Schutz vor komplexen, zielgerichteten Angriffen mit Deep Discovery. Ein Trend Micro Whitepaper Februar 2013

Transkript

1 Schutz vor komplexen, zielgerichteten Angriffen mit Deep Discovery Ein Trend Micro Whitepaper Februar 2013

2 Inhalt Die Fakten im Überblick... 3 Anatomie eines gezielten Angriffs... 3 Trend Micro Deep Discovery: Custom Defense zur individuellen Abwehr von komplexen, zielgerichteten Angriffen...8 Mehr als reine Erkennung: Custom Defense eine umfassende Lösung für flexiblen Schutz vor individuellen Bedrohungen...11 Fazit...13 Seite 2 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery

3 Die Fakten im Überblick Komplexe, zielgerichtete Angriffe (Advanced Persistent Threats, APTs) etablieren sich zunehmend als der neue Standard in der Cyberkriminalität. Diese sehr gezielt durchgeführten, strukturierten Angriffe werden eigens dafür konzipiert, Netzwerke von Unternehmen und Behörden nach wertvollen Daten und Geschäftsgeheimnissen zu durchforsten und sich Zugang zu internen Systemen zu verschaffen. Signifikante Datenverluste bei RSA, der Citibank und Global Payments haben kürzlich für Schlagzeilen gesorgt. In einer aktuellen Umfrage bei Mitgliedern der ISACA gaben 21 % der Befragten an, dass ihr Unternehmen bereits einmal Opfer eines komplexen, zielgerichteten Angriffs geworden ist, und für 63 % ist es lediglich eine Frage der Zeit, bis auch ihr Unternehmen ins Visier genommen wird. 1 Herkömmliche Sicherheitsprodukte bieten zwar durchaus Schutz vor Malware und bei anderen bekannten Sicherheitslücken gegen diese neue Generation individueller, gezielter Bedrohungen, bei denen Angreifer getarnt und schleichend agieren, sind sie jedoch unwirksam. Gartner Research zufolge besteht allgemeine Einigkeit dahingehend, dass komplexe Angriffe unsere herkömmlichen, signaturbasierten Sicherheitsmaßnahmen umgehen und über längere Zeiträume unerkannt bleiben können. Wir haben es hier mit einer realen Bedrohung zu tun. Möglicherweise ist Ihr System schon infiziert Sie wissen es nur noch nicht. 2 Die Bekämpfung dieser individuellen Angriffe erfordert ein neues Konzept, mit dem die Sicherheitslücke, die durch diese neue Generation der getarnt und äußerst raffiniert durchgeführten gezielten Attacken entsteht, geschlossen werden kann. Folgende Aspekte sollten in die Strategie eines Unternehmens gegen komplexe, zielgerichtete Angriffe einfließen: Wie dringen diese in das Unternehmen ein? Wie gehen sie weiter vor? Auch sollte eine solche Strategie eine individuelle Erkennung dieser Bedrohungen ermöglichen und auf das Unternehmen und die jeweiligen Angreifer angepasste Erkenntnisse bereitstellen. Im Idealfall sollte eine solche Lösung zudem hochentwickelte Erkennungstechnologien in die vorhandenen Sicherheitsmaßnahmen eines Unternehmens an Endpunkten und Gateways einbinden, um die Erkennung gezielter Angriffe zusätzlich zu unterstützen. Dieses Whitepaper gibt Aufschluss über die Anatomie gezielter Angriffe und die innere Struktur des Lebenszyklus komplexer, zielgerichteter Bedrohungen (APTs). Ferner enthält es detaillierte Informationen über Trend Micro Deep Discovery zur Abwehr dieser Art von Angriffen und erläutert, wie IT-Verantwortliche eine Custom Defense, d. h. einen flexiblen Schutz vor individuellen Bedrohungen, und damit eine zeitgemäße Strategie für das Risikomanagement zur Abwehr gezielter Angriffe implementieren können. Deep Discovery bildet das Herzstück von Custom Defense der Trend Micro Lösung für flexiblen Schutz vor individuellen Bedrohungen. Anatomie eines gezielten Angriffs APTs sind in hohem Maße raffinierte Angriffe, die für kleine und große Unternehmen gleichermaßen eine reale Bedrohung darstellen. Erfolgreiche Kampagnen wie ShadowNet, Flame, die Angriffe auf Global Payments und zuletzt Red October sind erfolgreiche Beispiele für sorgfältig geplante Angriffe, die auf bestimmte Zielobjekte ausgerichtet waren. Während Cyberangriffe in der Vergangenheit auf Masse ausgerichtet waren und dafür ohne Weiteres entsprechende Sicherheitssignaturen erstellt werden konnten, agiert die hochentwickelte Malware heute im Verborgenen. Die entsprechende Kommunikation wird dabei mit erheblichem Aufwand in scheinbar regulärem Netzwerkverkehr versteckt, sodass eine Verteidigung mit den herkömmlichen, signaturbasierten Konzepten praktisch nicht möglich ist. Ziel dieser getarnten 1:1 -Angriffe ist der Diebstahl von wertvollem geistigen Eigentum, Geld und anderen personen bezogenen Daten. Angesichts der individuellen Konzeption dieser komplexen Malware-Angriffe ist die Erfolgsquote hoch zahlreichen Unternehmen sind hierdurch schon massive Kosten entstanden. Erst im Januar 2013 hat Global Payments, Inc. eine aktualisierte Schadens höhe von 93,9 Mio. Dollar im Zusammenhang mit den im April 2012 aufgedeckten Datenverlusten vermeldet. Um zu verstehen, warum APTs so erfolgreich sind, müssen reale Fälle näher analysiert werden. Nur so lassen sich Einblicke in den Ablauf eines solchen Angriffs und die verwendeten Techniken erhalten. Zur genaueren Betrachtung wurden daher die Angriffe auf RSA und DigiNotar sowie die APT-Kampagne Luckycat herangezogen. 1 ISACA, Advanced Persistent Threats Awarness, Februar Gartner Inc., Best Practices for Mitigating Advanced Persistent Threats, Bericht G , 18. Januar 2012 Seite 3 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery

4 RSA Als EMC im März 2011 einen Angriff auf den Unternehmensbereich RSA bekannt gab, bei dem erfolgreich SecureID- Daten erbeutet wurden, machte dies international rasch Schlag zeilen insbesondere wegen der vielen Millionen SecureID-Token von RSA, die zu dieser Zeit zum Schutz von Unternehmensnetzwerken und Smartphones im Einsatz waren. Im Juni 2011 wurde dann fest gestellt, dass gezielte Angriffe auf Lockheed Martin, L 3 Communications und Northrop Grumman mit den bei RSA gestohlenen SecureID- Daten erst möglich gemacht worden waren. DER ANGRIFF IM ÜBERBLICK: 1. Innerhalb von zwei Tagen wurden zwei Spear-Phishing- Mails mit dem Betreff Personalbeschaffungsplan 2011 und einem gleichnamigen XLS-Anhang an Mitarbeiter der unteren bis mittleren Hierarchieebene gesendet. 2. Diese XLS-Datei enthielt eine Variante des Fernadministrations tools Poison Ivy, mit dessen Hilfe über eine umgekehrte Verbindung und unter Ausnutzung einer Sicherheitslücke von Adobe Flash Player eine Backdoor installiert wurde. 3. Anschließend suchten die Angreifer systematisch nach Anwendern mit umfangreicheren Zugriffs- und Administrationsrechten für relevante Dienste und interessante Server. 4. Danach stellte man einen Zugang zu Staging-Servern für die Datensammlung her. 5. Die für die Angreifer interessanten Daten wurden auf die internen Staging-Server verlagert, zusammengefasst, komprimiert und zum Herausschleusen verschlüsselt. 6. Über FTP wurden kennwortgeschützte RAR-Dateien an ein infiziertes Gerät bei einem Hosting-Anbieter übertragen. 7. Später wurden die Dateien wieder vom Host gelöscht, um die Spuren des Angriffs zu verwischen. DigiNotar Im August 2011 wurde ein Angriff auf das Netzwerk von DigiNotar, eine ehemalige niederländische Zertifizierungsstelle, festgestellt. Infolge dieses Angriffs wurden betrügerische digitale Zertifikate ausgestellt und verwendet, um bösartige Websites und Malware seriös erscheinen zu lassen. Die Täter verschafften sich insbesondere gültige Zertifikate für eine Reihe hochwertiger Domains, darunter auch Yahoo, Mozilla und Google wo man die gefälschten Zertifikate bei einem groß angelegten Man-in-the-middle-Angriff (MITM) auf mehr als Gmail-Nutzer entdeckte. Als der Angriff erkannt wurde, waren diese allerdings schon wochenlang ausgespäht worden. Im September meldete DigiNotar Insolvenz an und beendete seine Geschäftstätigkeit. Sämtliche von DigiNotar signierten Zertifikate wurden von den großen Browser- und Betriebssystemherstellern zurückgezogen. Durch den Datenverlust bei DigiNotar und den anschließenden MITM-Angriff auf Google wurde das Vertrauen der Öffentlichkeit in die bestehende Public-Key-Infrastruktur stark beschädigt. DER ANGRIFF IM ÜBERBLICK: 1. Die Angreifer verschafften sich über Webserver in der externen DMZ Zugang zum Netzwerk. 2. Das Netzwerk von DigiNotar war zum Schutz der acht Zertifikatsserver in zahlreiche Segmente aufgeteilt. Die Angreifer arbeiteten sich systematisch von außen nach innen durch die verschiedenen Schutzringe. 3. Nachdem man sich Zugang zu den Zertifikatsservern verschafft hatte, wurden mehr als 531 (identifizierte) gefälschte Zertifikate ausgestellt. 4. Die gefälschten Zertifikate wurden dann mit einem Tool zur Umgehung des Proxy-Servers durch einen Tunnel an den externen IP-Server der Angreifer übermittelt. Luckycat Die seit Juni 2011 aktive APT-Kampagne Luckycat ist ein groß angelegter Angriff, der einer Gruppe von chinesischen Cyberkriminellen zugeschrieben wird. Er richtete sich gegen mehr als 90 Ziele in Asien, darunter hochrangige Mitarbeiter in Unternehmen der Luft- und Raumfahrt, des Energiesektors und der Maschinenbaubranche. Ursprüngliches Ziel war die dauerhafte Präsenz in den infizierten Systemen zur heimlichen Überwachung von Aktivitäten über einen längeren Zeitraum hinweg. Im Juli 2011 wurde dann eine Malware in Form von zwei noch nicht fertiggestellten und verbreiteten Android-Apps entdeckt, die zur Kommunikation mit dem C&C-Server von Luckycat dienten. DER ANGRIFF IM ÜBERBLICK: 1. Die Angreifer führten Recherchen zu den geplanten Zielobjekten durch, darunter sensible Einrichtungen in Japan und Indien sowie Tibet-Aktivisten. 2. Als Eintrittspunkt wurden hauptsächlich Spear-Phishing- s verwendet. Bei einem japanischen Zielobjekt machte man sich die Wirren nach dem schweren Erdbeben im Osten Japans zunutze, um potenzielle Opfer dazu zu verleiten, einen bösartigen PDF- Anhang zu öffnen. Eine andere, als -Anhang an indische Zieladressen gesendete DOC-Datei sollte angeblich Informationen zum ballistischen Raketenabwehrprogramm Indiens enthalten. 3. Nach dem Öffnen wurde in beiden Fällen ein Köderdokument angezeigt, während die Malware TROJ_WIMMIE aufgrund von Zero-Day- Schwachstellen in Adobe und Word installiert werden konnte. 4. Die herausgeschleusten Daten, darunter die Kampagnencodes des Angriffs, die Identitätsdaten des Opfers und der Inhalt der infizierten Computer und Server, wurden an die C&C-Server von Luckycat gesendet. Seite 4 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery

5 Diese Beispiele machen deutlich, wie hochgradig raffiniert diese Angriffe sind. Auffällig ist auch, dass häufig ein Zusammenhang zwischen Erstangriffen und späteren Angriffszielen besteht (so beispielsweise beim Angriff auf RSA und Lockheed Martin) oder dass Angriffe wiederholt durch ein zusammenhängendes kriminelles Netzwerk über dieselbe oder sogar eine gemeinsame Infrastruktur und mit den gleichen Malware-Komponenten ausgeführt werden. Alle diese erfolgreichen Angriffe waren ganz individuell auf das jeweilige Zielobjekt abgestimmt. Dennoch verlief jeder einzelne von ihnen nach einem sorgfältig geplanten Zyklus, der es den Angreifern ermöglichte, in die Zielorganisation einzudringen und die anvisierten Daten auszuspähen, bevor der Angriff erkannt wurde. Bei eingehenderer Analyse der Anatomie dieser exemplarischen APTs lassen sich sechs verschiedene Phasen unterscheiden: Ablauf eines APT-Angriffs Angreifer 6 1 Informationsbeschaffung Externer Server 3 C&C-Server 5 2 Eintrittspunkt 4 Dateispeicher Datenbank Interessante Daten Laterale Ausbreitung Phase 1: Informationsbeschaffung In dieser Phase betreiben Cyberkriminelle gezielte Recherche zur Identifizierung einzelner Zielpersonen innerhalb der anvisierten Organisation üblicherweise anhand von Informationen in sozialen Netzwerken wie LinkedIn, Facebook und XING. Aus der Fülle der auf diesen Websites bereitgestellten persönlichen Informationen verschaffen sich Angreifer ein umfassendes Wissen über einzelne Angehörige der Organisation, beispielsweise über ihre Position im Unternehmen, Hobbys, Mitgliedschaften in Berufs verbänden und persönliche Beziehungen. Gerüstet mit diesen Informationen bereiten die Angreifer einen individuellen Angriff vor, um sich Zugang zur Zielorganisation zu verschaffen. Der erfolgreiche Angriff auf RSA hat gezeigt, dass sich die Kriminellen in der Phase der Informationsbeschaffung auf eine kleine Gruppe von Mitarbeitern in zwei Bereichen konzentrierten, die mit geschickt formulierten und überzeugend wirkenden s ins Visier genommen wurden. RSA zufolge handelte es sich bei den betreffenden Mitarbeitern nicht um besonders hochrangige oder lohnenswerte Zielpersonen. Dieses Ausspähen von Mitarbeitern einer bestimmten Abteilung oder einer gewünschten Führungs ebene ist mittlerweile gängige Praxis und unterstreicht die Bedeutung von Mitarbeiterschulungen zur Stärkung des Sicherheitsbewusstseins. Seite 5 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery

6 Phase 2: Eintrittspunkt Nachdem sich die Cyberkriminellen die benötigten Informationen zur Zielperson verschafft haben, beginnen sie, einen geeigneten Eintrittspunkt in die Organisation zu entwickeln. Beim Angriff auf DigiNotar beispielsweise wurde eine Netzwerkinfektion gefunden. Erstinfektionen stammen üblicherweise aus Zero-Day-Exploits, über die Malware in das System eingeschleust wird meist über soziale Medien ( , IM, Drive-by-Downloads). Diese Vorgehensweise wurde z. B. beim Angriff auf RSA und bei der Luckycat- Kampagne gewählt. Aktuellen Forschungsergebnissen von Trend Micro zufolge sind bei 91 % der gezielten Angriffe Spear-Phishing- Techniken involviert. Der Angriff auf RSA beispielsweise begann mit Spear-Phishing-Mails an die anvisierten Mitarbeiter, die im Anhang eine Excel-Datei mit dem Titel Personalbeschaffungsplan 2011 enthielten. Beim Öffnen des Arbeitsblatts wurde eine Malware unter Ausnutzung einer bis dato unbekannten Sicherheitslücke von Adobe Flash Player (CVE ) ausgeführt, mit der ein Poison-Ivy-RAT (Tool zur Fernadministration) installiert wurde. Bei der groß angelegten APT-Kampagne Luckycat wurden verschiedene Spear-Phishing-Mails an alle Zielobjekte gesendet, mit denen man sich unter Ausnutzung von Sicherheitslücken in Produkten von Adobe und Microsoft Zugang zu Netzwerken verschaffte. In Japan nutzten die Angreifer die Erdbebenkatastrophe im Jahr 2011 aus, um potenzielle Opfer dazu zu verleiten, einen bösartigen PDF-Anhang mit Messergebnissen zur Strahlenbelastung zu öffnen. Beim Öffnen dieses Anhangs wurde unter Ausnutzung der Sicherheits lücke CVE in Adobe Reader eine Malware (TROJ_WIMMIE) auf dem Zielsystem installiert. Phase 3: Command & Control-Kommunikation Sobald die Malware erfolgreich auf einem infizierten Gerät installiert wurde, kann sie mit den C&C-Servern des Cyberkriminellen kommunizieren, um weitere Anweisungen zu geben oder weitere Malware und Angriffstools herunterzuladen. Über diese C&C- Verbindung kann der Angreifer die betroffenen Computer und die Malware während aller nachfolgenden Angriffsphasen instruieren und überwachen und sich einen dauerhaften Zugang zum Netzwerk verschaffen. In den meisten Fällen werden dazu nach der Erstinfektion weitere ausführbare Malware-Dateien wie Keylogger, Trojaner und Passwortknacker heruntergeladen. Bei der Luckycat-Kampagne wurden in großem Maßstab kostenfreie Hosting-Services für die C&C-Server genutzt. Dabei handelte es sich um eine ganze Reihe verschiedener Domains, die sämtlich von drei kostenfreien Hosting-Services bereitgestellt wurden. Damit standen den Angreifern umfangreiche Ressourcen zur Erstellung weiterer, unterschiedlicher Domain-Namen für ihre C&C-Server zur Verfügung. DOMAIN cattree.1x.biz charlesbrain.shop.co footballworldcup.website.org -ADRESSE lindagreen56@rediffmail.com yamagami_2011@mail.goo.ne.jp ajayalpna@hotmail.com Beispiele für Domains kostenfreier Web- Hosting-Services, die von den Luckycat- Angreifern für C&C-Server verwendet wurden Bei dem APT-Angriff auf DigiNotar wurde eindeutig festgestellt, dass im Angriffszeitraum zwischen dem 17. Juni und dem 24. Juli 2011 häufige C&C-Kommunikationen stattfanden, als versucht wurde, gefälschte Zertifikate zu stehlen. Für den Datendiebstahl bei RSA wurde ein Poison-Ivy-RAT mit umgekehrter Verbindung verwendet, um den Angriff vom externen Standort aus zu steuern. Seite 6 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery

7 Phase 4: Laterale Ausbreitung und dauerhafte Präsenz Nachdem es Angreifern einmal gelungen ist, das Netzwerk zu infiltrieren, wird es systematisch durchforstet. Weitere Computer werden angegriffen, um Anmeldedaten auszuspionieren und Berechtigungen auszuweiten. Der Angreifer sammelt auch strategische Informationen über die IT-Umgebung (Betriebssysteme, Sicherheitslösungen und Netzwerkarchitektur), um eine dauerhafte Kontrolle über die Zielorganisation zu erlangen. Beim Angriff auf DigiNotar verschaffte sich der Eindringling mithilfe verschiedener Tools höhere Zugriffslevel im Netzwerk, u. a. auf Umleitungen von Ports, Scan-Tools und Tools zur Ausführung von Remoteprozessen. Beim RSA-Datendiebstahl erbeuteten die Angreifer mit den ersten infizierten Konten Anmeldedaten, darunter Benutzernamen, Kennwörter und Domain-Informationen, und richteten ihre Angriffe dann gegen lohnendere Konten mit höheren Zugriffsrechten. Nach Einschätzung von Uri Rivner, ehemaliger Leiter des Bereichs New Technologies and Identity Protection bei RSA, ist dies einer der Hauptgründe, warum es so wichtig ist eine komplexe, zielgerichtete Bedrohung schnell zu entdecken, wenn die erste Phase des Social Engineering nicht verhindert werden konnte. In vielen Fällen hatten die Angreifer monatelang Zeit, die Angriffsopfer auszuspähen, Netzwerk und Ressourcen zu erfassen und auszukundschaften, auf welchem Weg sie an die Daten gelangen konnten, auf die sie es abgesehen hatten. Anschließend nutzten sie die infizierten Konten in Verbindung mit verschiedenen anderen Taktiken, um sich Zugang zu Anwendern mit höherem strategischen Nutzen zu verschaffen. Beim Angriff auf RSA war der Zeitraum kürzer dennoch hatten die Angreifer Zeit, strategisch interessantere Anwender zu identifizieren und sich den entsprechenden Zugang zu verschaffen. Phase 5: Erkennen von Werten/Daten Bei einem komplexen Malware-Angriff haben es Cyberkriminelle auf wertvolle Beute abgesehen. Dabei kann es sich um Finanzdaten, Geschäftsgeheimnisse, Quellcode oder Sonstiges handeln bemerkenswerterweise wissen Angreifer bei der Auswahl einer Zielorganisation genau, welche Daten von Interesse sind. Wie beim RSA-Datendiebstahl zu beobachten war, hatten es die Angreifer auf die Zwei-Faktor-Authentifizierung mittels SecureID abgesehen, und beim Angriff auf DigiNotar wurden gefälschte Zertifikate erstellt und gestohlen. Ziel des Angreifers ist es, die für ihn interessanten Daten schnellstmöglich zu identifizieren und dabei unbemerkt zu bleiben. Zur Erkennung von Werten und Daten setzen Angreifer verschiedene Techniken ein, um die Server und Services zu identifizieren, auf denen die für ihn interessanten Daten gespeichert sind. Mögliche Vorgehensweisen: Überprüfen der Konfiguration des -Clients des infizierten Hosts, um den -Server zu lokalisieren Lokalisieren von File-Servern durch Überprüfung des Hosts auf die aktuell verbundenen Netzlaufwerke Identifizieren von internen Webdiensten, z. B. CMS- oder CRM-Servern, anhand des Browserverlaufs Durchsuchen des lokalen Netzwerks nach Ordnern, die für andere Endpunkte freigegeben wurden Phase 6: Herausschleusen von Daten In dieser letzten Phase eines gezielten Angriffs werden vertrauliche Daten erfasst und dann an einen internen Staging-Server geleitet, wo sie in einzelne Chunks zerlegt, komprimiert und häufig für die Übertragung an externe Stellen verschlüsselt werden. Beim Angriff auf DigiNotar haben die Cyberkriminellen nach der Infizierung der Server der Zertifizierungsstelle ihren Vollzugriff genutzt, um betrügerische, jedoch gültige Zertifikate zu erstellen, und diese dann aus dem Netzwerk von DigiNotar herausgeschleust und auf eigenen Servern gespeichert. Beim Angriff auf RSA wurden die Zieldaten lokalisiert, in einem Staging-Bereich gesammelt, komprimiert und anschließend über eine FTP-Verbindung entwendet. Seite 7 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery

8 Trend Micro Deep Discovery: Custom Defense zur individuellen Abwehr von komplexen, zielgerichteten Angriffen Mit signaturbasierten, universellen Standardsicherheitsprodukten können individuelle Bedrohungen durch gezielte Angriffe hochmotivierter Täter nicht abgewehrt werden. Malware, Kommunikation und Hackeraktivitäten, die bei komplexen, zielgerichteten Angriffen zum Einsatz kommen, bleiben für Standardschutz mechanismen am Endpunkt, Gateway und im Netzwerk unsichtbar. Analysten und Experten für Informationssicherheit empfehlen eine neue Art der Netzwerküberwachung mit spezialisierten Erkennungs- und Analysetechniken, die eigens auf die Entdeckung verräterischer Anzeichen für diese Angriffe ausgerichtet sind. Trend Micro Deep Discovery ist ein führendes Produkt auf diesem Gebiet. Die Lösung ermöglicht die Implementierung eines vollständigen Lebenszyklus aus Erkennung, Analyse, Anpassung und Reaktion zum Schutz vor derartigen Angriffen. Deep Discovery besteht aus zwei Komponenten: Deep Discovery Inspector und Deep Discovery Advisor. Deep Discovery Inspector überprüft den Netzwerkverkehr, bietet hochentwickelte Technologien zur Erkennung von Bedrohungen und erstellt Analysen und Reports in Echtzeit. Diese Funktionen werden im ersten Teil dieses Abschnitts näher erläutert. Die optionale Komponente Deep Discovery Advisor bietet eine offene, skalierbare und benutzerdefinierte Sandbox-Analyse, mit der sich die Schutzfunktionen vorhandener Sicherheitsprodukte (beispielsweise von - und Internet-Gateways) erweitern lassen. Darüber hinaus ermöglicht sie die transparente Darstellung netzwerkweiter Sicherheitsereignisse sowie die Bereitstellung von Sicherheitsupdates alles auf einer einheitlichen Informationsplattform. Deep Discovery Advisor bildet die Grundlage für den vollen Leistungsumfang von Custom Defense der Trend Micro Lösung für flexiblen Schutz vor individuellen Bedrohungen, zu der Sie im nächsten Abschnitt mehr erfahren. Deep Discovery Inspector Überwachung des Netzwerkverkehrs Erkennung individueller Bedrohungen Analyse und Reporting in Echtzeit Deep Discovery Advisor Offene, benutzerdefinierte Sandboxing-Plattform Ausführliche Untersuchung und Analyse Angepasster Schutz vor individuellen Bedrohungen Seite 8 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery

9 FUNKTIONSWEISE VON DEEP DISCOVERY INSPECTOR Bösartige Inhalte Verdächtige Kommunikation Angriffsverhalten ANGRIFFSERKENNUNG s mit eingebetteten Exploits in Dokumenten Drive-by-Downloads Zero-Day- und bekannte Malware Command-and-Control-Kommunikation für alle Malware-Typen: Bots, Downloader, Würmer, datenstehlende Malware und komplexe Bedrohungen Backdoor-Aktivitäten des Angreifers Malware-Aktivität: Malware- und Spam- Verbreitung, Downloads usw. Angreiferaktivität: Suchläufe, gewaltsame Eintrittsversuche, Ausnutzen von Services usw. Herausschleusen von Daten ERKENNUNGSMETHODEN Dekodieren und Dekomprimieren von eingebetteten Dateien Sandbox-Simulation verdächtiger Dateien Erkennung von Exploit-Kits in Browsern Malware-Suche (Signatur und Heuristik) Zielanalyse (URL, IP, Domain, , IRC-Kanal usw.) über dynamische Blacklists und Whitelists Web-Reputation-Prüfung durch das Smart Protection Network Regeln für Kommunikationsmerkmale Regelbasierte, heuristische Analyse Identifikation und Nutzungsanalyse von hunderten von Protokollen und Anwendungen, einschließlich HTTP-basierter Apps BEDROHUNGSPROFIL Welche Merkmale weist die Malware auf, welchen Ursprung hat sie und welche Varianten gibt es? VERKNÜPFTE IPS/DOMAINS Welche C&C-Kommunikation wird für den Angriff bekanntermaßen verwendet? ANGRIFFSGRUPPEN/-KAMPAGNEN Wer sind die Drahtzieher hinter derartigen Angriffen? EINDÄMMUNG UND BESEITIGUNG Welche Erkennungsmerkmale und Maßnahmen zur Beseitigung gibt es? Seite 9 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery

10 Deep Discovery Inspector wurde speziell zur Erkennung komplexer, zielgerichteter Angriffe (APTs) entwickelt. Bös artige Inhalte, verdächtige Kommunikation und auffällige Verhaltensweisen, die auf komplexe Malware- oder Angreifer aktivitäten hindeuten können, werden in jeder Phase der Angriffswelle identifiziert. Deep Discovery Inspector bekämpft Bedrohungen in drei Stufen: von der ersten Erkennung über eine Simulation und Korrelation bis hin zu einer endgültigen übergreifenden Einstufung. So können gezielte Angriffe, die normaler weise über einen längeren Zeitraum verborgen bleiben, problemlos aufgespürt werden. Spezielle Erkennungs- und Korrelationsengines sorgen für einen hochpräzisen und aktuellen Schutz basierend auf globalen Erkenntnissen über Bedrohungen aus dem Trend Micro Smart Protection Network. Dedizierte Bedrohungsforscher stellen kontinuierlich aktualisierte Korrelationsregeln für Vorkommnisse bereit und definieren Verhaltensweisen und Kommunikationsmerkmale zur Erkennung gezielter Angriffe. Dies ermöglicht eine hohe Erkennungsrate mit einer niedrigen False-Positive-Quote und detaillierte Reports über Vorfälle, um einen Angriff so schnell wie möglich unter Kontrolle zu bringen. KERNTECHNOLOGIEN Prüfengines für Netzwerkinhalte Deep-Packet-Inspection-Engines sorgen für Protokollerkennung, -entschlüsselung, -dekomprimierung und Dateiextraktion für sämtliche Ports und viele hundert Protokolle. Hochentwickelte Scan-Engines Die Malware-Suche wird mit dynamischen heuristischen Suchmethoden kombiniert. So werden sowohl bekannte als auch unbekannte Malware und Exploits in Dokumenten erkannt. Benutzerdefinierte Sandbox-Analysen Mit einem virtualisierten Sandbox-Analysesystem werden Bedrohungen anhand kundenspezifischer Images untersucht, die genau den Zielumgebungen entsprechen. Dadurch ist eine präzise Erkennung sichergestellt und Fehlalarme werden reduziert. Erkennungs- und Korrelationsregeln Von Angreifern genutzte Verhaltensweisen und Kommunikationstechniken werden anhand von Erkennungs- und Korrelationsregeln aufgespürt, die von Trend Micro Bedrohungsforschern sowie basierend auf den umfassenden Erkenntnissen aus dem Smart Protection Network entwickelt und laufend aktualisiert werden. Trend Micro Smart Protection Network Der erste und umfassendste weltweite Bedrohungsinformations- und Reputationsservice stellt durch die Verarbeitung von mehr als 16 Mrd. Anfragen täglich sicher, dass alle weltweit auftretenden Bedrohungs varianten von Deep Discovery erkannt werden. Threat Connect-Informationsportal Dieses Portal liefert sämtliche relevante Erkenntnisse zu einem gezielten Angriff auf einen Kunden, einschließlich der Merkmale, des Ursprungs und der Varianten der Malware, der entsprechenden C&C IPs, des Angreiferprofils und der empfohlenen Abhilfemaßnahmen. Seite 10 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery

11 Mehr als reine Erkennung: Custom Defense eine umfassende Lösung für flexiblen Schutz vor individuellen Bedrohungen Eine optimale Lösung zur Abwehr von komplexen, zielgerichteten Bedrohungen sollte nicht nur die individuelle Erkennung und Analyse von Angriffen auf Netzwerkebene umfassen, sondern darüber hinaus hochentwickelte Erkennungstechnologien in vorhandene Sicherheitsmaßnahmen für Endpunkte, Messaging und Gateways einbinden. Auf diese Weise können die bereits getätigten Investitionen in die IT-Sicherheit optimal ausgeschöpft und zusätzlich verstärkt werden. Wird ein Angriff an einem geschützten Punkt erkannt, können andere Schutzpunkte automatisch aktualisiert werden, um weitere Angriffe zu verhindern auch in heterogenen Sicherheits umgebungen mit Lösungen unterschiedlicher Hersteller. Im Idealfall sollte eine Lösung die weltweiten Erkenntnisse über Bedrohungen eines führenden Sicherheits anbieters zur Bedrohungserkennung nutzen und auf dieser Grundlage auch Informationen zum Bedrohungs profil eines spezifischen Angriffs auf ein Unternehmen bereitstellen. Und schließlich sollte eine optimale Lösung dieses Profil mit einer netzwerkweiten Ereignisanalyse verknüpfen, um eine schnelle Eindämmung und Beseitigung von Bedrohungen sicherzustellen. Kurz: Die ideale Lösung zum Schutz gegen komplexe, zielgerichtete Bedrohungen geht über die reine Erkennung hinaus und stellt mit Custom Defense einen vollständigen Lebenszyklus mit den Komponenten Erkennung, Analyse, Anpassung und Reaktion bereit, der individuell auf das spezifische Unternehmen und die jeweiligen Bedrohungen abgestimmt ist. Trend Micro ist davon überzeugt, dass gezielte Angriffe mit einer Strategie für flexiblen Schutz vor individuellen Bedrohungen optimal bekämpft werden können. Praktisch umgesetzt wurde dies mit der Bereitstellung einer umfassenden Custom Defense auf der Grundlage von Trend Micro Deep Discovery. Trend Micro Custom Defense verknüpft die gesamte Sicherheitsinfrastruktur eines Unternehmens engmaschig zu einer kundenspezifischen und adaptiven Sicherheitslösung, die genau auf die spezifische Unternehmens umgebung und die jeweiligen Angreifer abgestimmt ist. Mit einer benutzerdefinierten Sandbox-Analyse sowie individuell abgestimmten Erkenntnissen und Sicherheitsupdates ermöglicht Custom Defense nicht nur die Erkennung und Analyse von komplexen, zielgerichteten Angriffen, sondern sorgt auch für die schnelle Anpassung der Schutzmechanismen und Reaktionen auf diese Angriffe. FUNKTIONSWEISE VON CUSTOM DEFENSE DER TREND MICRO LÖSUNG FÜR FLEXIBLEN SCHUTZ VOR INDIVIDUELLEN BEDROHUNGEN ERKENNEN was Standardsicherheitslösungen nicht erkennen können Weiter oben haben Sie erfahren, wie Trend Micro Deep Discovery durch netzwerkweite Überwachung auf Zero-Day-Malware, bösartige Kommunikation und verdächtige Verhaltensweisen Angriffe erkennt, die für Standard-Sicherheitsmechanismen unsichtbar sind, und so Schutz vor komplexen Bedrohungen bietet. Die Sandbox-Simulation von Deep Discovery kann in Verbindung mit anderen Trend Micro Produkten, z. B. für die Messaging-Sicherheit, genutzt werden, um Spear-Phishing- und Social-Engineering-Exploits abzuwehren, die häufig in der ersten Phase eines gezielten Angriffs zum Einsatz kommen. Zudem unterstützt Deep Discovery eine offene Schnittstelle für Webservices, über die das benutzerdefinierte Sandboxing mit jedem beliebigen Sicherheitsprodukt integriert werden kann. ANALYSIEREN mit globalen und lokalen Erkenntnissen in Echtzeit Wird ein Sicherheitsvorfall erkannt, erstellen die Analysefunktionen von Deep Discovery und die angriffsspezifischen Erkenntnisse über Bedrohungen aus dem Trend Micro Smart Protection Network und dem Threat Connect-Portal ein aussagekräftiges Bedrohungs profil. Aus diesem Profil können eingehende Erkenntnisse zum Risiko, zur Quelle und zu den Eigenschaften des Angriffs gewonnen werden, die bei der Priorisierung von Eindämmungs- und Beseitigungsmaßnahmen helfen. Der hohe Detaillierungsgrad dieser Bedrohungs profile bildet auch die Grundlage mit Custom Defense der Trend Micro Lösung für flexiblen Schutz vor individuellen Bedrohungen Schutzfunktionen individuell anzupassen. Seite 11 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery

12 ANPASSEN der Abwehr an Schutzpunkten, um neue Bedrohungen zu blocken Um den Schutz vor weiteren Angriffen sofort anzupassen und zu verbessern, nutzt Custom Defense von Trend Micro detaillierte Bedrohungsprofile zur Aktualisierung des Smart Protection Network und zur Erstellung automatisierter, individueller Sicherheitsupdates (IP-/Domain-Blacklists und Sicherheitssignaturen) für vorhandene Trend Micro Produkte in einer Kundenumgebung, z. B. für Gateway-, Server- und Endpunkt-Sicherheitsprodukte. Durch den Einsatz einer offenen und erweiterbaren Plattform kann die Lösung zudem Sicherheitsupdates für Sicherheitsprodukte von Drittanbietern bereitstellen, die möglicherweise bereits ein wichtiger Teil der tiefergehenden Abwehrstrategie des Unternehmens sind. REAGIEREN mit schnellen Empfehlungen für die Eindämmung und Beseitigung Schließlich liefert Custom Defense die Trend Micro Lösung für flexiblen Schutz vor individuellen Bedrohungen eine umfassende Kontexttransparenz hinsichtlich eines Angriffs. Dazu wird das detaillierte Bedrohungsprofil mit den Ergebnissen spezialisierter Tools zur Reaktion auf Angriffe sowie Erkenntnissen aus der netzwerkweiten Erfassung und Analyse von Sicherheitsvorfällen verknüpft. Alternativ dazu können das Bedrohungsprofil und andere Erkenntnisse mit einem bereits vorhandenen SIEM-System geteilt werden. Damit verfügen Unternehmen über die nötigen Informationen, um den Prozess zur Eindämmung und Beseitigung von Bedrohungen zu beschleunigen und gegebenenfalls die zuständigen Behörden zu informieren. ERKENNEN TREND MICRO Custom Defense die Lösung für flexiblen Schutz vor individuellen Bedrohungen Schutz vor gezielten Angriffen und Analyse ANALYSIEREN ANPASSEN REAGIEREN Hochentwickelte Sicherheitslösungen Sicherheitsupdates Forensik, Eindämmung, Beseitigung Seite 12 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery

13 Fazit Mit komplexen, zielgerichteten Angriffen lassen sich herkömmliche Sicherheitsmechanismen erfolgreich umgehen. Die meisten IT-Experten gehen heute davon aus, dass auch ihr Unternehmen bereits angegriffen wurde. Einem Artikel von Mathew Schwartz in der Information Week Security zufolge gehen Angreifer bei [APTs] getarnt und schleichend vor, mit einer Methode, die schwer zu entdecken ist, aber mit hoher Wahrscheinlichkeit zum Erfolg führt. Die Angreifer brauchen lediglich einen einzigen Mitarbeiter zum Öffnen einer Malware verleiten, die eine Zero-Day-Schwachstelle ausnutzt, und schon haben sie nicht nur Zugriff auf den PC dieses Mitarbeiters, sondern möglicherweise auf das gesamte Unternehmensnetzwerk. Die Analyse erfolgreicher APT-Angriffe hat gezeigt, dass diese Bedrohungen höchst raffiniert aufgebaut sind. Der Zugang zum Ziel objekt wird mit einer hoch spezialisierten und individuell abgestimmten Vorgehensweise erlangt. Um die Sicherheitslücken zu schließen, auf die diese neue Generation von Angriffen abzielt, wird auch ein Sicherheitskonzept der neuen Generation benötigt. Auch wenn jeder Angriff individuell auf das jeweilige Zielobjekt zugeschnitten ist die zentralen Phasen ihres Lebenszyklus stimmen überein: Informationsbeschaffung Eintrittspunkt C&C-Kommunikation Laterale Ausbreitung Erkennen von Werten/Daten Herausschleusen von Daten Ein leistungsstarker Schutz vor komplexen, zielgerichteten Bedrohungen erfordert detaillierte Erkennungs- und Analysefunktionen in allen Phasen des Angriffszyklus. Eine entsprechende Verteidigungsstrategie ist daher ein überaus wichtiger Bestandteil bei der Planung von IT-Sicherheitsprojekten für 2013 in Unternehmen. Mit Trend Micro Deep Discovery steht eine Schlüssellösung zur Abwehr gezielter Angriffe zur Verfügung. Als einzigartige Lösung erkennt und identifiziert Deep Discovery versteckte (getarnte) Bedrohungen in Echtzeit und liefert im Anschluss eine ausführliche Analyse sowie relevante, aufschlussreiche Erkenntnisse speziell für die jeweilige Unternehmensumgebung. Trend Micro Incorporated leistet Pionierarbeit im Bereich Content-Sicherheit und bei der Bewältigung von Bedrohungen. Das 1988 gegründete Unternehmen bietet Privatpersonen und Unternehmen jeder Größe mehrfach ausgezeichnete Sicherheitssoftware, -hardware und -services. Der Hauptfirmensitz befindet sich in Tokyo. Trend Micro unterhält Niederlassungen in über 30 Ländern und vertreibt seine Produkte weltweit durch Corporate- und Value-Added-Reseller und Service-Provider. Weitere Informationen und Testversionen der Trend Micro Produkte und Services finden Sie auf unserer Website unter TREND MICRO Deutschland GmbH Central & Eastern Europe Zeppelinstraße Hallbergmoos Tel: +49 (0) Fax: +49 (0) Trend Micro (Schweiz) GmbH Schaffhauserstrasse 104 CH-8152 Glattbrugg Tel: Fax: Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro, das Trend Micro T-Ball-Logo und Smart Protection Network sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- bzw. Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer. Die in diesem Dokument enthaltenen Informationen können sich ohne vorherige Ankündigung ändern. [WP01_DeepDiscovery_130219DE] Ihr kostenfreier Kontakt zu Trend Micro: D: oder sales_info@trendmicro.de AT: oder sales_info@trendmicro.at CH: oder sales_info@trendmicro.ch Seite 13 von 13 Trend Micro Whitepaper Abwehr komplexer, zielgerichteter Bedrohungen mit Deep Discovery