DATENBASIERTE ERKENNUNG VON UND REAKTION AUF BEDROHUNGEN

Transkript

1 DATENBASIERTE ERKENNUNG VON UND REAKTION AUF BEDROHUNGEN RSA White Paper ÜBERSICHT Organisationen sind heute der permanenten Gefahr von Eindringversuchen ausgesetzt. Der Schutz der IT-Umgebungen von Unternehmen vor Cyberangreifern ist äußerst schwierig geworden und in manchen Fällen unmöglich, da herkömmliche Tools zur Erkennung von Bedrohungen durch gezielte Angriffe leicht umgangen werden können. Zudem werden inhärente Schwachstellen in modernen Netzwerken ausgenutzt. Eindringversuche müssen allerdings nicht zu Datendiebstahl führen oder das Unternehmen auf andere Weise schädigen vor allem, wenn es gelingt, Angriffe frühzeitig zu erkennen und auf diese zu reagieren. Damit Sicherheitsteams Angriffe erkennen können, bevor diese Schaden anrichten, sollten sie sich weniger auf passive Formen der Bedrohungserkennung verlassen, wie z. B. Warnmeldungen von signaturbasierten Scanningtools. Stattdessen müssen Organisationen aktiv nach Eindringlingen suchen, indem sie ihre IT-Umgebung kontinuierlich auf erste Anzeichen für bösartige oder verdächtige Aktivitäten untersuchen. Um diese ersten Anzeichen eines Problems identifizieren zu können, müssen Organisationen neue Funktionen zur Datenanalyse und Behandlung von Incidents nutzen. Für Sicherheitsteams, denen es an Personal mangelt und die sich aufgrund der wachsenden Anzahl an Anwendungen und Bedrohungen und immer größeren Infrastrukturen überfordert fühlen, kann sich die Einführung neuer Funktionen jedoch als extrem schwierig erweisen. Angesichts dieser Einschränkungen besteht die Herausforderung für die meisten Sicherheitsteams darin zu bestimmen, welche Probleme zuerst behoben werden müssen, und besonders schwerwiegende von ärgerlichen, aber harmlosen Bedrohungen zu unterscheiden. Intelligence Driven Security ist eine Informationssicherheitsstrategie, die durch Transparenz, analytische Insights und Korrekturmaßnahmen dafür sorgt, dass Organisationen die Risiken der digitalen Welt mindern können. Intelligence Driven Security verbessert die Geschwindigkeit und Effektivität bei der Erkennung von und Reaktion auf Cyberbedrohungen durch: Transparente Darstellung digitaler Aktivitäten in Protokollen, im Netzwerk und an Endpunkten Nutzung fortschrittlicher Analysen aus unterschiedlichen Datenquellen zur Identifizierung versteckter Bedrohungen und als Basis für Entscheidungen in Bezug auf eine gezielte und effektive Reaktion Signaturunabhängige Erkennung von Schadsoftware in Netzwerken und an Endpunkten Steigerung der Effizienz von Sicherheitsteams durch effiziente Prozesse, Automatisierung von Workflows, Bedrohungsinformationen und Weiterbildung Um Intelligence Driven Security bei der Erkennung von und Reaktion auf Bedrohungen implementieren zu können, sollten Unternehmen ihre Funktionen in vier Bereichen erweitern: 1. Kontinuierliches und umfassendes Netzwerk- und Endpunktmonitoring mit Funktionen wie der vollständigen Paketerfassung und der verhaltensbasierten Bedrohungserkennung auf Hosts 2. Fortschrittliche Analysetechniken zum Durchsuchen großer Datenmengen wie beispielsweise des Netzwerkverkehrs nahezu in Echtzeit, um verdächtige Verhaltensweisen zu identifizieren und Ermittlungen zu beschleunigen 3. Schadsoftwareanalysen anhand von Methoden, die über die Überprüfung von Dateisignaturen hinausgehen und direkt das tatsächliche Verhalten ausführbarer Dateien untersuchen, um böswillige Aktivitäten zu identifizieren unabhängig davon, ob die entsprechenden Informationen im Netzwerk oder an Endpunkten gesammelt wurden 4. Maßnahmen zur Erkennung von und Reaktion auf Incidents, bei denen Sicherheitspersonal, Prozesse und Technologien aufeinander abgestimmt werden, um Workflows zu rationalisieren und zu beschleunigen, damit Sicherheitsteams weniger Zeit für Routineaufgaben aufwenden müssen und sich besser auf die Verteidigung wichtiger Ressourcen und auf die risikoreichsten Bedrohungen konzentrieren können

2 INHALT Übersicht...1 Permanente Gefährdung... 3 Datenbasierte Erkennung von und Reaktion auf Bedrohungen... 3 Netzwerk- und Endpunktmonitoring: umfassende Darstellung... 4 Umfassende Transparenz in Bezug auf Netzwerke und Endpunkte... 4 Datenerfassung und -parsing in Echtzeit...5 Bereitstellung bei Monitoringbedarf...5 Erweiterte Analysefunktionen: Identifizierung versteckter Bedrohungen...5 Eine einzige integrierte Plattform für Sicherheitsmonitoring und -analysen...5 Zeitnahe Analyse von Big Data... 6 Verhaltens- statt signaturbasierte Erkennung...7 Skalierung ohne Performanceverschlechterung...7 Schadsoftwareanalyse: alles wird überprüft...7 Risikobasierte Erkennung von Schadsoftware... 8 Zentrale Korrelation verdächtiger Endpunktaktivitäten... 8 Priorisierte Warnmeldungen zur Beschleunigung der Untersuchung und Beseitigung von Schadsoftware... 8 Reaktion auf Incidents: schnelle, gezielte Aktionen... 9 Planung und Maßnahmen für einen effektiven Schutz vor Angriffen... 9 Datenbasierte Reaktion auf Incidents für schnellere und bessere Ergebnisse... 9 Konsolidierter Kontext für schnellere Untersuchungen...10 Zusammenfassung...10 Lösungen von RSA zur datenbasierten Erkennung von und Reaktion auf Bedrohungen Seite 2

3 PERMANENTE GEFÄHRDUNG In die IT-Umgebungen der meisten Organisationen wurde bereits eingedrungen. In vielen Fällen gelang es den Angreifern dabei, eine konstante Präsenz im Netzwerk zu etablieren. Dies ist keine reine Panikmache, sondern inzwischen Realität, da eine neue Generation von Angreifern die Schwachstellen der heutigen hypervernetzten Umgebungen ausnutzt. Die gefährlichsten Angreifer sind heute keine Gelegenheitsangreifer, die lediglich Unheil stiften oder ein Statement setzen möchten. Sie sind Profis, die Geld verdienen wollen, oder auch Nationalstaaten, die ihre strategische Agenda durchsetzen möchten. Dabei kommt ihnen eine Vielzahl von Faktoren zugute. Die zunehmende Vernetzung von IT-Systemen und Anwendungen hat Organisationen zu mehr Effizienz und neuen Chancen verholfen. Netzwerke sind für mehr Partner und Lieferketten zugänglich und vereinfachen damit gemeinsame Geschäftsprozesse. Offene Netzwerke tragen jedoch auch dazu bei, dass Angreifer Schwachstellen in der Wertschöpfungskette ausnutzen, sodass die Schwächen weniger geschützter Teilnehmer zu einer kollektiven Schwachstelle werden. Gleichzeitig bieten jedoch die Virtualisierung und die Auslagerung von IT-Infrastrukturen und Anwendungen Vorteile im Hinblick auf die Effizienz, die nur schwer ignoriert werden können. Durch den Wechsel zur Cloud werden jedoch auch wichtige IT-Funktionen in externe Einrichtungen ausgelagert, oftmals an verschiedenen Standorten mit unterschiedlichen Policies und Verfahren für die Informationssicherheit. Die vernetzten IT-Umgebungen von heute sind schwer zu schützen und bieten Angreifern eine Vielzahl von Orten zum Verbergen ihrer Aktivitäten. Viele Angreifer ändern ihre Schadsoftware, damit diese von herkömmlichen signaturbasierten Scanningtools wie Antivirensoftware, Firewalls und Systemen zur Erkennung von Eindringversuchen nicht erkannt wird. Somit gehören Eindringversuche inzwischen zur Tagesordnung. Die Frage ist nun, in welchem Maße sich Organisationen auf diese permanenten Sicherheitsverletzungen einstellen können. Überlastete Sicherheitsteams können sich nicht mehr nur darauf konzentrieren, Eindringversuche zu verhindern. Vielmehr müssen sie einen Ausgleich schaffen zwischen der Verhinderung von Angriffen ein unerreichbares Ziel und ergänzenden Funktionen zur Erkennung von Angriffen und Problembehebung. Die Organisationen von heute sind zwar anfällig für Eindringversuche, das heißt jedoch nicht, dass es unvermeidlich auch zum Datendiebstahl oder zu einer Geschäftsschädigung kommen muss. Sie müssen die Bedrohungen in ihren IT-Umgebungen proaktiv identifizieren und diesen entgegenwirken, bevor die Angreifer ihre Ziele erreichen. Dies geschieht am besten durch die Nutzung von Intelligence Driven Security, einer Strategie, die den schwierigen und sensiblen Sicherheitsanforderungen von heute gerecht wird. Datenbasierte Erkennung von und Reaktion auf Bedrohungen Intelligence Driven Security hilft Unternehmen, Cyberbedrohungen entgegenzuwirken, bevor diese ernsthafte Probleme verursachen. Die Strategie bietet folgende Vorteile: Beispiellose Transparenz in Bezug auf Netzwerke und deren Endpunkte durch die Erfassung und das Parsing großer Mengen an sicherheitsrelevanten Daten Fortschrittliche Analysefunktionen zum Durchsuchen von Daten, Identifizieren von Unregelmäßigkeiten und Ausgeben von Warnmeldungen über potenzielle Probleme bei den Informationsressourcen eines Unternehmens Aktivierung von Prozessen zur Reaktion auf Incidents, um die Untersuchung und Beseitigung von Bedrohungen effizienter und effektiver zu gestalten Seite 3

4 Intelligence Driven Security stoppt Cyberangriffe, bevor diese Schaden anrichten Freie laterale Ausbreitung Staging und Exfiltration Infektion unerkannt? Verspätete Erkennung Intelligence Driven Security zur Erkennung erforderlich Typischer Zeitpunkt für Erkennung oder Benachrichtigung Angriffskette Netzwerkpräsenz Infektion der Domain Gezielter Angriff Infektion Damit Organisationen die Intelligence Driven Security-Strategie zur Erkennung von und Reaktion auf Incidents nutzen können, sollten sie ihre Funktionen in vier zusammenhängenden Bereichen erweitern, die für die Erkennung und Untersuchung von und Reaktion auf ausgeklügelte Angriffe wichtig sind: 1. Netzwerk- und Endpunktmonitoring 2. Erweiterte Analyse sicherheitsbezogener Daten 3. Identifizierung und Analyse von Schadsoftware 4. Reaktion auf Incidents und Beseitigung von Sicherheitsverletzungen NETZWERK- UND ENDPUNKTMONITORING: UMFASSENDE DARSTELLUNG Angesichts der kontinuierlich über das Netzwerk übertragenen Datenstreams ist die Versuchung groß, sich auf die Datenerfassung und -analyse in bestimmten Problembereichen zu konzentrieren. Und bis vor kurzem stellte dies auch die einzige Option dar. In vielen Fällen erfassen und analysieren Sicherheitsteams die Protokolle wichtiger Systeme. Bei diesem protokollorientierten Ansatz zur Bedrohungserkennung werden jedoch viele Blind Spots übersehen, die erfahrene Gegner ausnutzen können. Ziel der Intelligence Driven Security-Strategie ist es, diese Blind Spots durch umfassende Transparenz in Bezug auf das Netzwerk und auf Endpunkte wie Server und Mitarbeitercomputer zu beseitigen. Umfassende Transparenz bei Netzwerken und Endpunkten Für Intelligence Driven Security-Lösungen stellen Protokolle nur eine von vielen Datenquellen dar. Diese Systeme bieten jedoch eine viel größere Transparenz, da sie zudem Funktionen zur Paketerfassung im Netzwerk umfassen. Bei der vollständigen Paketerfassung im Netzwerk wird der gesamte Datenverkehr auf sämtlichen Ebenen des Netzwerkstapels aufgezeichnet, geparst, normiert, analysiert und wieder zusammengesetzt. Bei der Erfassung wird der Netzwerkverkehr analysiert und getaggt, um die nachfolgende Bedrohungsanalyse und -untersuchung zu vereinfachen. Durch die Erfassung und das Tagging von Netzwerkdaten können Sicherheitsanalysten Anwendersitzungen und -aktivitäten rekonstruieren und erhalten so nicht nur grundlegende Informationen darüber, zu welcher Zeit oder an welche IP-Adresse bestimmte Datenpakete übertragen wurden. Sie erfahren auch, welche Daten an das und aus dem Netzwerk gesendet wurden und welcher Schaden dadurch entstanden ist. Dank der vollständigen Paketerfassung und Rekonstruktion von Sitzungen sind Unternehmen in der Lage, Unregelmäßigkeiten in Bezug auf die Sicherheit zu erkennen und Incidents klar und im Detail zu rekonstruieren. So können Verluste untersucht und Probleme schneller und effektiver behoben werden. Seite 4

5 Intelligence Driven Security-Lösungen bieten darüber hinaus umfassende Transparenz in Bezug auf die Aktivitäten an Endpunkten, einschließlich Server und Laptops. Um verdächtige Endpunktaktivitäten zu erkennen, die auf Schadsoftware und andere Bedrohungen hindeuten können, müssen die Lösungen sowohl die Vorgänge im Speicher eines Computers analysieren, als auch die auf dem physischen Laufwerk gespeicherten Daten. Durch den Vergleich von ausgeführten Prozessen mit Dateien auf dem Laufwerk ohne dabei Betriebssysteme und Hypervisoren zu berücksichtigen, die ebenfalls von Schadsoftware manipuliert werden können können Organisationen feststellen, ob ausführbare Dateien und Prozesse an den Endpunkten legitim sind oder böswillig eingeschleust wurden. Ein detaillierter und transparenter Überblick über Endpunkte sowie die automatisierte Erkennung verdächtiger Aktivitäten sind wichtige Faktoren für die schnelle Identifizierung und Untersuchung von Bedrohungen. Datenerfassung und -parsing in Echtzeit Sicherheitsdaten wie Protokolle, Netzwerkpakete und Endpunktaktivitäten werden aus verschiedenen Quellen abgerufen, geparst und so gespeichert, dass die Informationen auf einfache Weise zentral durchsucht und analysiert werden können. So parsen und taggen beispielsweise leistungsfähige Systeme zur Erfassung von Netzwerkpaketen Datenverkehr noch während dieser für die anschließende Indexierung, Speicherung und Analyse erfasst wird. Ergänzend zu den internen Sicherheitsdaten und der Transparenz stehen externe Quellen mit Informationen zu Bedrohungen zur Verfügung. Mithilfe externer Bedrohungsdaten können Unternehmen aus den Erfahrungen anderer lernen und ihre eigenen Funktionen zur Bedrohungserkennung verbessern. Bereitstellung bei Monitoringbedarf In Fällen, in denen ein transparenter Überblick dringend erforderlich ist, z. B. wenn eine Organisation gerade einen tatsächlichen Incident untersucht, ist eine einfache und schnelle Bereitstellung extrem wichtig. Tools für Netzwerk- und Endpunktmonitoring können bei Bedarf oft innerhalb weniger Tage betriebsbereit sein. Dazu gehören die Installation von Geräten mit Funktionen zur vollständigen Paketerfassung an den Haupteingangs- und -ausgangspunkten des Unternehmensnetzwerks, sowie die Erfassung des Datenverkehrs, der an und von IT-Systemen übertragen wird und geistiges Eigentum und andere wichtige Informationen umfasst. Softwareagenten, die Endpunkte auf Schadsoftwareaktivitäten scannen, können in der Regel innerhalb von Stunden bereitgestellt werden, je nach Größe und Umfang der Implementierung. ERWEITERTE ANALYSEFUNKTIONEN: IDENTIFIZIERUNG VERSTECKTER BEDROHUNGEN Die beispiellose Transparenz, die durch eine Intelligence Driven Security-Strategie erzielt wird, geht weit über die Erfassung reiner Forensikdaten hinaus, die zum Nachstellen von Cyberdelikten benötigt werden. Sie gestattet Unternehmen, bei der Erkennung von Bedrohungen in hohem Maße proaktiv vorzugehen und diese besser vorherzusagen. So können schwerwiegende Sicherheitsverletzungen und eine Geschäftsschädigung vermieden werden. Intelligence Driven Security-Systeme ermöglichen neue Ansätze für die Analyse und das Reporting über das Verhalten von Anwendern, Geräten und Ressourcen. Dabei lernen die Systeme, welche Verhaltensweisen für ein bestimmtes System, einen bestimmten Anwender oder eine bestimmte Ressource normal sind, und geben dann Warnmeldungen aus, wenn erste Anzeichen dafür entdeckt werden, dass etwas nicht in Ordnung ist. Intelligence Driven Security-Systeme basieren auf den folgenden Prinzipien: Eine einzige integrierte Plattform für Sicherheitsmonitoring und -analysen Intelligence Driven Security-Abläufe zentralisieren das Monitoring, die Erkennung, die Analyse, die Untersuchung und das Reporting von Unregelmäßigkeiten und Incidents. Analysten können dabei mit wenigen Mausklicks mehrere Terabyte an Protokoll- und Metadaten sowie an nachgestellten Netzwerksitzungen durchforsten. Da die Analysten über ein zentrales System und eine einzige Konsole Zugriff auf Einzelheiten zu Netzwerken und Endpunkten haben, müssen sie nicht zwischen verschiedenen Sicherheitstools und -anwendungen wechseln. Diese Integration ist bei Abfragen von Vorteil und erspart Analysten erheblichen Zeit- und Arbeitsaufwand. So können Untersuchungen, die früher Tage dauerten, jetzt in wenigen Minuten durchgeführt werden. Seite 5

6 Dieser hohe Grad an Effizienz wird durch die Integration von Technologien erzielt. Die Analyseplattform muss mit einer Reihe unterschiedlicher Tools kompatibel sein, die sicherheitsbezogene Informationen über Server, Netzwerke, Endpunkte und andere wichtige IT-Systeme erzeugen. Durch das Parsing und Management von Metadaten werden die Events, Protokolle und Netzwerkdaten aus einer Vielzahl von Quellen konsolidiert, damit sie für zentrale Analysen, Warnmeldungen und ein zentrales Reporting zur Verfügung stehen. Diese Integration geht über interne Systeme hinaus und erstreckt sich auch auf die Nutzung externer Bedrohungsdaten. Intelligence Feeds, die von der Analyseplattform direkt aufgenommen werden können darunter Informationen der Open-Source- Community, APT-getaggte Domains, schwarze Listen und verdächtige Proxys, sind für die zeitnahe Erkennung von Sicherheitsproblemen äußerst wichtig. Zeitnahe Analyse von Big Data Intelligence Driven Security-Systeme erfassen und analysieren große Mengen an sich schnell ändernden Daten aus mehreren Quellen. Dabei werden mehrere Terabyte Daten in Echtzeit durchforstet. Die sicherheitsbezogene Analyse ist hierbei in mehreren Schichten aufgebaut, um unterschiedliche Arten der Bedrohungserkennung abzudecken. So können beispielsweise Daten erfasst und analysiert werden, während sie das Netzwerk durchlaufen. Bei dieser zeitlichen Erfassungsanalyse werden verdächtige Aktivitäten identifiziert, indem nach den von Angreifern häufig verwendeten Tools, Services, Nachrichten und Techniken gesucht wird. Protokolle, Events oder Signaturen von anderen Sicherheitssystemen müssen dabei nicht überprüft werden. Ein Beispiel für eine solche zeitliche Erfassungsanalyse ist die Erkennung von nicht browserbasierten Softwareprogrammen, die HTTP, Protokolle über nicht herkömmliche Ports und in PDF-Dateien eingebettete ausführbare Dateien ausführen. Darüber hinaus können diese fortschrittlichen Tools erste Anzeichen eines Angriffs erkennen. Dabei werden Events miteinander korreliert, die, isoliert betrachtet, unbedenklich erscheinen, zusammen jedoch Probleme verursachen können. Analysetechniken führen interne Eingaben aus unterschiedlichen Quellen mithilfe von Metadaten zusammen. Diese ausgefeilten Erkennungsmechanismen sorgen außerdem dafür, dass vor potenziellen Eindringversuchen rechtzeitig gewarnt wird. Der Informationsfluss wird während der Übertragung verarbeitet, d. h., verdächtige Aktivitäten werden rechtzeitig erkannt, sodass Sicherheitsteams Angriffe stoppen können, noch während sie ausgeführt werden. Mithilfe von Intelligence Driven Security-Systemen können Sicherheitsteams außerdem Batchanalysen für große Mengen historischer Sicherheitsdaten durchführen. Diese Daten werden nicht nur benötigt, um die meisten Datenaufbewahrungs- und Auditanforderungen von Unternehmen zu erfüllen, sondern stellen auch ein wertvolles Hilfsmittel beim Identifizieren von Angriffstaktiken dar, deren Ausführung sich möglicherweise über mehrere Monate erstreckt und noch andauert. So können Batchanalysen der Sicherheitsdatenarchive beispielsweise dazu beitragen, zuvor übersehene Cyberangriffe zu identifizieren, bei denen nicht autorisierte Daten nur sporadisch und in kleinen getarnten Streams über Wochen oder gar Monate übertragen wurden. Diese schwer erkennbaren und schleichenden Angriffe sind bei ihrer Durchführung schwer zu erkennen, da sie unbedenklich erscheinen und sich hinter bestehenden Prozessen und Kommunikationsstreams verstecken. Im Normalfall werden diese Techniken nur verdächtig, wenn sie nach einem bestimmten Muster und in einem bestimmten Zeitfenster ausgeführt werden. Bei einer detaillierten automatisierten Analyse von Sicherheitsdatenarchiven kann festgestellt werden, ob Angreifer im Begriff sind, eine Präsenz im Netzwerk zu etablieren. Weiterhin können Datenverluste erkannt werden, derer sich Organisationen bisher nicht bewusst waren. In vielen Fällen kann eine Batchanalyse von Sicherheitsdaten unzählige wertvolle Informationen über die Techniken von Angreifern liefern sowie über ersten Anzeichen für eine Infizierung. So können Sicherheitsteams zukünftige ähnliche Angriffe leichter erkennen. Und was noch wichtiger ist: Mithilfe von Batchanalysetechniken können Organisationen ermitteln, was in einer IT-Umgebung typisch ist, sodass zukünftige Abweichungen von diesem Normalzustand die oftmals ein Anzeichen für Probleme sind identifiziert und untersucht werden können, sobald sie auftreten. Seite 6

7 DATENBASIERTE BEDROHUNGSERKENNUNG IN AKTION Wenn Eindringversuche nicht erkannt werden, erweitern Cyberangreifer normalerweise Berechtigungen, breiten sich lateral in IT-Systemen aus und tarnen sich als legitime Benutzer, nachdem sie sich auf Domainlevel Zugriff verschafft haben. Haben die Angreifer erst diesem Punkt erreicht, können sie von herkömmlichen Sicherheitstools nicht erkannt und entfernt werden. Stattdessen müssen Sicherheitsteams die Bedrohung durch eine ununterbrochene und proaktive Suche eindämmen. Diese Prinzipien werden in einem RSA-Untersuchungsbericht zu Bedrohungen über die zunehmende Verwendung von Web- Shells für Cyberangriffe beschrieben. Bei einer schädlichen Web-Shell kann es sich um eine eigenständige Datei handeln, die nur Web-Shell-Code enthält oder die bösartigen Code direkt in legitime Webseiten einschleusen kann. Da Web-Shells von herkömmlichen Definitionen von Schadsoftware abweichen, sind sie für Antivirensoftware und andere herkömmliche Sicherheitstools praktisch nicht erkennbar. Web-Shell-Exploits bieten mehrere Vorteile gegenüber Trojanern und anderer gebräuchlicher Schadsoftware: Niedrige Erkennungsraten aufgrund von unterschiedlichen Codes und Codeanpassungen und der Tatsache, dass Angreifer ihre unerlaubten Aktivitäten als normalen Datenverkehr und normale Dateien auf Webservern tarnen können Angreifern können mithilfe verschiedener Methoden eine unauffällige Präsenz in der IT-Umgebung aufrechterhalten, um bösartige Backdoors zu aktualisieren und zu ersetzen Zugang über Webanwendungs-Framework- Exploits anstatt durch Spearphishing- Angriffe, die leichter zu erkennen sind Verbindungen können von einer beliebigen Quelladresse initiiert werden, sodass eine IP-Adressblockierung wirkungslos wird Keine verräterische Beaconing-Aktivität Weitere Einzelheiten darüber, wie die datenbasierte Bedrohungserkennung vielen Unternehmen bei der Identifizierung und Beseitigung von Web-Shell-Exploits half, finden Sie im RSA-Blog. Verhaltens- statt signaturbasierte Erkennung Intelligence Driven Security-Systeme überwachen die IT-Umgebung auf Anzeichen für ungewöhnliche Verhaltensweisen von Personen, Anwendungen, Infrastrukturen und Nachrichten und nicht nur auf explizite Anzeichen wie zuvor identifizierte Schadsoftwaresignaturen oder IP-Adressen bzw. Domains auf einer schwarzen Liste. Erfahrene Angreifer können solche offensichtlichen statischen Monitoringmethoden umgehen, indem sie Codezeilen ändern, eine neue virtuelle Maschine in einer Public Cloud bereitstellen oder eine neue Internetdomain als Command-and-Control- oder Drop-Site, d. h. als Online-Speicherort, registrieren. Es ist jedoch für Angreifer deutlich schwieriger, Sicherheitsmonitoringsysteme zu umgehen, die nach ungewöhnlichen Mustern und Verhaltensweisen suchen. Früher oder später müssen sich Schadsoftware oder unbefugte Anwender ungewöhnlich verhalten und gegen die Systemnormen verstoßen. Das ist der Zeitpunkt, an dem sie von datenbasierten Analysesystemen entdeckt werden. So suchen Lösungen zur Erkennung von Bedrohungen an Endpunkten beim Identifiziere von Schadsoftware nicht nach bekannten schädlichen Dateien, sondern vielmehr nach verdächtigen Verhaltensweisen. Tools zur Erkennung von Schadsoftware vergleichen die im Speicher ausgeführten Vorgänge mit denen, die auf Basis der auf dem Laufwerk gespeicherten Dateien ausgeführt werden sollten. Daher sind sie besser geeignet, Diskrepanzen zu identifizieren und direkte und zuverlässigere Informationen darüber zu liefern, ob nicht autorisierter Code vorhanden ist. Intelligence Driven Security-Systeme legen fest, was in einer IT-Umgebung als reguläres Verhalten gilt. Hierzu werden verschiedene Rechner- und menschliche Aktivitäten überwacht und erlernt. Diese reichen von den Ports der Server, die normalerweise für die externe Kommunikation verwendet werden, bis hin zu den Anmeldestandorten und -gewohnheiten der Mitarbeiter. Aktivitäten, die von der Norm abweichen, werden gekennzeichnet und von Sicherheitsanalysten näher untersucht. Wenn die Analysten ein Event als falsch positives Ergebnis verwerfen, können die Sicherheitstools aus dieser Erfahrung lernen, sodass beim nächsten Auftreten eine Kennzeichnung weniger wahrscheinlich ist. Skalierung ohne Performanceverschlechterung Die Datenerfassung und -analyse wird von einer verteilten Computing-Architektur anstatt von einer monolithischen, zentralen Datenbank verarbeitet. Da die Workload auf eine Vielzahl von Computing-Nodes verteilt wird, profitieren Organisationen von schnelleren Ergebnissen und einem extrem modularen und skalierbaren System. Um die Datenerfassung und -analyse in einem neuen Netzwerksegment oder einer Zweigstelle zu ermöglichen, müssen die Unternehmen lediglich eine neue Node hinzufügen. Wenn die Datenanalyseanforderungen eines Unternehmens steigen, kann das modulare, verteilte System linear skaliert werden ohne Performanceverschlechterung oder einen hohen Kostenanstieg. SCHADSOFTWAREANALYSE: ALLES WIRD ÜBERPRÜFT Bei der in gezielten Cyberangriffen verwendeten Software handelt es sich im Allgemeinen nicht um Schadsoftware, die Antivirenforscher bereits als bösartig gekennzeichnet haben. Trotzdem behaupten die Hersteller mancher Sicherheitstools immer noch, dass ihre Tools Unternehmen schützen, indem sie die IT-Umgebungen scannen und dabei die Signaturen von Schadsoftware verwenden, die leicht verändert werden kann. Intelligence Driven Security-Systeme verzichten auf ein signaturbasiertes Scanning, da sich dieses als ineffektiv erwiesen hat. Um Schadsoftware zu erkennen, gehen sie stattdessen davon aus, dass nichts vertrauenswürdig ist, dass jedes Programm gefährlich, jede Kommunikation verdächtig, jeder Rechner infiziert und jedes Betriebssystem beschädigt ist. Seite 7

8 Risikobasierte Erkennung von Schadsoftware Tools zur Erkennung von Advanced Threats untersuchen das Verhalten von Rechnern, Netzwerken und Prozessen, um festzustellen, ob diese durch Schadsoftware infiziert sind oder waren. Diese Tools erkennen nicht nur Incidents. Sie bewerten das Risiko und priorisieren Warnmeldungen für die Problembehebung. Dateien, die als bösartig erkannt werden, erhalten möglicherweise eine niedrigere Priorität, wenn sie als normale Schadsoftware eingestuft werden, die mehr ein Ärgernis als eine echte Bedrohung darstellt. Im Gegensatz dazu können Dateien, die nach außen hin keinerlei Anzeichen dafür aufweisen, dass sie auf irgendeine Weise verändert wurden, eine speziell kompilierte ausführbare Datei enthalten, die nur ausgeführt wird, wenn sie bestimmte Systeme erreicht oder ein heimlicher Befehl gegeben wird. Um diese Art von gefährlicher und benutzerdefinierter Schadsoftware zu identifizieren, nutzen fortschrittliche Systeme zur Erkennung von Advanced Threats verschiedene Analysetechniken, mit denen die Risikolevel verdächtiger Dateien bewertet werden. So kann eine Organisation z. B. eine Regel einführen, die dafür sorgt, dass das Sicherheitssystem alle neuen ausführbaren Dateien, die in die Unternehmensnetzwerke gelangen, analysiert. Anschließend isoliert das System zur Erkennung von Schadsoftware neue ausführbare Dateien und führt sie in einer Quarantäneumgebung aus. Dabei werden sämtliche Abläufe aufgezeichnet. Werden verdächtige Verhaltensweisen beobachtet, wird die Risikostufe erhöht. Hierzu gehören Änderungen an den Registrierungseinstellungen oder das Ersetzen von Betriebssystem-DLLs. Natürlich kann legitime Software diese Aktionen ebenfalls ausführen, z. B. zur Integration von Funktionen in vorhandene Software oder zum Installieren eines Patches. Falls die neue ausführbare Datei jedoch eine dieser Verhaltensweisen zusammen mit ungewöhnlichen Netzwerkverbindungen aufweist, wird die allgemeine Risikostufe drastisch hochgestuft. Bei der datenbasierten Erkennung von Schadsoftware werden mehrere Faktoren miteinander in Beziehung gesetzt, um wahrscheinlichkeitsbasierte Entscheidungen über das Risiko zu treffen. Anschließend werden priorisierte Warnmeldungen für Sicherheitsanalysten ausgegeben. Letztendlich liegt es bei diesen Sicherheitsanalysten, den Schweregrad einer Bedrohung zu beurteilen. Da die Intelligence Driven Security-Tools jedoch die Hintergrundarbeit übernehmen, können diese Entscheidungen deutlich schneller und genauer getroffen werden. Zentrale Korrelation verdächtiger Endpunktaktivitäten Die Scanningergebnisse für Endpunkte werden an einen zentralen Server gesendet, auf dem bekannte und unbekannte Dateien identifiziert und verdächtige Aktivitäten gekennzeichnet werden. Die Dateien (einschließlich Prozesse, Treiber, DLLs usw.) werden analysiert, und basierend auf dem beobachteten Verhalten werden Verdachtslevel zugewiesen. Das Dateiverhalten kann global für das gesamte Unternehmen korreliert werden, um zu zeigen, ob die potenzielle Schadsoftware auf einem Rechner aktiv ist und auf einem anderen nicht. Organisationen erhalten zudem Insights darüber, wie weit verbreitet eine bestimmte Datei in der gesamten Umgebung ist. Wird eine bestimmte Datei beispielsweise auf Tausenden von Rechnern im Unternehmen gefunden, handelt es sich möglicherweise um eine Standard-IT-Anwendung, die bei der Untersuchung aus der Ansicht der Sicherheitsanalysten herausgefiltert werden kann. Wird andererseits eine bösartige Datei identifiziert, können Organisationen rasch beurteilen, wie umfangreich die Infektion ist, da sofort alle Rechner mit derselben bösartigen Datei angezeigt werden. Priorisierte Warnmeldungen zur schnelleren Untersuchung und Beseitigung von Schadsoftware Um das Arbeitspensum der Sicherheitsanalysten zu reduzieren, werden beim datenbasierten Ansatz zur Erkennung von Schadsoftware die aus vorherigen Scanningergebnissen gewonnen Erfahrungen sowie eine Baseline für die Umgebung genutzt, um unbekannte verdächtige Dateien automatisch zu kennzeichnen. Bevor die Scanningergebnisse den Analysten präsentiert werden, werden sie mit einem globalen Repository von Dateien verglichen, die bereits von Analysten untersucht und auf eine weiße Liste gesetzt wurden, d. h. als vertrauenswürdige gelten. Vertrauenswürdige Dateien werden aus den Scanningergebnissen entfernt, damit diese für die Sicherheitsanalysten rasch übersichtlicher wird. Seite 8

9 Konsolen zur Erkennung von Bedrohungen an Endpunkten präsentieren nicht nur eine Liste der Scanningergebnisse. Sie priorisieren außerdem potenzielle Probleme, damit die Analysten sehen, welche zuerst untersucht werden müssen. Zur Beschleunigung von Untersuchungen stellt die Konsole zur Erkennung von Bedrohungen an Endpunkten umfangreiche Details über potenzielle Probleme bereit. Sie korreliert beispielsweise verdächtige Verhaltensweisen für eine Datei (z. B. eines Treibers, eines Prozesses, einer DLL) und zeigt dann mittels statischer und heuristischer Analysen an, was über die Datei bekannt ist (z. B. Dateigröße, Dateiattribute, MD5-Datei-Hash). Sicherheitsanalysten nutzen die Tools und Daten der Konsole, um festzustellen, ob es sich um eine bösartige Datei handelt, die auf eine schwarze Liste gesetzt werden muss, oder eine harmlose Datei, die auf eine weiße Liste gehört. Wird eine Datei als bösartig eingestuft, können sofort alle Vorkommnisse des Problems in der gesamten IT-Umgebung identifiziert werden. Sobald dann eine Gegenmaßnahme bestimmt wurde, kann das Sicherheitsteam die erforderlichen forensischen Untersuchungen durchführen und/oder alle betroffenen Endpunkte bereinigen. REAKTION AUF INCIDENTS: SCHNELLE, GEZIELTE AKTIONEN Durch die zunehmende Größe und Komplexität von IT-Umgebungen steigt die Zahl der Schwachstellen. Das bedeutet jedoch nicht, dass das Risiko an allen potenziellen Eingangspunkten gleich hoch ist. Wird ein echter Angriff oder Incident vermutet, müssen die Sicherheitsteams schnell agieren, um den Angreifern den Zugriff auf ihre IT-Umgebung zu verwehren und den Schaden zu mindern. Hierzu sind eine entsprechende Planung, Mitarbeiterschulungen und in manchen Fällen auch externe Hilfe nötig. Planung und Maßnahmen zur effektiven Vorbereitung auf Sicherheitsverletzungen Gut vorbereitete Sicherheitsteams sind mit den wertvollen Informationsressourcen einer Organisation vertraut und wissen, welche Systeme, Anwendungen und Benutzer auf diese Zugriff haben. Wenn den Sicherheitsanalysten diese Parameter bekannt sind, können sie den bei einer Sicherheitsverletzung untersuchten Bereich eingrenzen und so schneller und souveräner auf Probleme reagieren. Sicherheitsteams sollten regelmäßig überprüfen, wie gut die Organisation auf Sicherheitsverletzungen vorbereitet ist, und Übungen zur Problembehebung durchführen, um so die Geschwindigkeit und Effizienz im Umgang mit Cyberangriffen zu verbessern. Im Rahmen dieser Überprüfung müssen die Sicherheitsteams eine Bestandsaufnahme der zu schützenden wichtigen IT-Ressourcen durchführen, die Workflows zur Untersuchung und Beseitigung von Incidents überprüfen und Bereiche evaluieren, in denen Verbesserungen erforderlich sind. Um proaktiv planen und agieren zu können, müssen Organisationen ihre Sicherheits-Policies an den geschäftlichen Prioritäten sowie den behördlichen Auflagen ausrichten. Durch proaktive Maßnahmen können Organisationen ihre Fähigkeiten in Bezug auf Erkennung und Management von Bedrohungen und die Reaktion auf Bedrohungen schrittweise verbessern. Durch eine optimierte Personalplanung und Verbesserung der Kompetenzen des Sicherheitsteams können knappe Ressourcen optimal genutzt werden. Darüber hinaus können gezielt Schulungen durchgeführt werden, damit die Sicherheitsmitarbeiter besser in der Lage sind, auf Incidents zu reagieren. Datenbasierte Reaktion auf Incidents für schnellere und bessere Ergebnisse Sicherheitsteams finden häufig potenzielle Anzeichen für einen Eindringversuch oder eine Sicherheitsverletzung. Um die Ursache hierfür zu ermitteln, ist jedoch eine Untersuchung nötig. Oftmals verbringen Organisationen Wochen oder sogar Monate damit, nach den möglichen Ursachen zu forschen. In einem solchen Fall ist es hilfreich, IR-Fachleute (Incident Response, Reaktion auf Incidents) mit speziellen Kenntnissen und Tools hinzuzuziehen. IR-Spezialisten können Technologien implementieren, die die Aktivitäten im Netzwerk und an Endpunkten in Schlüsselbereichen der IT-Umgebung erfassen. Auf Grundlage der Scans, Analysen und zusätzlichen Informationen, die von diesen Technologien erzeugt werden, können erfahrene IR-Fachleute in der Regel genau bestimmen, wo und wie es zu Sicherheitsverletzungen kommt, und Cyberangriffe deutlich schneller stoppen als die Organisation dies ohne ihre Hilfe könnte. Seite 9

10 Konsolidierter Kontext für schnellere Untersuchungen Intelligence Driven Security-Lösungen erfassen zahlreiche Hintergrund- und ergänzende Informationen, die bei der Untersuchung von Incidents hilfreich sein können. Warnmeldungen aus verschiedenen Sicherheitsmonitoringsystemen werden in einer einzigen Sicherheitsmanagementkonsole zusammengefasst. Diese ermöglicht es Analysten, mit nur wenigen Mausklicks Datenquellen, betroffene Rechner und andere Incident-bezogene Informationen in einer Detailansicht anzuzeigen. Die Sicherheitsmanagementkonsole ist zudem in die Risikomanagementsoftware von Unternehmen integrierbar. So lassen sich kontextabhängige Informationen darüber abrufen, wie schwerwiegend die Auswirkungen der gefundenen Incidents und betroffenen Systeme auf das Unternehmen sind. Jedem Incident wird eine Priorität zugewiesen. Diese richtet sich nach den gefährdeten Informationen, dem Risiko für die Organisation und dem Schweregrad des Sicherheitsproblems. Anhand all dieser zusätzlichen Informationen können die Analysten Incidents sorgfältiger, genauer und schneller untersuchen. Darüber hinaus nehmen Intelligence Driven Security-Systeme Daten aus externen Quellen auf, die die internen Sicherheitsdaten der Organisation ergänzen. Die Sicherheitsanalyseplattform und das Management-Dashboard identifizieren, aggregieren und operationalisieren die besten Daten- und Kontextquellen der Organisation sowohl interne als auch externe um die Entscheidungsfindung und die Workflows für die Analysten zu beschleunigen. ZUSAMMENFASSUNG Durch eine datenbasierte Erkennung von und Reaktion auf Bedrohungen können Organisationen für hohe Sicherheitsstandards sorgen, um auf die schnell wachsenden und unvorhersehbaren Gefahren der heutigen Zeit besser vorbereitet zu sein. Um eine datenbasierte Erkennung von Bedrohungen zu ermöglichen, müssen Netzwerke und Endpunkte vollständig transparent sein. Zudem ist der Einsatz fortschrittlicher Datenanalysetechniken zur Identifizierung von Schadsoftware erforderlich, die über die Verwendung von Hashes und Signaturen hinausgehen. Für die datenbasierte Reaktion auf Bedrohungen sorgen erfahrene Sicherheitsmitarbeiter, die fortschrittliche Sicherheitsanalysen und Managementtools nutzen. Diese Tools verbessern in hohem Maße die Geschwindigkeit und Genauigkeit von Sicherheitsermittlungen, da sie über eine zentrale Managementkonsole alle nötigen Kontextinformationen zu einem Incident bereitstellen und potenzielle Probleme für weitere Untersuchungen priorisieren. Intelligence Driven Security ermöglicht beispiellose Effizienz bei der Erkennung von und Reaktion auf Bedrohungen, da das Zusammenspiel von Sicherheitsmitarbeitern, Prozessen und Technologien in einer Organisation optimiert wird. Dabei werden Tools integriert, die den Sicherheitsanalysten mehr Transparenz und einen besseren Überblick bieten sowie zentrale Analysen und ein zentrales Reporting ermöglichen. Die Tools dienen außerdem dazu, Workflows und Prozesse zur Problembehebung auf Basis von bewährten Verfahren und der Policies der Organisation zu steuern. Wenn Organisationen ihren Sicherheitsteams aufeinander abgestimmte Tools und Prozesse zur Verfügung stellen, können sie den Zeitaufwand der Sicherheitsanalysten für Routineprozesse reduzieren, sodass diese sich der Beseitigung von Bedrohungen mit hoher Priorität widmen können. Das Ergebnis ist ein verbessertes, flexibleres Sicherheitsmanagement, das Organisationen in die Lage versetzt, nicht nur auf schwerwiegende Sicherheitsbedrohungen zu reagieren, sondern auch im digitalen Umfeld sorgenfreier zu agieren. Seite 10

11 LÖSUNGEN VON RSA ZUR DATENBASIERTEN ERKENNUNG VON UND REAKTION AUF BEDROHUNGEN RSA Advanced Cyber Defense Practice stellt ein ganzheitliches Angebot an Lösungen bereit, mit denen Kunden ihre Unternehmensziele wahren, die betriebliche Effizienz steigern und mit einer dynamischen Bedrohungslandschaft Schritt halten können. Gezielte Angriffe konzentrieren sich häufig auf den Diebstahl wichtiger Ressourcen und Daten und nutzen Techniken, die herkömmliche Verteidigungsmechanismen umgehen. RSA hilft Organisationen dabei, ihre vorhandenen Sicherheitsfunktionen zu erweitern und Gegenmaßnahmen zu implementieren, die verhindern sollen, dass Cyberangreifer ihr Ziel erreichen. Die von RSA angebotenen Services umfassen Gap-Analysen, Ablaufmodellierung, Informationen zu Cyberbedrohungen, Infrastruktursicherung und die Entwicklung und Automatisierung von Sicherheitsprozessen. Die Services sollen Organisationen dazu dienen, ihre technischen und Betriebsfunktionen in einem einheitlichen Sicherheitsprogramm zusammenzuführen, das auf ihre Risikomanagementprioritäten und Geschäftsziele abgestimmt ist. RSA legt besonderen Wert auf die zum Schutz einer Organisation erforderlichen vorbeugenden Maßnahmen und bietet darüber hinaus Services zur Reaktion auf Incidents und zur Problembehebung an, um den Gefährdungszeitraum für Sicherheitsverletzungen zu verkürzen und die Auswirkungen von Angriffen zu mindern. RSA Education Services stellt Schulungskurse zur Informationssicherheit für IT-Mitarbeiter, Softwareentwickler, Sicherheitsfachleute sowie für Mitarbeiter im Allgemeinen bereit. Die Kurse werden von Sicherheitsexperten der Advanced Cyber Defense Practice von RSA durchgeführt und verbinden Theorie, Technologie und szenarienbasierte Übungen, um die Teilnehmer aktiv in den Lernprozess einzubinden. Der derzeitige Lehrplan umfasst Themen wie Schadsoftwareanalysen und Informationen zu Cyberbedrohungen. RSA Education Services bietet zudem einen Workshop zum Umgang mit Advanced Threats wie APTs an. Die Kurse sollen in möglichst kurzer Zeit so viele Lerninhalte wie möglich vermitteln, um die Ausfallzeiten der Mitarbeiter zu minimieren. RSA Enterprise Compromise Assessment Tool (ECAT) ist eine Unternehmenslösung zur Erkennung von und Reaktion auf Bedrohungen. Sie dient zur Überwachung von IT-Umgebungen und zum Schutz vor unerwünschter Software. Hierzu gehört auch schwer erkennbare Schadsoftware wie sorgfältig verborgene Rootkits, Advanced Persistent Threats (APTs) und nicht identifizierte Viren. RSA ECAT automatisiert die Erkennung von Unregelmäßigkeiten in Computeranwendungen und im Speicher, ohne dass Virensignaturen überprüft werden müssen. Anstatt Schadsoftwarebeispiele zu analysieren, um Signaturen zu generieren, erstellt RSA ECAT eine Baseline zur Erkennung von Unregelmäßigkeiten in bekannten und für gut befundenen Anwendungen. Dabei werden unwichtige Informationen herausgefiltert, um bösartige Aktivitäten auf infizierten Rechnern zu identifizieren. Die RSA ECAT-Konsole gibt einen zentralen Überblick über die Aktivitäten im Speicher eines Rechners. Auf Basis dieser Informationen kann Schadsoftware rasch identifiziert werden, unabhängig davon, ob eine Signatur vorhanden ist oder ob die Schadsoftware bereits bekannt ist. Wenn eine einzelne bösartige Aktion erkannt wurde, kann RSA ECAT Tausende von Rechnern scannen, um weitere Endpunkte zu ermitteln, die infiziert wurden oder gefährdet sind. Seite 11

12 Einführung von Intelligence Driven Security RSA Security Analytics wurde entwickelt, um Organisationen das nötige Situationsbewusstsein für den Umgang mit ihren dringendsten Sicherheitsproblemen zu vermitteln. Durch das Analysieren des Netzwerkverkehrs und das Protokollieren von Event-Daten bietet die RSA Security Analytics-Lösungen Organisationen einen umfassenden Überblick über ihre IT-Umgebung. So können Sicherheitsanalysten Bedrohungen rasch erkennen, untersuchen und priorisieren, Entscheidungen zur Problembehebung treffen, Maßnahmen ergreifen und automatisch Berichte erstellen. Die verteilte Datenarchitektur der RSA Security Analytics-Lösung ist für die Erfassung und Analyse hoher Datenvolumen oftmals Hunderte von Terabyte und mehr mit hoher Geschwindigkeit und unter Einsatz verschiedener Analysemethoden ausgelegt. Darüber hinaus ruft die Lösung über RSA Live Informationen zu neuen Tools, Techniken und Verfahren ab, die von der Angreifercommunity eingesetzt werden. So werden Organisationen vor potenziellen, ihr Unternehmen betreffenden Bedrohungen gewarnt. RSA Security Operations Management ermöglicht Analysten eine effiziente Erkennung von und Reaktion auf Sicherheits-Incidents und Datenschutzverletzungen. Hierfür wird eine zentrale Orchestrierungsebene für Sicherheitsermittlungen bereitgestellt, die Personen, Prozesse und Technologien integriert. Die Lösung führt Sicherheitssysteme und -prozesse in einem Gesamtkontext zusammen, um die Reaktion auf Incidents zu vereinfachen. Darüber hinaus unterstützt sie Sicherheitsteams bei der Nachverfolgung und beim Reporting von Key-Performance-Indikatoren. Das RSA Security Operations Management-Framework basiert auf Branchen-Best-Practices für die Reaktion auf Incidents und das Management von Sicherheitsverletzungen. INFORMATIONEN ÜBER RSA RSA, The Security Division of EMC, ist der führende Anbieter von Intelligence Driven Security-Lösungen. RSA unterstützt weltweit führende Unternehmen bei der Bewältigung ihrer anspruchsvollen und sensiblen Sicherheitsherausforderungen: dem Management von Unternehmensrisiken, der Sicherung von Zugriffen und Zusammenarbeit über Mobilgeräte, der Verhinderung von Onlinebetrug und dem Schutz vor Advanced Threats. RSA bietet flexible Kontrollen für die Identitätssicherung, die Betrugserkennung und den Datenschutz, robuste Security Analytics und branchenführende GRC-Funktionen sowie Unterstützung durch Experten und Beratungsservices. Weitere Informationen finden Sie unter EMC 2, EMC, das EMC Logo, RSA, Archer, FraudAction, NetWitness und das RSA-Logo sind eingetragene Marken oder Marken der EMC Corporation in den USA und anderen Ländern. Microsoft und Outlook sind eingetragene Marken von Microsoft. Alle anderen in diesem Dokument erwähnten Produkte oder Services sind Marken der jeweiligen Inhaber. Copyright 2014 EMC Corporation. Alle Rechte vorbehalten. H13402