Malware-Attacken frühzeitig erkennen und abwehren

Incident Response bei Angriffen aufs Netzwerk

Seite: 3/3

Firmen zum Thema

Den Gegner erkunden

Sobald es einem Angreifer gelingt, erfolgreich die traditionellen Sicherheitstechnologien zu umgehen, tritt der Incident-Response-Plan ein. Zu diesem Zeitpunkt sind die Verantwortlichen weder rechtzeitig in Alarmbereitschaft noch handelt es sich um promovierte Forensiker, die sich eingehend mit der Datenmenge und den komplexen Analysen befassen können.

Der Einsatz von Big Data Analysen, um grundlegende Eigenschaften des Malware-Verhaltens zu identifizieren, hilft dabei, Bedrohungen schneller zu verstehen. Es ist ebenfalls wichtig Einblick zu haben, wie die Malware andere Dateien beeinträchtigt, mit denen sie interagiert oder die sie auf dem System zurückgelassen hat.

Ein einziges infiziertes Gerät kann das ganze System anstecken. Hier ist es von entscheidender Bedeutung, die Beziehungen der Systeme untereinander zu verstehen. Hat die Malware bereits damit begonnen, mit anderen Systemen zu kommunizieren? Falls ja, hat der Angreifer möglicherweise bereits die erweiterten Zugriffsrechte des zuerst infizierten Systems ausgenutzt und so den Sprung auf andere Systeme geschafft.

Mit Hilfe dieser Zugriffsrechte wäre der Angreifer in der Lage, das zuerst infizierte System zu verlassen und sich auf anderen auszubreiten. Damit wäre der Angriff für traditionelle Entdeckungsmethoden solange unsichtbar, bis Schaden entsteht. Tiefgehende Kenntnisse über die Bedrohung und ihre Verbreitung sind bei der Bekämpfung hilfreich.

Die Oberhand gewinnen

Mit verbessertem Einblick und optimiertem Schutz ist es wieder möglich, die Kontrolle zu erlangen und den Schaden zu beheben. Die Kombination aus Erkennen, Blockieren (von Malware) und dem Identifizieren befallener Systeme ermöglicht es, aus einer gefestigten Position heraus zu beginnen, Malware zu beseitigen und nicht erneut an Boden zu verlieren.

Anschließend ist es nötig, die Schutzmaßnahmen basierend auf dem aktuellsten Wissen um Bedrohungen zu aktualisieren, und Angriffsvektoren mit Hilfe von Applikationskontrolle aufzuhalten und zu beseitigen. Damit können die Risiken weiter gesenkt werden. Das Verhalten von Dateien und deren Wege zu verstehen, ermöglicht es, die Auswirkungen eines Angriffs leichter zu minimieren und den Schaden zu beheben.

Zudem ist es entscheidend, auch über Graubereiche Bescheid zu wissen. Im Falle von hochentwickelter Malware gibt es viele Graubereiche zwischen „bekannten, guten“ und „bekannten, schädlichen“ Dateien. Es ist dabei wichtig, verdächtige Dateien blockieren zu können oder sie nachzuverfolgen und basierend auf Echtzeit-Intelligenz zu analysieren.

Sobald sicherheitsrelevante Daten darauf hindeuten, dass es sich bei einer verdächtigen oder unbekannten Datei um Malware handelt, ist es mit Hilfe von Funktionalitäten zur retrospektiven Remediation des Schadens möglich, Malware zu beseitigen. Kontrolle darf aber nicht am Netzwerk Halt machen. Netzwerk-basierter Schutz sollte eng verzahnt mit dem Schutz der Geräte stattfinden. Dies stellt eine umfassende Reaktion und die Behebung des Schadens über den gesamten Lebenszyklus der Bedrohungen hinweg sicher.

Effektive Reaktion auf hochentwickelte Malware verlangt nach Einblick und Kontrolle über die gesamte IT-Umgebung und den gesamten Lebenszyklus von Bedrohungen. Erst damit ist es möglich, die Verbreitung von Malware nicht nur zu erkennen und zu stoppen, sondern auch das Risiko einer erneuten Infizierung zu minimieren. Sobald Malware schnell erkannt und beseitigt werden kann, ist die richtige Strategie für IT-Sicherheit und Incident Response gegen aktuelle Bedrohungen gefunden.

Über den Autor

Maik Bockelmann ist Director Central & Eastern Europe bei Sourcefire.

(ID:38254290)