Endgeräte-Schutz

Evolution der Cyber-Bedrohungen

| Autor / Redakteur: Tomer Weingarten / Stephan Augsten

Statische Antivirus-Scans laufen bei den heutigen Tarn- und Verschleierungstechniken oft ins Leere.
Statische Antivirus-Scans laufen bei den heutigen Tarn- und Verschleierungstechniken oft ins Leere. (Bild: Archiv)

Cyber-Angriffe werden ausgefeilter und sind dank komplexer Verschleierungstechnik immer schwerer aufzuspüren. Doch welche Stealth-Mechanismen nutzt Malware und wie wappnen sich Sicherheitshersteller gegen diese Bedrohung?

Herkömmliche Sicherheitstechnologien beruhen meist auf statischen Signaturen und erfassen nur einen sehr engen Sicherheitswinkel. Antivirus, Firewalls oder auch Intrusion-Prevention- und Detection-Systeme (IPS, IDS) stellen für die moderne Bedrohungslandschaft längst keinen ebenbürtigen Gegner mehr dar.

Zu raffiniert sind die Methoden und Techniken, die versierte Cyberkriminelle, aber auch staatliche Geheimdienste mittlerweile an den Tag legen – zu hoch das Budget, das ihnen dafür zur Verfügung steht. Erschwerend kommt hinzu, dass sich auch die Angriffsfläche für Cyberkriminelle in den letzten Jahren stark vergrößert hat: dank Mobile Computing, BYOD und Internet der Dinge hat sich die Anzahl der vernetzten Endgeräte in den Unternehmen exorbitant vervielfacht.

Als unangefochtenes Hauptziel für fast alle Arten von Angriffen und Betrugsversuchen werden die Endpoints so schnell zur Achillesferse der Unternehmenssicherheit und -reputation. Wenn traditionelle Schutzmaßnahmen versagen, bleiben die Endgeräte in der Regel ungeschützt zurück.

Angreifer missbrauchen die Geräte im Anschluss als eine Art Gateway zum Netzwerk. Ist es dem Hacker einmal gelungen, Schadsoftware aufs Endgerät zu schleusen und dort auszuführen, hält ihn nichts mehr davon ab, sich frei zu bewegen, zu manipulieren und Schaden anzurichten.

Raffinierte Verschleierung überlistet Antivirus & Co

Das Bestreben der Cyberkriminellen, mit immer raffinierteren Methoden ihren Opfern immer einen Schritt voraus zu sein, hat sie in den letzten Jahren immer häufiger zum Erfolg geführt. Zwar ist die Idee und das Grundvorgehen von Malware heute immer noch dasselbe wie vor Jahren – sie zu entdecken und unschädlich zu machen, bevor größerer Schaden entsteht, wird aufgrund hochwirksamer Verschleierungstechniken allerdings immer schwieriger

Ein gutes Beispiel sind hier sogenannte Binder, also Softwaretools, die in der Lage sind, zwei verschiedene .exe-Dateien zu einer einzigen zu verschmelzen, und auf diese Weise schadhafte Dateien in gängigen Dateien verstecken können. Öffnet ein Opfer diese manipulierte aber nach außen hin vollkommen seriös wirkende Datei, wird im Hintergrund gleichzeitig die zweite, infizierte Datei ausgeführt.

Darüber hinaus ist moderne Malware immer öfter mit spezieller Umgebungsintelligenz ausgestattet, die es ihr ermöglicht, natürliche von virtualisierten Sandbox-Umgebungen zu unterscheiden. Sobald die Software eine unnatürliche Umgebung identifiziert, wechselt sie von schadhaftem zu harmlosem Verhalten oder fällt in eine Art Ruhemodus, um ihre Entdeckung zu verhindern.

Unmittelbar nach Entfernen aus der Versuchsumgebung, d.h. sobald die Malware echte menschliche Handlungen erkennt, setzt sie die Ausführung ihres Payloads fort. Traditionelle Schutzmaßnahmen wie Netzwerk-Sandboxen sind hier also vollkommen wirkungslos.

Wiedererlangung der Kontrolle

Glücklicherweise hat sich nicht nur an der Angriffsfront viel getan, sondern auch bei der Verteidigung: Moderne Endpoint-Protection-Lösungen begegnen hochentwickelten Bedrohungen mit ebenso hochentwickelten Technologien und läuten letztlich den Untergang traditioneller AV-Lösungen ein, die Schätzungen zufolge nur rund 45 Prozent aller Cyberangriffe identifizieren können und den heutigen Herausforderungen damit nicht mehr gerecht werden.

An ihre Stelle tritt eine neue Generation von Endpoint-Protection, die auf Ansätzen wie dynamischen Verhaltensanalyse-Techniken, maschinellem Lernen und intelligenter Automatisierung basiert. Da sie die Fähigkeit besitzt, schadhaften Code anhand seines Verhaltens bei der Ausführung zu erkennen, können auch völlig neuartige, bisher unbekannte Malware-Varianten identifiziert und an ihrem Angriff gehindert werden.

Ein weiterer Vorteil modernen Endgerät-Schutzes ist zudem seine Intelligenz zur Reparatur schadhafter Modifikationen. Wurden Dateien manipuliert oder gelöscht bzw. Konfigurationseinstellungen oder Systemdateien geändert, kann die Software den ursprünglichen Ausführungszustand problemlos wiederherstellen.

Wollen Unternehmen im Kampf gegen die neue Generation von Cyberangriffen dauerhaft die Oberhand behalten, müssen sie anfangen, ihre Sicherheitsstrategie an den verborgenen und sich ständig neu entwickelnden Bedrohungen auszurichten, anstatt weiterhin bekannte Risiken mit traditionellen Schutzmaßnahmen abzusichern. Dies kann letztlich nur mit dynamischen und intelligenten Endpoint-Lösungen gelingen.

* Tomer Weingarten ist CEO von SentinelOne.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44266349 / Malware)