Viren und andere bösartige Softwares, Schadprogramme genannt, haben sich über die Jahre wesentlich weiterentwickelt. Es gibt immer mehr Geräte, welche dauernd mit dem Internet verbunden sind und leicht angreifbar sind. Genau dies sind optimale Bedingungen für Hacker.
Ob nun eine Ransomware eine ganze Unternehmung lahm legt oder eine Zero-Day-Lücke die ganze Welt beschäftigt, es gibt unzählige verschiedene Wege und Angriffsmöglichkeiten Schadsoftware zu verteilen und auszuführen. Die Angriffe werden immer perfider und einzigartiger. Die Angriffsoberfläche aller IT-Systeme wird durch den zunehmenden Umfang stetig grösser. Währenddessen nimmt die Abhängigkeit exponentiell zu. Viele Angriffe sind heute «massgeschneidert» und auf den «potenziellen Kunden» ausgerichtet. Das bedeutet auch, dass wir uns anders schützen und unsere Schutzmassnahmen daran anpassen müssen.
Als ein Antivirenprogramm noch ausreichte
Vor ein paar Jahren reichte klassische Antiviren Software auf den Geräten meist noch aus. Klassische Antivirenprogramme funktionieren auch heute zumeist noch signaturbasierend. Was bedeutet das? Damit dieser Schutz wirkt, muss die Schadsoftware-Signatur (Abbild vom Programm) dem Antivirus Hersteller bereits bekannt sein und diese mithilfe eines Updates auch an das Endgerät verteilt worden sein.
Bei weltweiten Massenangriffen ist dies meist sehr schnell der Fall. Das ergibt, wenn Sie nicht zu den ersten gehören, zumeist eine hohe Erkennungsrate und einen Schutz zu einem sehr erschwinglichen Preis. Doch nützten Antivirenprogramme auch vor sehr spezifischen, massgeschneiderten und brandneuen Angriffen? In den meisten Fällen leider nicht oder nicht vollumfänglich, weil die Vielfalt an Schadsoftware und deren Ideen / Angriffsmethoden von Menschen programmiert werden und dies lässt sich leider bekanntlich auch nicht einfach voraussagen. Die Tatsache, dass die Möglichkeiten nahezu grenzenlos sind, gestaltet diese Situation nicht einfacher.
Das Problem mit den «Zero-Day-Exploits»
Zudem existieren im sogenannten Darknet unzählige «Zero-Day-Exploits», die leicht zu bekommen sind. Doch was ist ein «Zero-Day-Exploit» genau?
Es ist ganz einfach zu erklären. Bekanntlich macht jeder Mensch Fehler und so passiert dies auch den Software-Entwicklern. Eigentlich ist ein «Zero-Day-Exploit» ein einfacher Fehler in der Software, welcher zurzeit noch nicht bekannt gemacht wurde oder auch seit Tag 1 der Software existiert und dem Hersteller, wie auch der restlichen Welt noch nicht bekannt ist. Solche «Zero-Day-Exploits» werden dann verwendet, um Cyber-Angriffe zu starten oder auszuführen. Wenn das Wissen über solche «Zero-Day-Exploits» nicht selbst ausgenutzt wird, wird dies einfach im Darknet verkauft, um damit anderen Kriminellen den Angriff zu ermöglichen.
In den meisten Fällen gestaltet sich der Ablauf folgendermassen:
- Entwickler eines Unternehmens erzeugen Software, die ohne ihr Wissen oder gar Absicht eine Sicherheitslücke enthält.
- Der Angreifer findet diese Sicherheitslücke vor den Entwicklern oder wird aktiv, bevor sie geschlossen wird.
- Er schreibt und implementiert Exploit-Code, solange die Sicherheitslücke noch offen ist.
- Nach dem Einschleusen des Exploits wird er entweder in Form von Identitäts- oder Informationsdiebstahl öffentlich bekannt oder Entwickler erkennen ihn und schreiben ein Patch, um die Sicherheitslücke zu schliessen.
Abhilfe schaffen mit verhaltensbasierten Lösungen
Die sogenannten «Zero-Day-Exploits» sind also sehr schwer, zu spät oder auch gar nicht zu erkennen. Abhilfe können da verhaltensbasierte Schutz-Lösungen, die sogenannten EDR (Endpoint Detection and Response) und XDR (Extended Detection and Response) Ansätze, schaffen. Diese Lösungen protokollieren und zeichnen das Userverhalten auf und agieren auf Anomalien und Abweichungen, meist auch im Zusammenhang mit integrierter künstlicher Intelligenz, welches auch auf allfälligen, gewollten Änderungen schnell und eigenständig reagiert werden kann.
Die Grundlagen dazu werden in sogenannten Use-Cases, je nach Hersteller auch Models genannt, definiert. Im Falle unseres Produktes «Enterprise Cyber Defense Center», läuft dies folgendermassen ab. Wenn ein definierter Use-Case «breached» (gebrochen) wird, generiert dies eine Meldung an unser SoC (Security Operation Center) Team und diese Anomalie wird dann rund um die Uhr von unserem Team analysiert und es kann innert kurzer Zeit richtig und effizient gehandelt werden.
Verhaltensbasierte Lösungen sind mit einfachen Beispielen zu erklären: Wenn Sie beispielsweise User haben, die seit langer Zeit immer montags bis freitags von 08.00 Uhr bis 17.00 Uhr mit Ihren IT-Systemen arbeiten und sich dann plötzlich am Samstag in der Nacht um 03.15 Uhr einloggen, dann ist dies schon eher komisch und ich müsste von meinen technischen Schutzmassnahmen mindestens darauf aufmerksam gemacht werden, dass da eine Anomalie / Abnormalität herrscht.
Ein zweites einfaches Beispiel ist auch, wenn beispielsweise Ihre verwendete Kernsoftware seit Beginn an wöchentlich den Lizenzserver in Deutschland abfragt, ob die verwendeten Lizenzen noch gültig sind. Dann plötzlich ab Punkt X kommuniziert Ihre Software mit einem Server ausserhalb Europas, dann sollte hier auch mindestens eine Meldung erscheinen, dass sich da etwas geändert hat, welches nicht mehr der Normalität entspricht.
Die klassischen Endpoint-Protection-Lösungen, wie reine Antivirenprogramme, wurden nicht konzipiert, um Zusammenhänge in Angriffsketten zu korrelieren oder im richtigen Moment auch Gegenmassnahmen auf den Endpoints einzuleiten, auch wenn sie beispielsweise in der aktuellen Situation im Homeoffice die Verbindung zum Firmennetz verloren haben.
Enterprise Cyber Defense Center
Die ProCloud steht für professionelle Cloud-Services und Cyber-Security. Unser Produkt Enterprise Cyber Defense Center ist die ideale Lösung für dieses Problem. Unser Enterprise Cyber Defense Center erkennt Anomalien im Netzwerk und wir reagieren 24/7 proaktiv darauf.
