Fireeye stellt Security-Appliance vor
Dynamische Verteidigung
Neue Angriffsformen machen auch neue Verteidigungsstrategien nötig. Die Next Generation Threat Protection Appliances von Fireeye sollen sowohl vor Gefahren schützen, die dem Netzwerk von außen drohen, als auch vor solchen, die von innen nach außen gehen.Viele der herkömmlichen, auf Signaturen beruhenden Schutzmaßnahmen wie Firewalls, Intrusion Prevention Systems (IPS) oder Antiviruslösungen können heutige Angriffsformen nur ungenügend abwehren. Cyber-Kriminelle haben Toolkits für so genannte polymorphe Angriffe (Advanced Persistent Threat, APT) entwickelt, die sich mit jeder Verwendung ändern, längerfristig vorgehen und Zero-Day-Schwachstellen ausnützen. Diese neue Generation der Bedrohungen ist persistent und nutzt beispielsweise Daten aus den sozialen Netzwerken, um sehr gezielte Phishing-Mails zu erzeugen, die Schädlinge mitbringen, die auf bestimmte Branchen, Anwendungen und Betriebssysteme ausgerichtet sind. Sobald eine solche Malware erfolgreich in ein Netzwerk eingedrungen ist, kann sie ihr kriminelles Werk beginnen und Verbindung mit einem Command-and-Control-Server aufnehmen, um sich weitere Befehle für den Datendiebstahl abzuholen. Gegen diese Gefahren bedarf es einer dynamischen Verteidigung, die per Analyse des Netzwerkverkehrs auch unbekannte Angriffe zeitnah erkennt, statt sich auf Signaturen zu verlassen, sowie den Datenabfluss über Callbacks an Command-and-Control-Server blockieren kann. Des Weiteren muss die Schutzlösung über verschiedene Protokolle hinweg die Kommunikation in beide Richtungen kontrollieren, um Exploits von Sicherheitslücken zu erkennen und auch Callbacks an Command-and-Control-Server. Fireeye nimmt für sich in Anspruch, mit der Next-Generation-Threat-Protection-Plattform sowohl vor Gefahren, die von außen ins Netzwerk eindringen, als auch vor solchen, die von innen nach außen gehen, zu schützen. Die Appliances sollen gezielte Angriffe und Malware aufspüren und analysieren, auch wenn diese bis dahin noch nicht bekannt und per Signatur identifizierbar sind. Die Lösung nutzt und ergänzt bereits vorhandene Schutzmaßnahmen wie Firewalls, IPS oder Antivirusprogramme, so der Anbieter. Die Plattform besteht aus mehreren funktional miteinander agierenden Komponenten. Das Kernmodul bildet eine Virtual Execution Engine (MVX). Es handelt sich dabei um eine virtuelle Sandboxing-Umgebung, die Web-Objekte, Dateien, verdächtige E-Mail-Anhänge sowie mobile Anwendungen ausführt, um darin enthaltene Schädlinge zu finden. Dafür umfasst die Software mehrere generische virtuelle Sand-Boxen, die als Ablaufumgebung die verschiedenen Windows-Betriebssystemversionen, Browser, Plugins und Anwendungen enthalten. Die Virtual Execution Engine (VX) ist in das so genannte Malware-Protection-System (MPS) integriert. Es besteht aus Appliances für Web-, E-Mail- und Dateisicherheit, die an jedem Gateway im Unternehmen platziert sind und mit der Sandboxing-Umgebung zusammenarbeiten. Zum Beispiel führt es jeden E-Mail-Anhang in der Sandbox aus, und die URLs, die es dabei nicht aussortiert, leitet es an das Web-Gateway weiter. Sobald ein Nutzer die Adresse anklickt, erkennt die Software, woher die URL stammt und gibt sie an die VX Engine zur Analyse weiter. Betreiber können die Software im Monitoring-Modus einsetzen oder auch "inline", das heißt, die Plattform benachrichtigt die Verantwortlichen über vorhandenen Schadcode beziehungsweise leitet auch Maßnahmen im Falle einer Infektion ein, etwa Blockieren von URLs oder eines Kommunikationsstrangs. Fireeye zufolge reagiert die Lösung jedoch nicht sofort, wenn sie einen Schadcode entdeckt, sondern erst dann, wenn ein "Eindringling" ein Callback absetzt. Die Analyse erfolgt immer lokal, doch können Anwender die Ergebnisse ihrer Fireeye-Forensik mit dem Anbieter und den weiteren Kunden in der Dynamic Threat Intelligence (DTI) Cloud teilen. Der Vorteil: Mit der anonymisierten Malware-Intelligenz durch die DTI Cloud erhalten die Teilnehmer kontextbezogene Informationen zu globalen Angriffen, so Fireeye.
Die Autorin auf LANline.de: sfranke
Lesen Sie mehr zum Thema
