Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System

Transkript

1 Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System Der Echtzeit-Kontextaustausch ermöglicht frühe Angriffserkennung sowie adaptiven Bedrohungsschutz

2 Inhalt Kurzfassung...3 Nachhaltiger Vorteil...4 Bausteine für adaptiven Bedrohungsschutz....4 End-to-End-Immunisierung und Anpassung....4 Data Exchange Layer: Datenaustausch in Echtzeit...5 Threat Intelligence Exchange: Die Macht des Wissens nutzen....6 Der Turbo für bestehenden Endgeräteschutz....6 Überprüfung umfangreicher Daten für mehr Klarheit und schnelle Reaktion...7 Sofortiger Austausch von Bedrohungsdaten....7 Szenario 1: Reaktion basierend auf kollektiv erfassten Daten....8 Szenario 2: Einbindung von Advanced Threat Defense für tiefgehende Analyse....9 Szenario 3: Schnellere Angriffserkennung dank Enterprise Security Manager Neue Abwehrtaktiken Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System 2

3 Kurzfassung Zum zweiten Mal in Folge befragte, ein Geschäftsbereich von Intel Security, auf der Konferenz Black Hat Sicherheitsexperten zu den Herausforderungen in Bezug auf hochentwickelte Malware, die bei wenig verbreiteten und gezielten Angriffen zum Einsatz kommt. Trotz umfassender Investitionen in vermeintlich todsichere Produkte stand die Malware-Erkennung weiterhin ganz oben auf der Liste der Probleme. Als erster Schritt zur Erkennung muss das Signal aus den unwichtigen Informationen herausgefiltert werden. Dabei gilt es jedoch, False-Positives zu vermeiden, was als zweithäufigstes Problem genannt wurde (von 25 Prozent der Befragten). Zudem verursachen der zeitnahe Schutz vor und die schnelle Reaktion auf solche Malware-Angriffe weiterhin häufig Frust % 35 % % 25 % 22 % 17 % % 11 % 9 % 7 5 % 4 % 3 % 0 Erkennung Verhältnis zwischen Signal und unwichtigen Informationen (False-Positive- Minimierung) Schutz (Blockierung in Echtzeit oder zeitnah) Schnelle Reaktion (Benachrichtigung über Kompromittierung) Fehlerbehebung (Entfernung der Malware aus der Umgebung) Andere Abbildung 1. Die Black Hat-Teilnehmer gaben an, dass sie nach wie vor Probleme bei der Abwehr hochentwickelter Malware haben. Diese Probleme sind die Folge unzureichender Integration zwischen den Sicherheitstechnologien zur Untersuchung, Datenerfassung, Analyse und Erzwingung, die zur Verhinderung, Erkennung, Reaktion und Verarbeitung von Zwischenfällen erforderlich sind. Durch die Integration verbessert sich die Effizienz, da der aktive Datenaustausch und die beschleunigte technologieübergreifende Verarbeitung es jeder Sicherheitskontrolle ermöglichen, die Stärken und Fähigkeiten der anderen Komponenten zu nutzen. Dieses adaptive Bedrohungsabwehrmodell ersetzt schnell herkömmliche separat agierende Architekturen, damit Sicherheitsteams einen nachhaltigen Vorteil gegenüber komplexen Bedrohungen erhalten. Beim adaptiven Bedrohungsschutzmodell werden einzelne Malware-Interaktionen nicht als separate Ereignisse behandelt, sondern dank einer effizienten Nachrichtenebene integriert erfasst und verarbeitet. Dies verbessert die Untersuchungen und Analysen, die von erweiterten Daten gespeist werden, und verbindet End-to-End-Komponenten, damit von jedem Kontakt und Prozess so viele umsetzbare Daten wie möglich erfasst und berücksichtigt werden können. Mit dem Wechsel zu adaptivem Bedrohungsschutz lassen sich die stark verbreiteten funktionalen Hürden überwinden, die die Erkennung von Bedrohungen, die Reaktion darauf sowie die Chancen auf verbesserte Vermeidung von Bedrohungen behindern. Separate Datenquellen und Kontrollmechanismen erschweren die Abläufe und erhöhen das Risiko. So werden beispielsweise die von den einzelnen Kontrollmechanismen generierten Daten sowie der jeweilige Situationskontext schlecht erfasst und nur selten ausgetauscht. Eine Firewall blockiert Schaddaten, die von einer nicht vertrauenswürdigen Domäne stammen, weil sie die Kommunikation mit dieser Quelle als schädlich einstuft. Da sie die Daten aber nicht als Malware erkennt, werden dieselben Daten ins Netzwerk gelassen, wenn sie von einer vertrauenswürdigen Domäne gesendet werden. Ebenso kann Malware-Schutz unbekannte Schaddaten blockieren, die von bekannten gefährlichen Adressen empfangen werden, wenn er nicht nur die eigentlichen Daten berücksichtigt oder bei der Analyse der erhaltenen Daten die IP-Adresse mit einbezieht. Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System 3

4 Mit solchen nicht miteinander vernetzten Sicherheitsfunktionen können Unternehmen lediglich Brandherde löschen, d. h. bei jeder Kompromittierung mit hohem Personalaufwand reagieren. Diese ineffiziente Vorgehensweise belastet jedoch nicht nur die wenigen für Untersuchungen verfügbaren Ressourcen, sondern verlängert auch den Zeitraum, in dem Daten und Netzwerk entschlossenen Angreifern ausgesetzt sind. Somit bieten diese nicht integrierten Sicherheitsprodukte, Daten und Prozesse raffinierten Angreifern viel Freiraum und Möglichkeiten, in Ihr Unternehmen einzudringen, sich zu verbergen und eine dauerhafte Präsenz aufzubauen. Was ist ein Angriffsindikator? Ein Angriffsindikator ist ein einmaliges Geflecht aus unbekannten Attributen, Kompromittierungsindikatoren und Kontextinformationen, die Unternehmens- sowie Risikodaten umfassen und ein dynamisches Situationsabbild erzeugen, mit dem Sie Ihre weiteren Reaktionen planen können. Nachhaltiger Vorteil Mit Threat Intelligence Exchange und der Security Connected-Plattform steht Sicherheitsexperten jetzt ein Hochleistungssystem zur Verfügung, das Workflows und Daten bündelt, um voneinander getrennte Sicherheitsabläufe zusammenzuführen und ein flexibles sowie intelligentes Bedrohungsschutzmodell zu realisieren. Globale, lokale und Drittanbieter-Bedrohungsdaten sowie unternehmensinternes Wissen wird zusammengefasst, um bereits bei der Ausführung intelligentere Entscheidungen treffen zu können, während verdächtige Dateien gründlich analysiert werden. Durch den Versand kontextbezogener Angriffsdaten (Angriffsindikatoren) an Systeme zur vektorübergreifenden Erkennung, Eindämmung und Behebung erhalten Sicherheitsanalysten einen nachhaltigen Vorteil gegenüber hochentwickelten gezielten Bedrohungen. Dank der Nutzung von Echtzeitkommunikation und deren Integration in vorhandene - und Drittanbieter-Lösungen kann Ihr Unternehmen Kompromittierungen kostengünstig abwehren und die Schutzlücke zwischen Erkennung und Eindämmung schließen. Dieses Whitepaper stellt vier Szenarien für die Nutzung des Schutz- und Einsparpotenzials vor, die dieser hochmoderne Ansatz mit Threat Intelligence Exchange bietet: Verbesserung der Endgeräte-Effizienz durch aktive Bedrohungsdatenerfassung (dank Integration mit VirusScan Enterprise und SiteAdvisor Enterprise) Nutzung der VirusTotal-Integration zur Bewertung von Daten und Werten anderer Malware- Schutz-Anbieter, um bei einer potenziellen Bedrohung für Ihre eigene Umgebung die richtige Vorgehensweise zu bestimmen Verbesserte Erkennung und Reaktion auf hochentwickelte Malware durch zusätzliche Funktionen zur dynamischen Sandbox-Analyse sowie statischen Analyse sowie Verknüpfung mit Netzwerkkomponenten (dank Nutzung von Advanced Threat Defense und Gateway-Produkten) Einordnung kollektiver Bedrohungsdaten in den Kontext vergangener und aktueller Angriffsschritte, um sofort reagieren zu können durch Abwehr aktiver Angriffe, Untersuchung vergangener Zwischenfälle und Überwachung zukünftiger Ereignisse (dank Enterprise Security Manager) Bausteine für adaptiven Bedrohungsschutz Threat Intelligence Exchange greift auf den Data Exchange Layer zu. Diese bidirektionale Kommunikationsstruktur vereinfacht die Produktintegration sowie den Austausch von Kontextinformationen. Auf diese Weise kann sie Sicherheitsinformationen und adaptiven Schutz bereitstellen. Threat Intelligence Exchange erfasst sowie verteilt Reputationsdaten und trifft aus der Ferne in Echtzeit Schutzentscheidungen. Zu den Kernbestandteilen des Security Connected- Frameworks gehörten stets Automatisierung und Integration. Dank dem Data Exchange Layer verändert Threat Intelligence Exchange die Bedrohungsabwehr: Die Lösung setzt erweiterte Bedrohungsdaten in den richtigen Kontext und verteilt diese in Echtzeit in der gesamten Umgebung. End-to-End-Immunisierung und Anpassung Die Sicherheitsteams in Unternehmen erhalten lokale Kontrolle über die Klassifizierung potenzieller Malware und Bedrohungen. Gleichzeitig tauschen die Sicherheitskomponenten ihre Datenanalysen sofort untereinander aus und passen ihre Schutzmaßnahmen entsprechend an. Threat Intelligence Exchange nutzt den Data Exchange Layer zur Verknüpfung von Endgeräteschutz, Gateways und weiteren Sicherheitskomponenten zu einem leistungsstarken und fortschrittlichen Schutzsystem Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System 4

5 zur Abwehr hochentwickelter Bedrohungen. Sie reduzieren das Risiko, optimieren und verbessern den Schutz vor zukünftigen Angriffen und minimieren die Betriebskosten sowie den Aufwand separater Schutzmaßnahmen für hochentwickelte gezielte Bedrohungen. SICHERHEITS-MANAGEMENT Enterprise Security Manager (SIEM) epolicy Orchestrator Threat Intelligence Exchange Vulnerability Manager NETZWERKSICHERHEIT Advanced Threat Defense Network Security Platform (IPS) Next Generation Firewall Firewall Enterprise SCHUTZ FÜR INHALTE Gateway Web Gateway Data Loss Prevention ENDGERÄTESICHERHEIT Endpoint Security-Suites Data Center Security Suite Embedded Security Device Control Endpoint Encryption Hardware-unterstützte Sicherheit Abbildung 2. Threat Intelligence Exchange und der Data Exchange Layer bilden ein dynamisches Framework zur nachhaltigen Nutzung der Security Connected-Plattform. Die Threat Intelligence Exchange-Komponenten agieren gemeinsam, um die relevanten Daten unverzüglich an Sicherheitslösungen für Netzwerk, Endgeräte, Anwendungen und weitere Komponenten weiterzugeben. Dadurch werden Sicherheitsinformationen bereitgestellt und adaptive Sicherheit implementiert. Somit verringert die Lösung die Schutzlücke zwischen der Erkennung und der Eindämmung hochentwickelter gezielter Angriffe von Tagen, Wochen oder Monaten auf wenige Millisekunden. Data Exchange Layer: Datenaustausch in Echtzeit Der Data Exchange Layer vereinfacht die Integration und senkt dadurch die Implementierungsund Betriebskosten. Anstelle der direkten Integration über Low-Level-APIs ermöglicht die Kommunikationsstruktur des Data Exchange Layer die Produktintegration über ein gemeinsames Informationsmodell, das verschiedenste Kommunikationsmethoden unterstützt. Dadurch können Produktkonfigurationen automatisch durchgeführt und somit Fehler vermieden sowie der Aufwand gesenkt werden. Der Data Exchange Layer stellt eine bidirektionale Echtzeit-Kommunikationsstruktur bereit, über die angebundene Komponenten permanent miteinander verbunden sind. Über eine Abstraktionsebene besteht eine Verbindung zwischen Endgeräteschutz, Gateways und anderen Sicherheitskomponenten, über die sie unabhängig von ihrem Standort in Echtzeit Bedrohungsinformationen austauschen können. Dieses Modell ermöglicht die Verteilung von Steuer- und Kontrollkommandos lokaler Sicherheitskontrollen an entfernte Nodes in anderen Niederlassungen, selbst wenn sich diese hinter NAT- Geräten (Network Address Translation), Firewalls und privaten Gateways befinden. Die Sicherheit der Kommunikation wird dadurch gewährleistet, dass der gesamte Datenverkehr per TLS (Transport Layer Security) auf Transportebene verschlüsselt wird. Diese Verschlüsselungsmethode wird für die zertifikatbasierte starke gemeinsame Authentifizierung aller Teilnehmer voraus- und von der Kommunikationsstruktur durchgesetzt. Dadurch kann gewährleistet werden, dass die Daten sicher sind und die Struktur selbst vor externen Angriffen oder Missbrauch geschützt ist. Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System 5

6 Global Threat Intelligence Bedrohungsdaten von Drittanbietern epo Threat Intelligence Exchange Server Advanced Threat Defense Enterprise Security Manager Partner- Produkte Data Exchange Layer Threat Intelligence Exchange-Modul für VirusScan Enterprise Next Generation Firewall Network Security Platform Andere Produkte Gateway Web Gateway Abbildung 3. Der Data Exchange Layer stellt ein Framework zur Echtzeitkommunikation bereit, dank dem alle Sicherheitskomponenten als Einheit agieren können. Threat Intelligence Exchange: Die Macht des Wissens nutzen Threat Intelligence Exchange ermöglicht Administratoren die einfache Anpassung und Nutzung umfassender Bedrohungsinformationen aus weltweiten Datenquellen wie Global Threat Intelligence ( GTI), VirusTotal und Feeds von Drittanbietern sowie lokalen Quellen wie Echtzeit- und Verlaufsereignissen von Endgeräteschutz, Gateways und weiteren Sicherheitskomponenten. Sie können die Informationen aus den Bedrohungsdatenquellen zusammenstellen, außer Kraft setzen, erweitern und an die eigene Umgebung anpassen. Mithilfe intelligenter Listen können Sie eigene Black- und Whitelists für Dateien und Zertifikate, für das Unternehmen ausgestellte Zertifikate uvm. implementieren. Durch die Aggregation und Nutzung lokaler Bedrohungsdaten kann Threat Intelligence Exchange jede Bedrohung im Kontext der Aktivitäten sowie der Betriebsumgebung jedes Unternehmens analysieren. Die von Endgeräteschutz, Gateways und Sicherheitskomponenten erfassten Metadaten werden kombiniert, sodass Sie einen Überblick über den Bedrohungsstatus Ihres Unternehmens erhalten und entsprechende Schutzmaßnahmen ergreifen können. Der Turbo für bestehenden Endgeräteschutz Während selbst erweiterte herkömmliche Forensiklösungen spezialisierte Tools und Schulungen sowie großen manuellen Aufwand erfordern, überführt Threat Intelligence Exchange Bedrohungsinformationen direkt in automatisierte Schutzmaßnahmen, die nach den Regeln der IT-Abteilung arbeiten. Threat Intelligence Exchange nutzt VirusScan Enterprise und ermöglicht dank genauer Entscheidungen zur lokalen, kontextbezogenen Dateiausführung herausragenden Endgeräteschutz. Wenn eine Datei ausgeführt werden soll, laufen folgende Vorgänge ab: VirusScan Enterprise fragt die eigenen lokalen Signaturen ab. Wenn die Datei unbekannt ist, fragt das Threat Intelligence Exchange-Modul Threat Intelligence Exchange Server nach Metadaten zu der Datei ab. Q Q Wenn kein Datensatz zu dieser Datei gefunden wird, fragt Threat Intelligence Exchange Server das Cloud-basierte GTI-Netzwerk ab und gibt dem abfragenden Host die globale Reputation wieder. Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System 6

7 Was möchten Sie gerne wissen? Wenn eine ursprünglich unbekannte Datei später von einer lokalen Quelle für Bedrohungsinformationen, einem Cloud-Dienst oder internen Untersuchungen als gefährlich eingestuft wird, kann Threat Intelligence Exchange Server umsetzbare Details zu schädlichem Verhalten liefern, mit denen Sicherheitsverantwortliche folgende Fragen beantworten können: Befindet sich diese Datei auf einem meiner Endgeräte? (Verbreitung) Wurde sie ausgeführt? (wichtig für die Unterscheidung zwischen infizierten und nicht infizierten Endgeräten) Wo wurde sie ausgeführt? (zur Definition einer Prioritätenliste gefährdeter Systeme) Welches System wurde zuerst infiziert? (erstes Auftreten) Welche Computer sind wahrscheinlich kompromittiert, weil sie eine Datei ausführten, die jetzt als gefährlich eingestuft wurde? Wie verbreitet sich die Malware in meiner Umgebung? (Fortbewegung der Datei) Wo befinden sich die Dateien, die von anderen Sicherheitsprodukten nicht blockiert werden? Welche grauen Dateien können in die Black- oder Whitelist aufgenommen werden? Q Q Wie ist die globale Reputation einer bestimmten Datei im Vergleich zur lokalen Reputation im Unternehmen? Threat Intelligence Exchange Server beantwortet die Abfrage mithilfe der gesammelten Metadaten, die er bereits zu dieser Datei besitzt. In der Antwort sind unternehmensspezifische Werte wie Reputation, Verbreitung und Alter enthalten. Das Threat Intelligence Exchange-Modul kombiniert anschließend basierend auf Regeln den lokal ermittelten Kontext (Datei-, Prozess- sowie Umgebungsattribute) mit den aktuell verfügbaren und kollektiv gesammelten Bedrohungsdaten, um eine Risikobewertung durchzuführen. Das Client-Modul wendet Ihre Richtlinien an, um eine Entscheidung für oder gegen die Ausführung der Datei zu treffen. Threat Intelligence Exchange Server protokolliert das Ereignis in seiner Knowledgebase-Datenbank. Falls sich eine unbekannte Datei später als böswillig herausstellt, kann VirusScan Enterprise angewiesen werden, den Host zu bereinigen, wodurch ein ausgeführter böswilliger Prozess gestoppt werden kann. Mithilfe von Richtlinien können Sie die Risikotoleranz für das Endgerät anpassen und verschiedene Ausführungsbedingungen definieren. Sie können beispielsweise eine strenge Nulltoleranz-Richtlinie für unbekannte oder graue Dateien festlegen. Dies erfordert lediglich die Festlegung einer Richtlinie, wonach keine Datei ausgeführt werden darf, die nicht über eine bekannte und zulässige Reputation verfügt. Jedes Unternehmen hat unterschiedliche Vorstellungen davon, welches Risiko es beim Zulassen von Dateien bereit ist einzugehen bzw. wann Dateien isoliert oder gelöscht werden sollen. Diese Toleranz hängt meist von der Klasse und geschäftlichen Wichtigkeit der unterschiedlichen Systeme ab. Wenn der Administrator die Datei später als sicher kennzeichnet, kann er die blockierte Anwendung zu einer Whitelist hinzufügen oder aber festlegen, dass die Benutzer die Datei selbst nach einer entsprechenden Meldung zulassen können. Überprüfung umfangreicher Daten für mehr Klarheit und schnelle Reaktion Die kollektiven weltweit, lokal, von Drittanbietern bereitgestellten und manuell generierten Bedrohungsdaten, die auf Threat Intelligence Exchange Server gespeichert sind, ermöglichen eine ungehinderte Übersicht und beantworten wichtige Fragen auf Grundlage sofort verfügbarer, umsetzbarer Informationen. Diese Informationen können Ihnen die überzeugenden Nachweise liefern, dank derer Sie agieren und Ihr Unternehmen absichern können, anstatt auf die Meldung eines Drittanbieters warten zu müssen und das Unternehmen bis dahin ungeschützt zu lassen. Beispielsweise zeigen die Verbreitungsdaten für das Unternehmen jeden Computer, der eine bestimmte Datei angefordert hat. Die Liste betroffener Systeme hilft dabei, die Taktiken der Angreifer aufzudecken und noch wichtiger das ihnen zur Verfügung stehende Eindringungsfenster verkleinern. Gehören alle Computer, die diese Datei erhalten haben, zu einer einzelnen Arbeitsgruppe, z. B. Finanzabteilung oder Software- Entwicklung? Das würde darauf hinweisen, auf welche vertraulichen Daten die Angreifer es abgesehen haben. Haben die Systeme ein gemeinsames Anwendungsprofil, das auf Zero-Day-Schwachstellen hinweist? Sofortiger Austausch von Bedrohungsdaten Threat Intelligence Exchange unterstützt Unternehmen bei der Anpassung ihrer Schutzmaßnahmen und vollständigen Eindämmung der Bedrohung. Wenn ein Threat Intelligence Exchange-Client auf dem Host die Ausführung einer Datei blockiert oder zulässt, wird diese Entscheidung in den Datensätzen von Threat Intelligence Exchange Server vermerkt. Die Informationen zu jeder Entscheidung können auf mehrfache Weise angewendet werden. Threat Intelligence Exchange verteilt sofort die Reputationsinformationen sowie die Details zur Entscheidung an alle verbundenen Schutzsysteme im Unternehmen, einschließlich Endgeräteschutz und Gateways wie die Network Security Platform sowie Drittanbieterprodukte. Auf diese Weise werden alle Sicherheitsprodukte sofort aktualisiert und lernen voneinander, sodass sie einheitlichen und lokalen angepassten Schutz mit einer Geschwindigkeit bieten können, die kein Anbieter oder Drittunternehmen schlagen kann. Da bei einem typischen raffinierten Angriff nach verwundbaren Systemen gesucht wird, schützt diese fortschrittliche Informationsweitergabe innerhalb der Umgebung andere Hosts vor der Kompromittierung oder der Attacke durch eine bestimmte Angriffsvariante. Optional kann Threat Intelligence Exchange auch die neu erlangten lokalen Bedrohungsdaten an die GTI-Cloud weiterleiten, um andere Schutzsysteme bei der Abwehr ähnlicher Angriffe zu unterstützen. Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System 7

8 Was möchten Sie gerne wissen? (Fortsetzung) Wie viele Dateien wurden in den letzten Stunden als böswillig identifiziert? Wie viele Dateien in meinen Umgebungen wurden der Black-, Whiteoder Graylist zugeordnet? Welcher Anteil des gesamten Dateibestandes wird in der Black-, Whiteoder Graylist geführt, wenn nach Microsoft Windows- Version unterschieden wird? Welche Dateien kommen in meiner Umgebung am seltensten vor? (Einzelfälle, potenziell böswillige Dateien) Q Q Wird eine bestimmte Version des Betriebssystems Microsoft Windows besonders angegriffen? Folgende Szenarien verdeutlichen, wie Threat Intelligence Exchange und der Data Exchange Layer die Funktionsweise des Bedrohungsschutzes verändern, umsetzbare Informationen liefern sowie den präventiven Schutz erweitern von der Erkennung bis hin zur Isolierung. Szenario 1: Reaktion basierend auf kollektiv erfassten Daten Im ersten Szenario wird der Endgeräteschutz basierend auf lokal optimierten Bedrohungsdaten ermöglicht. Diese Anpassung hätte es im Jahr 2013 Händlern des VISA-Netzwerks erlaubt, schnell automatisierte Schutzmaßnahmen gegen die Hash-Werte zu implementieren, die von VISA für einen Speicher-Parser-Angriff veröffentlicht wurden. 1 Jetzt erhalten die Unternehmensadministratoren eine Mitteilung und tragen die neuen Hash-Dateien über die Verwaltungsoberfläche in Threat Intelligence Exchange ein. Wenn das Host-System anschließend die verdächtige Datei findet, verhindert Threat Intelligence Exchange deren Ausführung basierend auf der angepassten und durch die kollektive Bedrohungserfassung erhaltene Information ( diese Hash-Werte sind gefährlich ). Kernkomponenten Global Threat Intelligence epo Threat Intelligence Exchange Server VISA Data Exchange Layer Threat Intelligence Exchange-Modul für VirusScan Enterprise Abbildung 4. Drittanbieterdaten können wertvolle Informationen liefern. Von internen Teams erkannte Malware (oder verdächtige Dateien) können sofort blockiert werden, ohne dass ein Exemplar eingesendet und auf eine Aktualisierung der Virenschutzsignatur durch den Anbieter gewartet werden muss. Wenn ein anderes Endgerätesystem diese Datei erkennt, wird das im Verbreitungszähler von Threat Intelligence Exchange Server erfasst, wodurch Administratoren wertvolle Informationen dazu erhalten, ob das Unternehmen angegriffen wird. Der Nutzen für das Unternehmen besteht darin, dass ein Kompromittierungsindikator (in diesem Fall ein Datei-Hash-Wert) eine Vielzahl wertvoller Informationen liefern kann, die in Echtzeit weitergegeben werden können. Threat Intelligence Exchange kann zudem die Ausführung und nicht nur Lese- sowie Schreibprozesse einer Datei verhindern. Dieser Ausführungsschutz verhindert ungewöhnliches Verhalten und ermöglicht Threat Intelligence Exchange die Erfassung wertvoller Angriffsindikatoren, die sofort in der gesamten Umgebung verteilt werden können. Im Gegensatz zu Kompromittierungsindikatoren, die einzelne, als gefährlich bekannte statische Ereignisse beschreiben, beschreiben Angriffsindikatoren eine Situation aus Ihrer Sicht. Angriffsindikatoren sind ein einmaliges Geflecht aus unbekannten Attributen, Kompromittierungsindikatoren und Kontextinformationen, die Unternehmens- sowie Risikodaten umfassen und ein dynamisches Situationsabbild erzeugen, mit dem Sie Ihre weiteren Reaktionen planen können. Threat Intelligence Exchange erkennt und meldet neue sowie ungewöhnliche Ereignisse in der Umgebung, die möglicherweise noch nicht mit einer bekannten Bedrohung oder Kompromittierung in Zusammenhang gebracht werden. Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System 8

9 Szenario 2: Einbindung von Advanced Threat Defense für tiefgehende Analyse Ein Angreifer, der Ihre Unternehmensdaten stehlen möchte, greift auf subtile Stealth- Programmiertechniken und Zero-Day-Exploits zurück. Die dabei eingesetzte Malware-Datei ist möglicherweise einmalig oder wird nur vereinzelt eingesetzt. Dieses seltene Vorkommen verhindert, dass diese Bedrohung von herkömmlichen Signatur- oder Reputations-basierten Gegenmaßnahmen zuverlässig erkannt wird. Wenn eine verdächtige Datei jedoch nicht durch vorhandene Threat Intelligence Exchange-Ressourcen überführt werden kann, wird dies durch die tiefgehende Analyse mit Advanced Threat Defense möglich. Advanced Threat Defense ergänzt die Erkennung hochentwickelter gezielter Angriffe um einen mehrstufigen Ansatz, der innovative Echtzeit-Dekonstruktion von Malware nutzt. Dies umfasst zum Beispiel starke Entpackfunktionen, die Verschleierungstechniken aushebeln, um den ursprünglichen ausführbaren Code sowie das damit beabsichtigte Verhalten ermitteln zu können. Wo andere Sandbox-Anbieter mit einfachen Malware-Kodierungstaktiken leicht getäuscht oder umgangen werden können, kombiniert Advanced Threat Defense mehrere Techniken zur branchenweit ersten Funktion zur Echtzeit-Dekonstruktion von statischem Code mit dynamischer Sandbox-Analyse, um die Verschleierungstaktiken der Angreifer auszuhebeln. Dies ergibt die stärkste sowie fortschrittlichste Malware-Schutztechnologie auf dem Markt und schafft ein Gleichgewicht zwischen der notwendigen Sicherheit und Leistungsfähigkeit. Global Threat Intelligence Threat Intelligence Exchange-Server Threat Intelligence Exchange Server Bedrohungsdaten von Drittanbietern JA NEIN epo Threat Intelligence Exchange- Modul für Endgeräteschutz Threat Intelligence Exchange- Modul für VirusScan Abbildung 5. Daten- und Reputations-Synthese aus der Cloud, dem Netzwerk sowie von Endgeräten Bidirektionaler Informationsaustausch zwischen Endgeräten und Netzwerkkomponenten Durch den Einsatz von Threat Intelligence Exchange in Kombination mit Advanced Threat Defense wird der Schutz vor hochentwickelten gezielten Angriffen verstärkt. Sie erhalten einen zeitgemäßen und zuverlässigen Bedrohungsschutz, der Verhaltens-, Reputations- und Signatur-basierte Analysen für das Netzwerk und die Endgeräte kombiniert. -Endgeräte erhalten per Richtlinie die Aufforderung, Daten mit unbekannter Reputation zu blockieren und anschließend zur genauen Untersuchung und Entscheidung über die Gefährlichkeit an Advanced Threat Defense zu senden. Wenn die Datei als gefährlich eingestuft wird, gibt das System diese Information mit einem Reputations-Update über den Data Exchange Layer an alle im Unternehmen verbundenen Schutzsysteme weiter. Dadurch können zum Beispiel von Threat Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System 9

10 Intelligence Exchange verwaltete Endgeräte sofort präventiv die Ausführung dieser Datei blockieren, während Netzwerk-Gateways verhindern, dass diese Datei in das Unternehmensnetzwerk gelangt. Erkennungen auf den Netzwerk-Gateways werden durch diesen zentralen Analyseprozess verarbeitet, und die Erkenntnisse werden ebenfalls an die Endgeräte weitergegeben. Dieser Erkenntnis- und Reputationsaustausch verdeutlicht, wie Endgeräte und Netzwerk die einmalige Security Connected-Plattform dazu nutzen, Lücken durch die Out-of-Band-Übertragung von Schaddaten zu schließen. Durch die Verknüpfung der vektorübergreifenden -Sicherheitslösungen werden nicht nur das Anfälligkeitsfenster für neue Malware-Varianten erheblich verringert, sondern auch der Zeitaufwand für die Fehlerbehebung sowie der Bedarf an Netzwerkumgestaltungen reduziert. Durch die Nutzung der VirusTotal-Integration zur Bewertung von Daten und Werten anderer Malware- Schutz-Anbieter können Sie bei einer potenziellen Bedrohung für Ihre eigene Umgebung die richtige Vorgehensweise bestimmen. Szenario 3: Schnellere Angriffserkennung dank Enterprise Security Manager Nicht zuletzt möchten viele Unternehmen die von Enterprise Security Manager bereitgestellte Transparenz und Korrelation nutzen, um einen schnelleren und besseren Überblick über die Bedrohungen in ihrer Umgebung zu erhalten. Das SIEM-System (Sicherheitsinformations- und Ereignis-Management) Enterprise Security Manager kann umfangreiche Daten von Threat Intelligence Exchange und Advanced Threat Defense abrufen und mit seinem patentierten Hochleistungs- Datenbankmodul die Protokoll- und Ereignisdaten aus Hunderten Datenquellen korrelieren. Dank dieser erweiterten, detaillierten Daten können Sie bei der Untersuchung von und Reaktion auf Angriffe Fragen beantworten wie: Welche Hosts zeigen Verhalten, das zu unseren neuen Erkenntnissen passt? Immer dann, wenn Threat Intelligence Exchange neue böswillige Ereignisse (ein erstes Vorkommen ) erkennt und die Aufforderung zum Ausführen bzw. Blockieren an die Clients sendet, kann Enterprise Security Manager die Administratoren auf dieses Ereignis aufmerksam machen sowie Behebungsschritte wie Aktualisierungen der Endgeräterichtlinien fast in Echtzeit auslösen. Dank der engen Verknüpfung der Erkennung/Reaktion/Verhinderung können die Enterprise Security Manager- Workflows und Watchlists dafür sorgen, dass die Erkenntnisse von Threat Intelligence Exchange und SIEM den Schutz sowie die Risikoverwaltung in Ihrem Unternehmen verbessern. Aus der Vergangenheit für die Zukunft lernen Enterprise Security Manager nutzt die von Advanced Threat Defense und Threat Intelligence Exchange bereitgestellten Elemente, um Ereignisse in den Enterprise Security Manager-Archiven zu finden und bei zukünftigen, damit zusammenhängenden Ereignissen Warnungen auszugeben. Das gibt Unternehmen die Möglichkeit, die Uhr zurückzudrehen und die aktuellen neuen Erkenntnisse zur Identifizierung früherer böswilliger Interaktionen zu nutzen, die zum Ausführungszeitpunkt unentdeckt blieben. So kann zum Beispiel der Hash-Wert einer als gefährlich erkannten Datei von Threat Intelligence Exchange oder Advanced Threat Defense in eine SIEM-Watchlist eingefügt werden. Enterprise Security Manager wiederum nutzt die in der Watchlist gespeicherten Informationen zum Vergleich mit älteren indexierten Daten bzw. neuen Echtzeitereignissen. Da Datei-Hash-Werte von vielen Produkten nicht nur Advanced Threat Defense, sondern auch von Lösungen zur Dateiintegritätsüberwachung ( Change Control) sowie von Netzwerk-Eindringungsschutzsystemen und Malware-Schutz-Web-Gateways generiert werden, erhöht der veröffentlichte Datei-Hash-Wert die Sensibilität für Aktivitäten im gesamten Unternehmen. Wenn Threat Intelligence Exchange die Reputationsinformationen an diese Systeme sendet, um die Blockierung zu erzwingen, ermöglicht Enterprise Security Manager die Zusammensetzung der einzelnen Ereignisse, um ein vollständiges Gesamtbild der böswilligen Aktivitäten zu erhalten. Zusätzlich zu den Datei-Hash-Werten kann Enterprise Security Manager weitere Angriffsindikatoren nutzen, die von Advanced Threat Defense und Threat Intelligence Exchange generiert werden. Beide Lösungen stellen zusätzlich zu den Ergebnissen Details zu Dateienamen, IP-Informationen, Code-Hash-Werte, Verbreitung und Host-Name zur Verfügung. Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System 10

11 Die Berichte von Advanced Threat Defense umfassen zudem Informationen zu den Dateien, die mit dem Angriff in Zusammenhang stehen. Wenn in Ihrer Umgebung sowohl Advanced Threat Defense als auch Enterprise Security Manager eingesetzt werden, kann Enterprise Security Manager gefährliche Dateien filtern, die von Advanced Threat Defense entdeckt wurden, und dann Ereignisse nach diesen Dateien durchsuchen. Sobald die Dateien gefunden wurden, können die entsprechenden Daten im weiteren Verlauf anhand der IP-Adressen und Dateinamen gefiltert werden, die von Advanced Threat Defense zu diesen Daten erfasst wurden. Enterprise Security Manager dokumentiert alle mit diesen Attributen zusammenhängenden und von Advanced Threat Defense generierten Ergebnisse sowie überwacht die nachfolgenden Ereignisse. Da Enterprise Security Manager Ereignisse innerhalb eines Angriffs erkennt, kann die Lösung automatisch Maßnahmen zur Eindämmung, Behebung und Anpassung einleiten. So können zum Beispiel Hosts, die vom Angriff betroffen sind, ein sofortiges Richtlinien-Update erhalten oder isoliert bzw. gescannt werden. Neue Abwehrtaktiken Diese Szenarien zeigen Möglichkeiten auf, mit denen die besten, umfassendsten und relevantesten Informationen in Ihre Abwehr einfließen und für die automatische Umsetzung von Schutzmaßnahmen genutzt werden können. Sie können Erkennung, Analyse und Schutzfunktionen auf Daten- und Workflow- Ebene miteinander verknüpfen, damit Ihre Sicherheitslösungen voneinander lernen und Ihr Unternehmen zuverlässig sowie in Echtzeit schützen. Zudem können Sie Bedrohungen effektiv und anhand aktuellster Informationen in Ihrer gesamten Umgebung erkennen, gezielt suchen sowie beseitigen. Das gilt sowohl für vergangene als auch zukünftige Ereignisse. Dank der adaptiven Bedrohungsinformationen und der Echtzeitkommunikation mit der Security Connected- Plattform bietet eine neue Abwehrtaktik gegen hochentwickelte gezielte Angriffe. Threat Intelligence Exchange liefert Details zu Bedrohungsdaten, damit Angriffsindikatoren definiert und als Grundlage für Aktionen verwendet werden können, während die verschiedenen Komponenten der Security Connected-Plattform vom Data Exchange Layer mit Kontext ausgestattet werden. Mit Advanced Threat Defense und Enterprise Security Manager sowie den verschiedenen -Lösungen für Endgeräte- und Netzwerksicherheit erhalten Sie den branchenweit umfassendsten Bedrohungsschutz in einem optimierten System zur nachhaltigen Abwehr hochentwickelter gezielter Angriffe. Weitere Informationen hierzu finden Sie unter: Über Intel Security ist jetzt ein Geschäftsbereich von Intel Security. Durch die Security Connected-Strategie, einem innovativen Ansatz für Hardware-unterstützte Sicherheitslösungen sowie das Global Threat Intelligence- Netzwerk ist Intel Security voll und ganz darauf konzentriert, für die Sicherheit seiner Kunden zu sorgen. Dazu liefert Intel Security präventive, bewährte Lösungen und Dienste, mit denen Systeme, Netzwerke und Mobilgeräte von Privatanwendern und Unternehmen weltweit geschützt werden können. Intel Security verknüpft die Erfahrung und Fachkompetenz von mit der Innovation und bewährten Leistung von Intel, damit Sicherheit als essentieller Bestandteil jeder Architektur und Computerplattform eingebettet wird. Intel Security hat sich zum Ziel gesetzt, allen Privatpersonen ebenso wie Unternehmen die Möglichkeit zu geben, die digitale Welt absolut sicher nutzen zu können Part of Intel Security. Ohmstr Unterschleißheim Deutschland +49 (0) Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern., das -Logo, epolicy Orchestrator, epo und VirusScan sind eingetragene Marken oder Marken von, Inc. oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Die in diesem Dokument enthaltenen Produktpläne, Spezifikationen und Beschreibungen dienen lediglich Informationszwecken, können sich jederzeit ohne vorherige Ankündigung ändern und schließen alle ausdrücklichen oder stillschweigenden Garantien aus. Copyright 2014, Inc wp_it-takes-a-system_0214B