Sourcefire erweitert Portfolio um neue Lösung Fireamp
Malware-Abwehr per Event-Log-Analyse in der Cloud
Security-Spezialist Sourcefire, bislang vor allem bekannt als Hersteller von IPS-Geräten (Intrusion Prevention System), stellt heute die Lösung Fireamp zur Abwehr von Malware vor. Fireamp nutzt Algorithmen zur Analyse umfangreicher Datenbestände ("Big Data Analytics"), um auch die heutzutage immer raffinierter vorgehenden Malware-Angriffe durch umfassende Event-Korrelationen zu entdecken. Ein Unternehmen könne daraufhin schnell eine passende Signatur zur Abwehr des Schädlings ausbringen. Mit Fireamp baut der Anbieter, der erst im Dezember eine neue Produktlinie von Next-Generation Firewalls (NGFWs) vorgestellt hatte, sein Portfolio erneut erheblich aus.
„Intelligence-Driven Information Security“ zur Abwehr von APTs
Risiko-Management im Cloud-Zeitalter: Sourcing mit Bedacht
Sourcefire kombiniert Next-Generation Firewall mit Next-Generation IPS
Sourcefire verspricht mit Fireamp eine „Advanced Malware Protection” und damit Schutz vor der aktuellen Generation ausgefeilter Malware. Um dies zu erreichen, nutzt die Lösung eine Cloud-basierte Infrastruktur namens Firecloud, die für die Datensammlung sorgt und mittels Big-Data-Analyse Informationen auch zu sehr umfangreichen Dateibeständen liefert. Dies, so Sourcefire, ermögliche bei der Malware-Erkennung eine höhere Trefferquote als die mit herkömmlichen Antivirenlösungen erzielbaren 50 Prozent.
Die Pointe an Sourcefires Vorgehen: Fireamp speichert sämtliche Veränderungen an Dateien ab deren erstmaligem Auftreten im Unternehmensnetz. Durch die Untersuchung eines Dateistatus samt seiner Historie, so der Security-Spezialist, sei man in der Lage, den Ursprung von Malware zu identifizieren, auch wenn die bösartige Fracht einer Datei erst Monate nach deren Download oder Import aktiv wird. Dies erleichtere das Auffinden der Malware-Eintrittspunkte ins Unternehmen erheblich.
Fireamp nutzt einen agentenbasierten Ansatz, um die Endgeräte mit der Analyse-Engine in der Cloud kommunizieren zu lassen. Der Agent arbeitet laut Hersteller leistungsschonend, es würden auch nur Metadaten gespeichert, was den Speicherbedarf reduziere. Durch den Agentenansatz ist die Lösung zumindest derzeit nur für die marktüblichen Windows-Betriebssysteme ab Windows XP SP 2 verfügbar. Zu einem möglichen künftigen Support von Macs, virtuellen Desktops oder auch Mobile-Device-Plattformen wollte der Anbieter keine Aussage machen.
Das Kundenunternehmen kann laut Sourcefire auf das Erkennen von Malware hin einfach und schnell eigene Signaturen erstellen, um die entdeckte Angriffssoftware per Blacklisting unmittelbar auszusperren. Zugleich biete die Lösung detaillierte Informationen zu dem Verhalten und der Verbreitung der Malware, gestützt durch Sourcefires Vulnerability Research Team (VRT). Dank der Cloud-basierten Auswertung historischer Daten sei auch die nachträglich Analyse und Beseitigung von Malware möglich.
Das Web-basierte Reporting-Interface zeigt in anschaulicher Darstellung wichtige Details wie die von Malware befallenen Rechner und liefert Angaben über die weltweite Verbreitung der Malware. Dazu zieht Sourcefire Informationen aus seinem auf Privatanwender ausgelegten Cloud-Service Immunet heran. So könne ein Administrator schnell erkennen, ob ein bestimmter Angriff Teil einer umfassenden Malware-Verbreitung ist oder es sich eher um einen gezielten Einzelangriff zum Beispiel in Form eines APTs (Advanced Persistent Threat) handelt. Laut Sourcefire-Angaben tritt 75 Prozent der Malware in einem Unternehmensnetz nur einmalig auf, befällt also nur einen einzelnen Rechner – der aber dann häufig mit zahlreichen bösartigen Programmen verseucht ist.
Bei Fireamp handelt es sich um die für den Unternehmenseinsatz aufgebohrte Anti-Malware-Lösung für Consumer des Anbieters Immunet, den Sourcefire vor einem Jahr akquiriert hat. Die Preise für die Lösung beginnen bei 30 Dollar pro überwachtem Rechner.
Im Hinblick auf Datenschutzbedenken gegenüber US-amerikanischen Cloud-Services legt Sourcefire Wert auf die Feststellung, dass die Cloud-basierte Analyse der Event-Logs in einem RZ in Irland erfolge und auch kein Datenaustausch mit dem Data Center in den USA stattfinde.
Weitere Informationen finden sich unter www.sourcefire.com/fireamp.
Lesen Sie mehr zum Thema
