Thema: Ransomware - Immunität gegen Zero-Day-Mutationen

erstellt am: 06.10.2016 07:46

Antworten: 1

Diskussion zum Artikel


„An der Quelle sollst du sie erkennen!“
Ransomware - Immunität gegen Zero-Day-Mutationen


Jede Art, ob Tier oder Pflanze, muss sich kontinuierlich wandeln und an veränderte Bedingungen anpassen, um zu überleben. Gleiches gilt für von Cyberkriminellen entwickelte Malware. Dabei haben die Angreifer immer wieder kurzzeitig Vorteile, nämlich so lange, bis neue Abwehrmaßnahmen auf breiter Front eingesetzt werden.

zum Artikel

Antworten

ipeschen





dabei seit: 06.10.2016

Beiträge: 2

Kommentar zu: Ransomware - Immunität gegen Zero-Day-Mutationen
06.10.2016 07:46

»[...] Und es ist der absolute Ausnahmefall, dass solche `bösen´ IP-Adressen plötzlich zu guten und vertrauenswürdigen mutieren [...] « Dem würde ich mal nicht zustimmen, wenn man sich mal mit bekannten Threat-Listen Anbietern auseinander gesetzt hat. Im Zeitalter von Cloud, DynDNS und natürlich auch DHCP liegt die false Positive Rate von Blacklisten leider sehr hoch. Oft werden Cloud Anbieter wie Amazon AWS genutzt um Malware zu verbreiten. Sie bekommen täglich neue IPs und ehemals böse IPs werden nach Freiwerden an den nächsten Kunden weiter gereicht. Auch bei Infizierungen von Clients im Privatbereich sehe ich nur einen sehr kleinen Anteil von Clients, die statische IP Adressen haben. So eine konkrete Aussage zu machen, kann ich daher nicht nachvollziehen. Hinzu kommt die Empfehlung Threat Intelligence Gateways einzuführen. Diese Funktion gibt es bereits in anderen Produkten, die eh schon jeder Kunde hat und die heißen Proxy, Firewall, IPS und DNS, welche bereits selbst mit Blacklisten gespeist werden. Dennoch stimme ich natürlich zu, dass Threat Intelligence ein sehr guter Abwehrmechanismus ist, Angreifer mit Zero Days / mutierten Zero Days fernzuhalten. Dafür benötigt man aber einen sehr guten Anbieter mit brandaktuellen IPs und natürlich Domains, die in Echtzeit Botnetze aufspüren und analysieren. Davon gibt es aber leider nur sehr wenige. Solange man einen hohen Grad am Falschmeldungen hat, sollten die Blacklists eher zum Erkennen - z.B in einem SIEM System - und nicht zum Blockieren verwendet werden. Sonst würde man ziemlich vielen guten Datenverkehr ebenfalls sperren.
Des Weiteren hilft z.B. verhaltensbasierte Erkennung, indem ein Sicherheitssystem erkennt, dass kurze Zeit, nachdem ein Anhang einer Mail geöffnet wurde eine Verbindung zum Internet aufgebaut wurde. Grund genug diesem Client den Download, der über den gleichen Prozess (z.B. MS Word) stattfinden wird, zu blocken.
* zuletzt geändert von: ipeschen am 06.10.2016 um 08:31 Uhr *

Antworten

Antwort schreiben

Titel:


Nachricht:

 




Thema abonnieren:

Email:
*Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Antwort abschicken