Advanced Malware Protection

Abwehr zielgerichteter Malware-Attacken

| Autor / Redakteur: Christoph Krell / Peter Schmitz

Mit Advanced Malware Protection können Sicherheitsteams in Unternehmen Angriffe und versteckte Malware schnell und effizient erkennen und abwehren.
Mit Advanced Malware Protection können Sicherheitsteams in Unternehmen Angriffe und versteckte Malware schnell und effizient erkennen und abwehren. (Bild: gemeinfrei / Pixabay)

In der heutigen digitalen Welt werden Unternehmen ständig angegriffen. Doch ein umfassender Schutz gestaltet sich aufgrund der steigenden Komplexität und Heterogenität der Systeme sowie durch Personalengpässe immer schwieriger. Es gibt jedoch umfassende Security-Lösungen, die sich einfach installieren lassen und mit wenigen Einstellungen Rundumschutz bieten.

Hacker entwickeln zunehmend fortschrittliche Malware und infiltrieren damit Unternehmen über eine Vielzahl von Angriffsvektoren. Diese modernen, zielgerichteten Attacken können sogar aktuelle Security-Tools überwinden, die Datenverkehr und Dateien beim Eintritt in das Netzwerk prüfen. Herkömmliche Lösungen wehren nur bekannte Bedrohungen am Perimeter ab und lassen scheinbar legitime oder unbekannte Dateien in das Netzwerk. Kann eine Malware diese einfachen Abwehrmaßnahmen umgehen, richtet sie weitgehend ungehindert und unbeobachtet fast beliebigen Schaden in der IT-Infrastruktur an.

Daher benötigen Unternehmen eine Sicherheitslösung, die den gesamten Lebenszyklus fortgeschrittener Malware abdeckt. Eine solche Advanced Malware Protection (AMP) verhindert nicht nur Verstöße, sondern bietet auch die Transparenz, den Kontext und die Kontrolle, um Bedrohungen im Netzwerk schnell zu erkennen, einzudämmen und zu beheben. Dies erfolgt kostengünstig und ohne Beeinträchtigung der betrieblichen Effizienz.

Vor, während und nach einem Angriff

Unter AMP versteht man eine intelligente, integrierte, fortschrittliche Malware-Analyse- und Schutzlösung für Unternehmen. Sie wirkt vor, während und nach einem Angriff.

Vor einem Angriff nutzt sie weltweit gesammelte Informationen zu aktuellen Bedrohungen, um die Abwehr zu verbessern und das Unternehmen vor bekannten Gefahren zu schützen. Dazu prüft sie unter anderem die Hash-Werte der eingehenden Dateien und sucht nach bekannten Virensignaturen.

Während eines Angriffs verwendet sie diese Informationen in Kombination mit Dateisignaturen und einer dynamischen Malware-Analyse, um Richtlinienverstöße zu erkennen. So wehrt sie auch unbekannte Angriffe und bösartige Dateien ab, die das Netzwerk infiltrieren wollen.

Nach einem Angriff überwacht und analysiert die AMP-Lösung kontinuierlich die gesamte Dateiaktivität und den Datenverkehr. Dabei sucht sie nach Anzeichen für bösartiges Verhalten. Wenn sich eine unbekannte oder als legitim eingestufte Datei gefährlich verhält, erkennt sie dies und alarmiert sofort die Security-Verantwortlichen. Sie zeigt dabei, woher die Malware stammt, welche Systeme betroffen sind und wie sie sich verhält. AMP bietet zudem die Möglichkeit, schnell auf die Attacke zu reagieren und diese mit wenigen Klicks zu beheben. Wenn unbekannte Dateien in einer Sandbox ausgeführt werden, überprüft AMP diese auf Malware, bevor sie an den Client gelangen. Dadurch lassen sich Schäden von vornherein vermeiden. Zudem meldet das System die unbekannte Datei oder neue Angriffsmethode an weltweit tätige Sicherheitsteams, die sie analysieren. Bei Bedarf werden die zur Erkennung und Abwehr nötigen Informationen global an die bei Kunden installierten Security-Lösungen weitergegeben.

Weltweite Informationen als Basis

AMP basiert somit auf weltweiten Security-Informationen, die in zentralen Datenbanken mit mehr als 500 Millionen Files gesammelt werden, sowie dynamischer Malware-Analyse. Die entsprechenden Daten werden aus der Cloud an den AMP-Client übertragen, so dass Unternehmen ständig über die neuesten Informationen verfügen, um sich aktiv gegen Bedrohungen zu schützen. Die AMP-Appliance korreliert alle aktuellen Dateien, Verhaltensweisen, Telemetriedaten und Aktivitäten im Unternehmen mit dieser umfangreichen Wissensdatenbank, um Malware schnell zu erkennen. Security-Teams in Unternehmen profitieren von der automatisierten Analyse und Bewertung durch die AMP-Lösung, da sie Zeit bei der Suche nach Verstößen sparen und jederzeit über alle Daten verfügen, um komplexe Angriffe schnell zu verstehen, zu priorisieren und zu blockieren.

Die Integration aktueller Technologien in AMP bietet weitere Vorteile. Dazu gehören hochpräzise und kontextreiche Feeds in Standardformaten sowie die Analyse von Millionen Proben jeden Monat anhand von mehreren hundert Verhaltensindikatoren. AMP nutzt all diese Erkenntnisse und Analysen, um Security-Teams zu informieren oder automatische Maßnahmen zu ergreifen. So kann das System etwa bekannte Malware und regelwidrige Dateitypen sofort blockieren, Blacklists mit gefährlichen Links oder Verbindungen erstellen sowie Versuche zum Herunterladen von Dateien von bösartigen Websites verhindern.

Kontinuierliche Analyse und retrospektive Sicherheit

Sicherheitsmaßnahmen, die nur zu einem bestimmten Zeitpunkt oder an einem bestimmten Ort funktionieren, sind heute nicht mehr effektiv. Das AMP-System analysiert kontinuierlich Dateien und Datenverkehr auch nach der ersten Inspektion. Es zeichnet sämtliche Datei-Aktivitäten und Kommunikation auf Endgeräten, mobilen Geräten und im Netzwerk auf, um verdeckte Bedrohungen zu erkennen. Dabei kann es folgende Fragen beantworten:

  • Wo kommt die Malware her?
  • Was war die Methode und der Einstiegspunkt?
  • Wo war sie bereits und welche Systeme sind betroffen?
  • Was hat die Bedrohung getan und was macht sie jetzt?
  • Wie lässt sich die Bedrohung stoppen und die Ursache beseitigen?

Anhand dieser kontextabhängigen Berichterstattung können die Sicherheitsteams schnell nachvollziehen, was geschehen ist. Zudem lassen sich die AMP-Funktionen zur Eindämmung und Behebung der Schäden nutzen. Mit wenigen Klicks auf der Verwaltungskonsole können Administratoren die Malware entfernen oder unter Quarantäne stellen – und das sogar bei BYOD-Geräten (Bring Your Own Device). Bei einem Vorfall müssen Sicherheitsteams damit nicht mehr komplette Systeme neu abbilden, um die Schadsoftware zu beseitigen. So sparen sie Zeit, Geld und Ressourcen und vermeiden eine unnötige Störung geschäftskritischer Abläufe.

Einfache Installation

Eine solche umfassende Security-Lösung lässt sich heutzutage mit nur wenigen Mausklicks installieren, konfigurieren und verwalten. Dazu dienen All-in-One Zero-Touch Systeme, mit denen auch kleine und mittelständische Unternehmen über einfach nutzbare Dashboards ihre Sicherheitsmaßnahmen und -informationen übersichtlich administrieren können. Diese umfassen das Netzwerk und Wireless-Systeme. Zudem integrieren sie in einer Hardware verschiedene Sicherheitslösungen wie Firewall, Content-Filterung, Datenverkehrssteuerung, Intrusion Detection und Prevention, Web-Caching oder identitätsbasiertes Sicherheitsrichtlinien- und Anwendungsmanagement.

Da das weitgehend automatisierte Management vollständig Cloud-basiert ist, stehen ständig aktualisierte Funktionen zur Verfügung, ohne dass eine neue Hardware nötig wird. Eine solche Lösung kann auch viele heterogene IT-Umgebungen parallel erfassen und diese über das einheitliche Dashboard verwalten. Dies reduziert den Aufwand für das Management sowie die Fehlerquote erheblich. Das gilt auch für das schnelle, einfache Rollout per Zero-Touch. So kann zum Beispiel eine AMP-Lösung für mehrere tausend Standorte eines Unternehmens zentral und automatisch eingeführt werden. Der Aufwand für das laufende Management halbiert sich durch die einheitliche Oberfläche. Je heterogener und größer die abzusichernden Infrastrukturen sind, desto mehr Vorteile bietet die Automatisierung.

Bei individuellen oder branchenspezifischen Herausforderungen lassen sich moderne AMP-Lösungen zudem durch APIs steuern. Rund ein Viertel aller Nutzer verwendet fast ausschließlich diese Variante, wodurch sich der Automatisierungs- und Skalierungsgrad noch weiter erhöhen lässt. Dies erfolgt durch Scripts oder Service-Management-Plattformen. Damit können zum Beispiel Einzelhändler die Daten ihrer Smart- oder IP-Kameras in Läden auswerten, um Benutzerströme oder typische Verhaltensweisen zu ermitteln.

Fazit

Mit Advanced Malware Protection verfügen Sicherheitsteams in Unternehmen über die nötige Transparenz und Kontrolle, um Angriffe und versteckte Malware schnell und effizient zu erkennen. Sie können diese analysieren, um sie besser zu verstehen und effizient abzuwehren. So lassen sich Malware und Zero-Day-Angriffe schnell eindämmen und beseitigen, bevor Schaden entstehen kann. Zudem meldet eine AMP-Appliance jeden Verstoß an zentrale Wissensdatenbanken, so dass weitere ähnliche Angriffe verhindert werden.

Über den Autor: Christoph Krell ist Regional Sales Director DACH bei Cisco Meraki.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46329503 / Endpoint)