Advanced Malware: Bedrohungslage und konkrete Schutzstrategien

Größe: px

Ab Seite anzeigen:

Download "Advanced Malware: Bedrohungslage und konkrete Schutzstrategien"

Ida Maurer
vor 6 Jahren
Abrufe

1 Advanced Malware: Bedrohungslage und konkrete Schutzstrategien 26. Juni 2017 Christian Schwarzer, Co-CEO

2 Arten von Malware: Ein Klassifizierungsversuch «Klassische» Malware Generische Advanced Malware Gezielte Advanced Malware Viren, Würmer, Spyware, Trojaner und allgemein Malware mit «Signatur» Generisch und weit verbreitet Anti-Virus (AV) Software ist effektiver Schutz Beispiele: Melissa I LOVE YOU Generische Malware, die von AV nicht erkannt wird («signaturlos») Intelligente Features und Evasions-Techniken Zunehmende Verbreitung infolge Exploit-Kits Beispiele: Zero-Day Exploits Bot-Netze Ransomware Hoch-spezifische Malware speziell entwickelt für Angriff auf bestimmtes Ziel (Advanced Persistent Threat: APT) Professionelle Angreifer Entwickelt sich typisch entlang einer «Kill-Chain» Beispiele: Gezielte Angriffe auf Industrien wie Finanz, Energie / Infrastruktur und Behörden

3 Kill-Chain : Typischer Verlauf eines gezielten Angriffs (APT) PRÄSENZ ERHALTEN LATERALE BEWEGUNG INITIALE KOMPROMIT-TIERUNG BRÜCKENKOPF ERRICHTEN PRIVILEGIEN AUSWEITEN INTERNE RECONNAIS-SANCE MISSIONSZIEL ERREICHEN UNBEFUGTE VERWENDUNG VON ACCOUNTS BEKANNTE & UNBEKANNTE MALWARE COMMAND & CONTROL AKTIVITÄTEN VERDÄCHTIGER NETZWERK-VERKEHR DATEI-ZUGRIFF DURCH ANGREIFER MISSBRAUCH VON TOOLS/ PROGRAMMEN LOG-FILES ANZEICHEN EINER KOMPROMITTIERUNG Quelle: FireEye

4 Malware-Aktoren: Klassische Sicht mit Unterscheidung nach Motivation und Zielen Crimeware Aktoren (Cybercrime Gruppen) APT Aktoren (Nation-State) Hacktivists (Anonymous, LulzSec) Quelle: FireEye

5 Malware-Aktoren In Realität schwierig zuordenbar APT Aktoren (Nation-State) Crimeware Aktoren (Cybercrime Gruppen) Hacktivists Quelle: FireEye

6 Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Threat-Industrie und breit verfügbare Malware-Kits Polymorphe und signaturlose Malware Gezielt entwickelte Malware % 70% Neue Threats pro Minute Catch-rate mit Antivirus Malware spezifisch nur in einer Firma Intelligente Malware (Timer, Evasion, Sandbox Detection) 89% Firmen denken, dass sie versteckte Malware haben Quellen: McAfee, WSJ, Sans.org, Avecto

7 Angriffskanäle und Angriffsvektoren Kanäle Mail Web USB 87% 12% 1% Phishing Spear-Phishing Drive-By Downloads Watering-Hole Attacks Vektoren Vulnerabilities Quelle: Unit 42, Bromium

8 Security Prinzipien: Grundsteine der Malware-Bekämpfung 1. Regelmässiges Patching 2. Minimales System (Komplexität vermeiden) 3. «Least privileges» (Keine Admin-Rechte) 4. Mehrschichtige Security 5. Den schwächsten Link absichern 6. Starke Authentisierung 7. Segregation of Duties (Funktionstrennung)

9 Mehrschichtige Security 1 Firewall & Netzwerk 2 3 Web-Gateway Mail- Gateway Firewall Traffic-Control, Segmentierung, IPS Traffic-Analyse Web-Gateway URL-Filter, Webreputation Content-Filter, AV, Anti-Malware Mail-Gateway Anti-Spam Content-Filter, AV, Anti-Malware 4 5 Endpoint Server 4 Endpoint AV, Anti-Malware Authentisierung, Remote Access «Mobile» ist auch ein Endpoint 6 User 5 Server Data- und Application-Security AV, Advanced Malware Security 6 User Awareness (z.b. Phishing) Policies / «Kultur»

10 Endpoint Security: Schutz über den ganzen Lebenszyklus eines Angriffs Pre-Execution Execution Post-Execution Prevention Detection Response Investi-gation Remedi-ation Verhinderung der Ausführung von Schadcode basierend auf : (a) Analyse, (b) Prediction oder (c) Isolation Schädlichen Code zu Laufzeit erkennen (z.b. durch Verhaltens- Analyse) Unmittelbar oder nach-gelagert auf eine Bedrohung oder deren Impact reagieren (z.b. befallenen Client isolieren) Identifikation von kompromittierten Assets Analyse von Angriffsmustern und Angreifer-Verhalten Wiederherstel-lung des Ursprungszustands und Bereinigung (z.b. Rollback des Clients)

11 Endpoint Security Market Overview Quelle: Momentum Partners

12 Gartner: Endpoint Protection Quadrant

13 NSS Labs

AVANTEC Endpoint-Security Vergleich (Auszug) Kategorie Prevention Prevention Prevention Detection/ Remediation Kern- Technologie Isolation durch Micro-VM OS Windows / Mac (nur Web) Mgmt.

14 AVANTEC Endpoint-Security Vergleich (Auszug) Kategorie Prevention Prevention Prevention Detection/ Remediation Kern- Technologie Isolation durch Micro-VM OS Windows / Mac (nur Web) Mgmt.- Konsole Citrix App. Control Privilege Mgmt Content Isolation Pre-Execution Analyse von Files mit AI Behaviour-Analyse und Roll-Back Detection/ Investigation Analyse (Korrelationen) und Forensik Prevention / Investigation Real Time EDR Windows / Mac Windows / Mac Windows / Mac Windows / Mac Windows / Mac On premise On premise Cloud Cloud On premise Cloud / On premise (Cb Defense nur Cloud) VDI (Terminal Services under investigation) Ja Ja Ja Ja Ja AV-Ersatz Nein Nein Nein Nein Ja* (mit HX ab Ende 2017) Offline- Schutz Cb DEFENSE: ja Cb RESPONSE: nein Ja Ja Ja Partiell Ja Partiell Usability Hoch Hoch (für eine White-Listing Lösung) Investigation -Funktionen Threat Summary, Attack story, BEM Filter, IOC Search (Hash) Audit-Trail Applikationsverwe ndung und Privilegien Hoch Hoch Hoch Hoch Cylance Optics Attack Story Line Analytics und Forensics Cb Response: Umfangreichste Logging, Filter und Such-Tools für IR und Hunting

15 Advanced Malware Protection: Schlussfolgerungen und Empfehlungen Get the basics right: Security-Prinzipien umsetzen Generell: So viel Prevention wie möglich Kein one size fits all bei Anti-Malware Lösungen: Zusammenspiel der verschiedenen Layer Risiko-basierter-Ansatz: Kosten vs. Nutzen und akzeptable Rest-Risiken Organisatorische und kulturelle Voraussetzungen (Impact auf Endbenutzer) Malware Protection ganzheitlich angehen

16 BACKUP SLIDES

17 Referenzen

Dienstleistungszyklus Optimale Beratung gemäss Ihren Bedürfnissen Überzeugende Konzepte dank Erfahrung und Kompetenz Effiziente Evaluation im Rahmen

18 Dienstleistungszyklus Optimale Beratung gemäss Ihren Bedürfnissen Überzeugende Konzepte dank Erfahrung und Kompetenz Effiziente Evaluation im Rahmen einer Teststellung Erfolgreiche Projekt-realisierung inkl. Know-how Transfer Hochwertiger Support Kontinuierliche Betreuung seitens Verkauf und Technik

Ähnliche Dokumente

2. Automotive SupplierS Day. Security

2. Automotive SupplierS Day. Security 2. Automotive SupplierS Day Security Cyber security: Demo Cyberangriffe Steigen rasant An BEDROHUNGEN VERÄNDERN SICH: Heutige Angriffe durchdacht und erfolgreich Damage of Attacks DISRUPTION Worms Viruses