Detect-to-Protect-Ansatz in der IT-Sicherheit scheitert auch bei Mining-Malware

EB
 
0.0 (0)
Bewertung schreiben

Immer neue Spielarten treten in der Cyber-Kriminalität zutage. Neuestes Beispiel liefert die Mining-Malware: Auch hier zeigt sich, dass der traditionelle Detect-to-Protect-Ansatz in der IT-Sicherheit bei neuen Angriffsszenarien letztlich immer zum Scheitern verurteilt ist, konstatiert Sicherheitssoftware-Anbieter Bromium.

Unternehmen investieren jedes Jahr Unsummen, um die IT-Sicherheit aufrechtzuerhalten, Bedrohungen aufzuspüren und Datenverlust zu verhindern. Dabei dominieren nach wie vor klassische Sicherheitsmaßnahmen, die dem Grundprinzip Detect-to-Protect folgen, das heißt, die genutzten Tools sind einzig und allein auf die Erkennung von Angriffen ausgerichtet. Die Folge ist offensichtlich: Die Anzahl der Sicherheitsvorfälle nimmt dramatisch zu, denn diese herkömmlichen Sicherheitslösungen führen beim Auftreten neuer Phishing-Attacken, Ransomware, Trojaner oder Advanced Persistent Threats (APTs) unweigerlich ins Leere, so auch bei den aktuellen Mining-Malware-Attacken.

Bei Mining-Malware handelt es sich um Malware, die für das Kryptomining genutzt wird. Angreifer verschaffen sich dabei – oft mittels Phishing-Mails – Zugang zu CPU- und GPU-Rechenressourcen von Unternehmen, um Kryptowährungen zu schürfen. Dieser Ressourcendiebstahl erfolgt vielfach völlig unbemerkt vom Endanwender.

„Das Grundproblem herkömmlicher Sicherheitslösungen ist, dass sie auf die Malware-Erkennung etwa mittels Signaturen oder Verhaltensanalysen angewiesen sind. Es liegt auf der Hand, dass bisher unbekannte Schadsoftware wie aktuell die Mining-Malware auf diese Weise nur schwerlich diagnostizierbar ist“, erklärt Jochen Koehler, Regional Director DACH bei Bromium in Heilbronn. „Die einzig logische Konsequenz lautet, eine strikte Isolation der Gefahrenherde durchzuführen, anstatt es weiterhin mit der Detektion zu versuchen.“

Etliche Softwareanbieter schlagen den Isolationsweg ein, das technische Mittel der Wahl heißt dabei vielfach Virtualisierung; prominentes Beispiel ist Microsoft mit seiner Virtualization-Based-Security (VBS)-Technologie, die zentrale Betriebssystem-Services bei der Enterprise-Edition von Windows 10 isoliert. Auch Bromium setzt bei seiner Lösung Secure Platform auf Virtualisierung. Zentrale Komponenten sind ein Xen-basierter, speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen. Bei der Bromium-Lösung werden Hardware-isolierte Micro-VMs für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen realisiert. Bromium erweitert damit das auf Betriebssystem-Services bezogene VBS von Microsoft Windows 10. Die Bromium-Lösung ist zum einen schon unter Windows 7 und 8.1 einsetzbar und isoliert zum anderen gängige Browser sowie Office- und PDF-Dokumente aus E-Mail-Anhängen oder portablen Speichermedien. Eine Kompromittierung des Endpunkts und des Unternehmensnetzes über diese Angriffspfade ist damit ausgeschlossen.

Generell können mit Virtualisierung und Isolation aller Aktivitäten, die das Unternehmensnetz potenziell gefährden, die Sicherheitslücken, die prinzipbedingt bei traditionellen Applikationen vorhanden sind, geschlossen werden. Das heißt, alle Angriffe werden unschädlich gemacht. Und gegenüber traditionellen Sicherheitslösungen bestehen noch weitere Vorteile. Beispiele sind:

• der mit False Positives verbundene Analyseaufwand entfällt

• False Negatives bleiben ohne Auswirkungen, da Bedrohungen isoliert sind

• das Neuaufsetzen von Endgeräten infolge einer Malware-Infektion entfällt

• das Security-Patching für Applikationen und Betriebssysteme kann geplant werden und die aktuell vielfach erforderlichen Emergency-Patches sind überflüssig.

„Auch wenn Virtualisierung die Begrenztheit klassischer Sicherheitslösungen überwindet, überflüssig werden sie dadurch nicht“, so Koehler. „Natürlich müssen etwa Antiviren-Tools elementarer Bestandteil jeder Sicherheitsarchitektur bleiben. Aber – und das ist das Entscheidende – sie müssen komplementär ergänzt werden, und zwar durch Lösungen, die nicht auf die Detektion von Schadsoftware angewiesen sind, also durch Lösungen, die einen gezielten Schutz vor Malware durch Isolation bieten.“

Art Veröffentlichung:
Mehrfach
IT-Thema des Eintrags?
IT-Sicherheit
Kontaktdaten Unternehmen / Pressekontakt:

PR-COM GmbH
Franziska Fricke
Sendlinger-Tor-Platz 6
80336 München
Telefon (089) 59997-707
Fax (089) 59997-999
www.pr-com.de
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Inhalt weiterempfehlen / teilen:

Benutzer-Bewertungen

In diesem Beitrag gibt es noch keine Bewertungen.
Haben Sie schon ein Konto?
Ratings
Bewerten Sie den Artikel:
Fachartikel
Für die Bewertung des Fachartikels, wie ist Ihr Status zum Thema oder wie schätzen Sie sich ein?
Datenschutz Kommentar
Durch das Anhaken der folgenden Checkbox und des Buttons "Absenden" erlaube ich www.ecin.de die Speicherung meiner oben eingegeben Daten:
Um eine Übersicht über die Kommentare / Bewertungen zu erhalten und Missbrauch zu vermeiden wird auf www.ecin.de der Inhalt der Felder "Name", "Titel" "Kommentartext" (alles keine Pflichtfelder / also nur wenn angegeben), die Bewertung sowie Deine IP-Adresse und Zeitstempel Deines Kommentars gespeichert. Sie können die Speicherung Ihres Kommentars jederzeit widerrufen. Schreiben Sie uns einfach eine E-Mail: "redaktion / at / ecin.de". Mehr Informationen welche personenbezogenen Daten gespeichert werden, finden Sie in unserer Datenschutzerklärung.
Ich stimme der Speicherung meiner personenbezogenen Daten zu:
Kommentare

Haftungsausschluss Fachartikel

ECIN.de bietet unter www.ecin.de/fachartikel einen Bereich zum Veröffentlichen von (werblichen) Fachartikeln. Dies bedeutet, dass zwar Fachwissen von Experten vermittelt wird, aber gleichzeitig auch die Tätigkeiten eines Experten oder eines Unternehmens in Form von Textinhalten und Verlinkungen präsentiert werden können.

Für den Inhalt der Fachartikel ist allein deren Urheber verantwortlich.

ECIN.de distanziert sich von dem Inhalt der Fachartikel. Der Inhalt der Fachartikel wurde von ECIN.de weder auf ihre Richtigkeit noch darauf überprüft, ob damit die Rechte Dritter verletzt werden.

Wenn Ihnen ein Rechtsverstoß auffällt kontaktieren Sie ECIN.de