microsoft in E-Mail-Anhängen identifiziert, sie anschließend blockiert oder in Quarantäne setzt.
