:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Microsoft Antimalware Scan Interface Microsofts Einsatz gegen Malware von MSAV bis AMSI
Microsoft wird ja oft vorgeworfen, nicht ausreichend auf die Gefährdung seiner Betriebssysteme durch Malware zu reagieren. Doch entgegen der Annahme ist man dort stetig bemüht, mehr Sicherheit zu schaffen. Ein Blick auf die Entwicklungen zeigt eine rege Aktivität für den Malwareschutz als Komponente der IT-Sicherheit. Wer mit den Begriffen MSAV und AMSI dennoch nichts anfangen kann, dem hilft dieser Beitrag weiter.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
MSAV: Die ersten bekannteren Ansätze gehen dabei auf MSAV (Microsoft AntiVirus) aus dem Jahr 1993 zurück, einen Virenscanner für das damals verbreitete MS-DOS 6.x. Bestehend aus einem Online-Wächter (TSR-Modus; Terminate Programm and Stay Resident) und einem normalen Festplattenscanner ging das Tool in die Offensive gegen die Mitbewerber, wie F Prot, der Firma FRISK. Das Tool von Microsoft verschwand einige Jahre später, doch die Bestrebungen hielten an. Ersichtlich wurde dies u.a. auch, in der Übernahme von entsprechenden Spezial-Firmen und deren Security-Know-how, wie beispielsweise:
- 2003 MS kauft GeCAD-Software (RAV Antivirus)
- 2005 MS erwirbt Sybari (Antigen)
- 2015 MS übernimmt Secure Islands (IQ Protector Classification and Protection Suite)
:quality(80)/images.vogel.de/vogelonline/bdb/1392700/1392748/original.jpg "Screenshot der Anwender-Oberfläche von MSAV (1993).")
:quality(80)/images.vogel.de/vogelonline/bdb/1392700/1392749/original.jpg "Aufruf des „Windows Defender Security Center“ über das „Start-Menü“.")
:quality(80)/images.vogel.de/vogelonline/bdb/1392700/1392750/original.jpg "Die fünf thematischen Schwerpunkte des Windows Defender.")
:quality(80)/images.vogel.de/vogelonline/bdb/1392700/1392751/original.jpg "Testergebnisse von AV-Test für den Windows Defender aus 12/2017.")
Windows OneCare: Im Jahr 2006 wurde der Druck durch Malware immer stärker! Drangsalierte Anwender verlangten nach einem zuverlässigen Schutz und waren auch bereit dafür zu bezahlen. Zu diesem Zeitpunkt präsentierte Microsoft sein „Windows Live OneCare“ als Schutzlösung gegen Computerviren, Trojaner und Spyware. Das Produkt übernahm dabei Techniken, aus dem Produkt RAV, von GeCAD. Als Kombi-Lösung, die mehr bot, als „nur“ einen Virenscanner fand OneCare seinen Markt. Nach einigen Jahren schwenkte Microsoft jedoch wieder um und entschloss sich, dass „Modell käuflicher Security-Software „zu beenden und brachte das Nachfolgeprodukt MSE, welches gratis erhältlich war. Mit Ankündigung des Nachfolgeprodukts im Jahr 2009 endete der Verkauf von OneCare bis schließlich im Jahr 2011 der Produktsupport eingestellt wurde.
MSE – Microsoft Security Essentials: Das Gratis-Tool Microsoft Security Essentials ist ein klassischer Virenscanner, der unter anderem auch eine heuristische Erkennung eingebaut hat um der zunehmenden Vielfalt an Malware-Binaries erfolgreich zu begegnen. Clevere Optionen, wie z.B. das Setzen von Windows-Wiederherstellungspunkten erweiterten den Schutz vor Malware und auch zu sorglosen Anwendern. Obwohl MSE als der kleine Bruder des OneCare gehandelt wurde, war die Technik durchaus konkurrenzfähig. Trotzdem schnitt das Tool bei Vergleichen durch Antivirus-Testern eher schlecht ab. Vermutungen, dass dies mit Auflagen der EU-Regulierungsbehörde zusammenhängt, die nur einen soliden Grundschutz erlaubt, um Monopolstellungen zu vermeiden machten die Runde. Eventuell, so andere Vermutungen, war dies eine durch Microsoft selbst auferlegte Beschränkung, um gleichartige Probleme bezüglich einer „Monopolstellung des IE“ zu vermeiden, die sich in den Jahren 2011 bis 20212 mit Windows 7 ergab.
Windows Defender: Seit dem Release von Windows 8 ist das Tool „Windows Defender“ als Standard-Schutzprodukt vorinstalliert. Hierbei handelt es sich um eine Auskopplung aus dem Vorgänger MSE. Im Dezember 2017 führte das AV-TEST Institut in Magdeburg, ein weltweit führender, unabhängiger Anbieter von Services im Bereich IT-Sicherheit und Antiviren-Forschung, entsprechende Produkttests durch. Dabei erreichte der Windows Defender in der Version 4.12 bzgl. Schutzwirkung von nahezu 100 Prozent. Microsoft spendiert seinem AntiMalware-Tool auch eine eigene Webseite auf der die Anwender zu den gängigen Leistungsmerkmalen. Dies sind fünf thematische Schwerpunkte:
- Viren- und Bedrohungsschutz (AntiMalware-Scanner)
- Geräteleistung und -integrität (Logistischer PC-Check)
- Firewall und Netzwerkschutz
- App- und Browsersteuerung (Schutz des MS Edge und unbekannten APPs)
- Familienoptionen (Zugangszeiten und Monitoring für Kinder geeignete Webseiten)
Die Steuerung bzw. Konfiguration ist dabei im Windows-Look-and-Feel gehalten und recht einfach. Auf Details für die Suche nach Malware in einem Detailierungsgrad wie man es von anderen Produkten gewöhnt ist, wurde verzichtet. Lediglich einige Einstellungen um den Viren- und Bedrohungsschutz anzupassen sind enthalten. Informationen dazu bietet auch der Artikel „Security-Settings für Windows 10 Fall Creators Update“.
:quality(80)/images.vogel.de/vogelonline/bdb/1344300/1344336/original.jpg "Wie man das Fall Creators Update von Windows 10 (Version 1709) sicher betreibt und die richtige Konfiguration für optimale Leistung und Sicherheit findet, zeigen wir in diesem Video-Tipp. (fotomek - stock.adobe.com)")
Video-Tipp: Windows 10 Version 1709
Security-Settings für Windows 10 Fall Creators Update
AMSI: Bei Microsoft ruht man sich aber nicht auf den Lorbeeren aus, sondern arbeitet weiter. Aktuelles Beispiel dieser Bestrebungen, ist das Antimalware Scan Interface (AMSI), ein Interface um die Bedrohung durch Malware-Skripte zu minimieren. Diese Erweiterung wurde für Windows 10 eingeführt und ist im Windows Defender bereits implementiert. AMSI verfügt über eine offene Schnittstelle, die von Antimalware-Herstellern beispielsweise zur Analyse von PowerShell-Skripten (ab Version 5) auf Malware genutzt werden kann.
Vereinfacht gesagt, beinhaltet die AMSI-Technologie folgende Leistungen:
- Überprüfen von Datenträgern
- Überprüfen von Speicherbereichen
- Analysieren von Skripten deren Programmcode obfuskiert (verschleiert) ist.
Das unscheinbare „Überprüfen von Speicherbereichen“ hat es jedoch in sich. Denn AMSI ist in der Lage, das PowerShell-Skript zu analysieren, wenn dies im Speicher quasi im „Klartext“ vorliegt.
Das „Problem“ ist, mit Skript-Sprachen ist es einfach möglich, Schadcode so zu verschleiern und zu verschlüsseln, so dass ein Virenscanner diesen Schadcode bei der statischen Analyse des Skriptes nicht entdecken kann. Denn dieser überprüfen eine Datei, wenn sie geöffnet wird, bei PowerShell-Skripten also dann, wenn diese durch POWERSHELL.EXE ausgeführt werden. Sind Skripte aber obfuskiert, analog Binary-Malware die verschlüsselt agiert, sieht der Virenscanner nur ein scheinbar harmloses File. Mit AMSI lässt sich aber der entschleierte Code, während er bei der Skript-Ausführung zusammengebaut wird und im Klartext vorliegt, überprüfen.
Auf einer der letzten der Black Hat-Konferenzen wurde die AMSI-Technologie als „Game Changer“ bezeichnet, denn AMSI schließt ein Einfallstor, welches ambitionierten Hackern bislang offenstand. Einen technischen Ausflug in die Tiefen von AMSI offeriert das Microsoft-Dokument „Windows 10 to offer application developers new malware defenses“ inklusive einer grafischen Darstellung des AMSI-Architektur (Abbildung 7 im Dokument).
Dieser “Game Change”-Effekt war dringend erforderlich, denn Skriptbasierte Malware nimmt stetig zu. Vor allem die Fähigkeit, den eigenen Code zu verschleiern oder zu verschlüsseln fordert die AV-Branche bei der Malware-Erkennung stetig heraus. Denn theoretisch müsste bei jeder Textdatei als erstes überprüft werden, ob es sich um ein Skript handelt und dieses müsste dann je nach Typ (JavaScript, PowerShell, VBScript, Python etc.) auf Codeebene analysiert werden. Wobei erst durch eine Art von Sandbox wäre der Virenscanner in der Lage, hier weitergehende Analysen auszuführen indem das Skript überwacht ausgeführt wird. Die Hersteller von AV-Software lassen sich hier aber nicht in die Karten schauen was Sie tun und vor allem nicht wie sie es tun. Man darf aber annehmen, dass jeder Hersteller hier eigene technische Lösungen implementiert hat. Wie gut diese sind, lässt sich jedoch nur schwer vergleichen - möglicherweise gibt ja hier ein zukünftiger Test von Antimalware-Test Centern erschöpfende Auskunft.
Aktuell ist nur vom Antimalware-Hersteller AVG bekannt, dass er das AMSI-Interface nutzt um seine Produkte bzgl. der Skript-Thematik zu erweitern. Warum andere Hersteller nicht nachziehen oder warum sie dies nicht kommunizieren bleibt offen. Erst im Februar dieses Jahres, hat allerdings das rumänische Security-Unternehmen CyberByte darauf hingewiesen, dass AMSI ein Fehlverhalten zeigt, bei der Verarbeitung von Dateien, in denen ein Null-Zeichen enthalten ist. Auch der Pentester Nikhil Mittal stellte in seinem Vortrag auf der BlackHat-Konferenz 2016 Wege vor, um AMSI zu umgehen. Man darf aber annehmen, dass sowohl bezüglich der Umgehungsmöglichkeiten als auch beim Null-Char-Fehler Microsoft längst entsprechende Schritte unternommen hat, um AMSI wieder auf Spur zu bringen.
Zukunft: Wenn man die vergangene Historie betrachtet wird Microsoft sicherlich auch weiterhin daran arbeiten, die Sicherheit seiner Systeme zu optimieren und Anwender vor Malware, Hackern und anderen Cyberkriminellen zu schützen. Denn ein Betriebssystem und die dazu gehörenden Dienste sind ohne entsprechende IT Sicherheit nicht überlebensfähig.
(ID:45286851)
:quality(80)/p7i.vogel.de/wcms/2f/04/2f04fabacf1f502881617fa4880550d5/0110315149.jpeg "In diesem Video-Tipp zeigen wir, wie man die Sicherheit der PowerShell durch Skriptüberwachung, ConstrainedLanguage-Modus und andere Methoden weiter verbessern kann. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/7e/817eed55ba821c90084f762b4d0ee177/0109859543.jpeg "Mit einigen Cmdlets können Admins die Systemsicherheit von Windows 10/11 und auch Windows Server 2016/2019, sowie Windows Server 2022 zum Teil deutlich verbessern. (Bild: monsitj - stock.adobe.com)")