Suchen

Wie die Cloud bei der Abwehr zielgerichteter Attacken hilft

Mehrschichtiger Schutz vor Advanced Persistent Threats

Seite: 4/4

Firmen zum Thema

Wie Cloud-basierte Lösungen helfen

Cloud-Ansätze sind eine Alternative zu den Appliance-basierten Lösungen. Einer der wesentlichen Vorteile liegt darin, dass sie den gesamten Datenverkehr überwachen, sei es nun innerhalb oder außerhalb der Unternehmensgrenzen – mobil arbeitende Mitarbeiter und deren Endgeräte eingeschlossen.

Eine Cloud-basierte Lösung kann demnach Analysedaten aus dem kompletten Netzwerk sammeln. Die daraus gewonnene, kumulierte Intelligenz lässt sich gezielt einsetzen, um APTs abzuwehren. Obwohl APTs kompliziert aufgebaut sind, bieten sie dennoch Ansatzpunkte, um sich vor ihnen zu schützen. Ideal ist ein mehrschichtiges Konzept, das diese Punkte berücksichtigt und das die mobile Arbeitsrealität miteinbezieht.

Bei einem solchen Ansatz ist es erfolgversprechend, klassische Erkennungsmethoden und neuere Ansätze zu verbinden. Sandboxing und Verhaltensanalyse sind adäquate Mittel, insbesondere wenn ein Scanning in Echtzeit und Big-Data-Analysen zusätzlich greifen. Beim Sandboxing werden verdächtige Dateien in einer virtuellen Umgebung ausgeführt und analysiert, bevor sie weitergeleitet werden.

Fällt beim Ausführen in der Sandbox auf, dass eine Datei ein schädliches Verhalten zeigt, wird sie blockiert. Allerdings sind manche der mit Schadcode behafteten Dateien schon in der Lage, eine Sandboxing-Situation zu erkennen. Reine Sandboxing-Verfahren sind auch dann unwirksam, wenn der Payload – der mit Schadcode behaftete Teil - erst später nachgeladen wird.

Da heute ein Großteil aller Attacken über das Internet gestartet wird, ist es unumgänglich, den Datenverkehr in Echtzeit zu analysieren. Eine Risikobewertung von Webseiten ist ein weiterer Baustein, da sich Webseiten dynamisch für jeden Anwender neu zusammensetzen. Eine reine Webseiten-Kategorisierung reicht also nicht aus. Um das Risiko tatsächlich einzugrenzen, sollten weitere Parameter bei der Bewertung hinzukommen, beispielsweise

  • der Hosting-Standort,
  • die Lebensdauer der Website sowie
  • Verlinkungen und andere Faktoren.

Darüber hinaus sollte jedes Byte des ein- und ausgehenden Datenstroms einer Webseite zusätzlich auf Schadcode hin durchleuchtet werden. Die bidirektionale Code-Analyse erlaubt es beispielsweise, Verschleierungsmethoden (Code Obfuscation) aufzuspüren.

Eine komplette Analyse des Webseiten-Inhalts gehört bei den klassischen Sicherheitsanbietern eher zu den Ausnahmen, da er sich negativ auf die Performance des Gesamtsystems auswirkt. Immer mehr Attacken laufen auch über ungepatchte oder veraltete Browser oder Browser-Plugins, auch hier gilt es die bekannten Attacken auf Java/Flash zu blocken und virtuell zu patchen.

Big Data Analysis

Wenn vielschichtige Untersuchungsmethoden wie Sandboxing, URL-Filter und Code-Analysen zusammenspielen, kostet das Zeit und Ressourcen. Um anormale Verhaltensmuster in Echtzeit aufzuspüren und zu analysieren, müssen umfangreiche Datenbestände miteinander korreliert werden, um dann gegebenenfalls die Reaktion auf Anwenderebene einzuleiten (z.B. das Blockieren einer Webseite).

Eine solche Analyse kann nicht über Endpoint-Security stattfinden, sondern über einen Cloud-basierten Service. Auch wenn Schutzmechanismen am Client als „Last-Defense“ noch ihre Berechtigung haben, sollte ein Schädling im Idealfall gar nicht erst im Unternehmensnetz landen – auch dann nicht, wenn sich die Mitarbeiter außerhalb des Perimeters bewegen.

Über den Autor

Mathias Widler ist als Regional Director DACH & Nordics bei Zscaler verantwortlich für die Geschäftsentwicklung in Zentraleuropa und Skandinavien. Er baut dazu auf seine Erfahrungswerte bei großen Security- und Networking-Firmen wie beispielsweise Kaspersky, A10 Networks, Cisco und Bluecoat.

(ID:42645237)