WHITEPAPER: Endpoint Security und automatisches Sandboxing
Eine Welt voller Bedrohungen Jeder Computer, Laptop, jedes Tablet oder Mobiltelefon, das mit Ihrem Netzwerk verbunden ist, ist eine Schwachstelle, die geschützt werden muss Wir leben in einer Welt ständiger Bedrohungen. Jede Stunde am Tag arbeiten Hacker in jedem Land der Welt fieberhaft daran, große und mittelständische Unternehmen aus jedem Sektor und in jeder Region anzugreifen und schreiben Schadcodes, um Ihre Webseiten und Computernetzwerke zu hacken, oder um an andere Unternehmensdaten zu gelangen. Jeder Computer, Laptop, jedes Tablet oder Mobiltelefon, das mit Ihrem Netzwerk verbunden ist, ist anfällig für Viren, Würmer, Spyware, Rootkits, trojanische Pferde oder andere Schadsoftware, die alle dafür geschaffen wurden, Ihre Unternehmensabläufe zu stören oder Zugang zu geschützten Daten und Informationen zu erlangen. Eine 2013 durchgeführte Erhebung des Unternehmens The Small Business Authority unter mehr als 100.000 Teilnehmern enthüllt, dass trotz dieser fortdauernden Bedrohung die Mehrheit der Unternehmer in Unkenntnis über die Sicherheit ihrer Webseite ist und 60 % sich gar keine Sorgen um Schwachstellen machen. Barry Sloane, Präsident und CEO der Organisation mein dazu: Trotz des Anstiegs der Cyberangriffe herrscht unter den unabhängigen Unternehmern eine Atmosphäre der Selbstsicherheit, da sie denken, dass so ein Angriff sie nicht treffen wird, obwohl Organisationen, die einen solchen Angriff erleben, in ihrer Existenz gefährdet werden können." Und nicht nur kleine Unternehmen sind gefährdet. 2012 wurde die Social Networking Seite LinkedIn gehackt und über sechs Millionen Kundenpasswörter gestohlen, die dann in einem Online-Hacker-Forum öffentlich gepostet wurden. Ähnliche Angriffe ereigneten sich auch auf der Musikseite Last.fm von CBS und der Online-Dating-Seite eharmony. Global Payments, ein führendes Zahlungsabwicklungsunternehmen, gab bekannt, dass die Kosten im Zusammenhang mit dem Diebstahl von ungefähr 1,4 Millionen seiner Zahlungskarten rund 63,9 Millionen betrugen. Ein Bericht aus dem Jahr 2012 schätzt die Gesamtkosten für Angriffe auf die Computersicherheit weltweit auf den Rekordbetrag von 103 pro Datensatz. Beispiele für gestohlene Informationen sind der Abgriff von Zahlungstransaktionen, Mitarbeiterdaten, Sozialversicherungsnummern, Finanzdaten und geschützte Forschungsdaten. Hinzu kommt der Verlust des guten Rufes bei Kunden, potentiellen Kunden und Geschäftspartnern. Es ist unschwer zu erkennen, warum Endpoint Security längst keine Option mehr ist, sondern höchste Priorität für jedes Unternehmen, unabhängig davon in welcher Branche es tätig ist, hat. Mobile Sicherheit und der Aufstieg von BYOD Die International Data Corporation (IDC) schätzt, dass die Hälfte der US- Bevölkerung Smartphones nutzt und dass die Zahl der Nutzer, die für das Jahr 2013 auf 181,4 Mio. taxiert wurde, in den darauffolgenden vier Jahren auf 222,4 Mio. steigt. Viele dieser Smartphones werden von Arbeitnehmern genutzt, um sich mit den Firmennetzwerken zu verbinden. Die meisten dieser Verbindungen
sind ungeprüft und ungesichert. Das Phänomen, das persönliche Smartphone für Geschäftszwecke zu nutzen, nennt sich Bring Your Own Device, oder kurz gesagt, BYOD. Der durchschnittliche mobile Sicherheitsvorfall kostet über 75.000,-- viele Fälle summieren sich sogar auf über 378.000,-- Da so viele Arbeitnehmer über Endpoints wie Smartphones oder andere mobile Geräte auf ihre Firmennetzwerke zugreifen, ist es keine Überraschung, dass die Mehrheit der Unternehmen im letzten Jahr einen Zwischenfall im Bereich der mobilen Sicherheit hatte. Einem Bericht von Dimensional Research zufolge belaufen sich die durchschnittlichen Kosten für einen Zwischenfall bei der mobilen Sicherheit auf über 75.000,--, vielen davon sogar auf über 378.000,--. Die steigende Zahl der Zwischenfälle ist darauf zurückzuführen, dass die mobile Sicherheit weiterhin vernachlässigt wird. 67 % der für die Erhebung befragten Unternehmen lassen zu, dass man über mobile Geräte auf ihre Netzwerke zugreifen kann. 88 % dieser Geräte werden dazu genutzt, um Firmen-E-Mails abzurufen und 53 % dieser Geräte haben Kundendaten gespeichert. Unternehmen, die ihren Mitarbeitern erlauben, persönliche mobile Geräte zu nutzen, geben an, dass die Anzahl der Geräte, die sich mit dem Unternehmensnetzwerk verbinden, steigt. Die meisten schätzen, dass sich mittlerweile fünfmal so viele persönliche mobile Geräte mit ihren Firmennetzwerken verbinden wie noch vor zwei Jahren. Fast alle berichten, dass sie Probleme hatten, BYOD-Richtlinien einzuführen, wobei die Sicherheitsinformationen des Unternehmens die größte Herausforderung waren. Zero-Day-Angriffe und das Fenster für Schwachstellen Ein Zero-Day-Angriff zielt auf eine bislang unbekannte Schwachstelle in einer Computeranwendung ab. Dadurch, dass er bereits am selben Tag stattfindet, an dem die Schwachstelle erkannt wurde, haben Entwickler keine Zeit, das Problem zu lösen oder ad hoc Gegenmaßnahmen zu ergreifen. Malware-Verfasser können Zero-Day- oder Zero-Hour-Attacken über verschiedenste Angriffsvektoren ausnutzen. Webbrowser sind aufgrund ihrer weiten Verbreitung und Nutzung oft ein vorrangiges Ziel. Angreifer können auch E-Mail-Anhänge senden, die die Schwachstellen in der Applikation, die den Anhang öffnet, ausnutzen. Angesichts der Art der Zero-Day-Attacken ist es unmöglich, dass eine Blacklist zu 100 % aktuell ist und 100 % der Gefahren erkennt Schwachstellen, die von Hackern entdeckt werden, werden so lange wie möglich geheim gehalten und nur in Reihen der Hacker verbreitet, bis die Software- oder Sicherheitsfirmen von den Schwachstellen erfahren oder der Angriff enttarnt wurde. Klassische Antivirenprogramme verwenden eine sogenannte Blacklist, um solche Angriffe zu verhindern, indem bestimmt wird, welche Programme sicher ausgeführt werden können. Das Problem dabei ist, dass bei einer Blacklist die Bedrohung bereits identifiziert sein muss und die Blacklist-File des Antivirensystems auf dem neuesten Stand sein muss. Da die Schwachstelle bei einem Zero-Day-Angriff nicht identifiziert ist, ist es unmöglich, dass eine Blacklist immer zu 100 % aktuell ist und 100% der Gefahren erkennt. Das bedeutet, dass kein Schutz vollständig sein kann, solange er nicht auch die
Grauzone erfasst, bei der ein Programm nicht als bekannte Bedrohung auf der Blacklist ist, aber auch nicht auf der Whitelist als sicheres Programm aufgeführt ist. Ein Fall für Sandboxing - Isolierung und Containment Ein Sandbox-Verfahren bzw. die weiterentwickelte und zum Patent angemeldete Containment-Technologie von COMODO ermöglicht es Ihnen, verdächtige Programme in einer virtuellen Umgebung sicher auszuführen. Durch das Sandboxing eines Programms verhindern Sie, dass es dauerhafte Veränderungen an Ihren Daten oder am System vorgenommen werden können. Wenn sich herausstellt, dass das Programm gefährlich ist, wird dessen Ausführung gestoppt und damit sichergestellt, dass kein Schaden am System entsteht sowie die Integrität des Betriebssystems gewährleistet ist. Sandboxing ist eine Möglichkeit, mit Zero-Day-Angriffen, die sich unbekannte Sicherheitslücken in Websoftware wie Adobe Flash, Internet Explorer oder Java zunutze machen, fertigzuwerden. Sicherheitssoftware, die auf Blacklists beruht, kann Sie nicht vor diesen Bedrohungen schützen, da sie noch nicht identifiziert und diagnostiziert wurden. Eine Sandbox hingegen kann Sie schützen. Das Ausführen verdächtiger Anwendungen in einer Sandbox bietet einen Schutz, den eine Blacklist nicht bieten kann. Wenn ein Exploit Schadsoftware herunterlädt, während er in der Sandbox ist, ist sie isoliert und kann sich nicht verbreiten. Nicht alle Sandboxes sind gleich Sandboxes können in zwei Kategorien aufgeteilt werden: Stand-alone-Lösungen und solche, die in ein Sicherheitssystem integriert sind. Eine Stand-alone-Sandbox setzt voraus, dass der Nutzer die Programme auswählt, die in der Sandbox ausgeführt werden sollen. Diese Lösung ist bei Unternehmen beliebt, die riskante Software wie Internetbrowser isolieren möchten. Aber sie behandelt nicht das Problem der unbekannten Bedrohung. Sicherheitssysteme, die Sandboxes verwenden, bieten eine zusätzliche Schutzschicht, indem sie Antivirensoftware einsetzen, die potentielle Bedrohungen erkennt und sie dann in die Sandbox verschiebt. Antivirenscanner behandeln unbekannte Bedrohungen durch den Einsatz von Heuristiken. Dies ist ein Prozess, der sowohl das Verhalten eines Programms als auch Ähnlichkeiten mit bekannten Viren analysiert. Wenn ein Programm als gefährlich eingestuft wird, wird es isoliert und sicher in der virtuellen Sandbox ausgeführt. Heuristiken arbeiten gut, können aber auch keinen 100%-igen Schutz garantieren. Wie bei einer Blacklist muss hierbei zuerst eine Bedrohung entdeckt werden, bevor sie behandelt werden kann und es wird immer einen kleinen Prozentsatz von Bedrohungen geben, die von einem Scanner nicht entdeckt werden. Warum Default Deny die einzig garantierte Lösung ist Detection+ von Comodo ist die einzige Antivirenlösung, die garantiert, dass Ihr
Computer nicht durch einen Virus beschädigt wird. Detection+ ist eine Host-Based Intrusion Protection Solution (HIPS), die eine Default Deny -Strategie umsetzt, die den Zugriff aller unbekannten Anwendungen auf wichtige Dokumente, Ordner, Einstellungen und die Windows Registry verhindert. Default Deny verwehrt jeder Datei, außerhalb der virtuellen Sandbox etwas zu installieren oder auszuführen, außer wenn der Nutzer dies ausdrücklich zulässt oder wenn die Datei auf der Whitelist von Comodo gelistet ist. Die Whitelist umfasst ausführbare Programme, die bekanntermaßen sicher sind, wie beispielsweise Signed Code. Der Vorteil von Default Deny ist, dass es die Lücke schließt, die andere Antivirenprogramme offen lassen, indem es das Risiko unbekannter Bedrohungen komplett ausschaltet. Wo andere Antivirenlösungen Sie lediglich gegen Dateien schützen, die sie definitiv als gefährlich einstufen können, ist Default Deny von Comodo die einzige Lösung, die Sie gegen alle Dateien schützt, die nicht als komplett sicher bestätigt sind. Default Deny authentifiziert jeden ausführbaren und laufenden Prozess auf Ihrem Computer und verhindert Aktionen, die Ihre Daten beeinträchtigen oder schaden könnten. Genauso wichtig ist, dass Default Deny Ihnen Zugriff und die Möglichkeit mit den Dateien zu arbeiten gewährt, da sie innerhalb der virtuellen Sandbox-Umgebung ausgeführt werden. Das Ergebnis ist ein garantierter Schutz ohne den Verlust von Zeit, Geld oder Produktivität. Über Comodo: Comodo wurde im Jahr 1998 gegründet und hat sich zunächst einen Namen als Anbieter von SSL-VPN-Technologien gemacht. Mit seinen SSL-Lösungen verfügt Comodo mittlerweile über einen weltweiten Marktanteil von etwa 40 Prozent. Heute entwickelt das Unternehmen zudem innovative Antivirus-Lösungen für Endanwender und den professionellen Einsatz. Durch das zum Patent angemeldete Auto-Sandbox-Verfahren lässt sich nachweislich ein fast einhundertprozentiger Schutz vor Malware garantieren. Das USamerikanische Unternehmen befindet sich in Privatbesitz und beschäftigt weltweit über 1.350 Mitarbeiter an Standorten in den USA, China, UK, Italien, Rumänien, der Ukraine sowie der Türkei und in Japan. Mehr als 75 Prozent der Comodo-Mitarbeiter sind in der Forschung und Entwicklung tätig. Verteilt auf die unterschiedlichen Zeitzonen, betreibt Comodo acht Virenlabore. Diese so genannten Comodo Valkyrie TM Labs gewährleisten rund um die Uhr die zuverlässige Erkennung und Bekämpfung von Schädlingen aus dem Internet. Weitere Informationen unter: www.comodo.com. Weitere Informationen: Comodo Deutschland Karl Hoffmeyer Bleichstraße 3 D-33102 Paderborn Tel.: +49(0)172 / 4351289 E-Mail: karl.hoffmeyer@comodo.com Web: www.comodo.com