custom defense – eine lösung für flexiblen schutz vor ... · greifen sie weitere computer an,...

Trend Micro Whitepaper | März 2013

Custom Defense – eine Lösung für fl exiblen Schutz vor individuellen Bedrohungen

Trend Micro Whitepaper | Custom Defense – eine Lösung für fl exiblen Schutz vor individuellen Bedrohungen | Seite 2

Inhalt

Zusammenfassung .......................................................................................................................................3

Anatomie eines zielgerichteten Angriffs ........................................................................................................4

Realität und Kosten von zielgerichteten Angriffen .........................................................................................5

Strategische Möglichkeiten & Konsequenzen ...............................................................................................6

Die Alternative: Eine Lösung für fl exiblen Schutz vor individuellen Bedrohungen .........................................8

Custom Defense – die Trend Micro-Lösung für fl exiblen Schutz vor individuellen Bedrohungen ................10

Fazit ............................................................................................................................................................12


Zusammenfassung

Komplexe, zielgerichtete Angriffe (Advanced Persistent Threats, APTs) haben eindeutig unter Beweis gestellt, dass sie Standard-Sicherheitsmechanismen erfolgreich umgehen und monatelang unerkannt bleiben können, während sie wertvolle Daten abgreifen und ihr zerstörerisches Werk umsetzen.

Bereits für 2011 meldete PC World einen Anstieg von komplexen, zielgerichteten Angriffen um 81 Prozent, und 2012 gab es laut einer Untersuchung von Verizon bereits 855 Sicherheitsvorfälle und 174 Millionen kompromittierte Datensätze. Trotz dieser alarmierend hohen Zahlen reagierte die Sicherheitsbranche lediglich mit der „Überarbei-tung der Marketing-Aussagen zu APTs“ rund um die herkömmlichen Sicherheitstechnologien.

Doch Standard-Schutzmechanismen mit ihrem signaturbasierten, einheitlichen Ansatz sind nicht in der Lage, mit den jeweils individuell zugeschnittenen, zielgerichteten Angriffen und den entsprechenden Eindringlingen fertig zu werden. Diese Angreifer setzen Schadsoftware Social Engineering- und Hackertechniken ein, die speziell angepasst sind, um die Abwehrmaßnahmen eines bestimmten Angriffsziels zu umgehen. Sie sind so konzipiert, dass sie Standard-Sicherheitslösun-gen, die generische Signaturen verwenden, aushebeln.

Der Kampf gegen diese individuell ausgerichteten Angriffe erfordert auch eine individuell maßgefertigte Abwehr: Custom Defense – eine neue Strategie, die es versteht, sich auf Basis relevanter Erkenntnisse individuell auf die jeweilige Organisation und seine Angreifer einzustellen. Die Custom Defense-Lösung verstärkt somit die Standardsicherheit einer Organisation, indem sie komplexe, zielgerichtete Angriffe erkennt, sie im Detail analy-siert, den Schutz sofort dahingehend anpasst und Empfehlungen zur schnellen Eindämmung bereitstellt.

Das Whitepaper beschreibt die Herausforderungen, mit denen Verantwortliche im Bereich IT-Security konfron-tiert sind, und zeigt Alternativen auf im Kampf gegen diese Art von Angreifern. Darüber hinaus stellt das Papier dar, wie eine Lösung für fl exiblen Schutz vor individuellen Bedrohungen Verantwortliche dabei unterstützt, einen hochentwickelten Lebenszyklus – von der Erkennung über die Analyse und die Anpassung bis hin zur Reakti-on – zu implementieren, der bestehende Investitionen in die IT-Sicherheit aufwertet, aber auch neue Waffen im Kampf gegen ihre Angreifer bereitstellt.

Einer Ponemon-Studie zufolge, an der 56 große US-Unternehmen teilnah-men, hat es in 2012 pro Unternehmen und Woche 1,8 erfolgreiche Angriffe gegeben, die Unternehmen durchschnittlich 8,9 Mil-lionen $ gekostet haben.


Anatomie eines zielgerichteten Angriffs

APT ist mehr als nur ein Schlagwort. Beispiele für sorgfältig zugeschnittene Angriffe auf bestimmte Ziele in Unter-nehmen gibt es bereits – denkt man nur an Stuxnet und Flame. Während frühere Cyber-Attacken eine auf Masse ausgerichtete Strategie verfolgten, sind APT-Hacker gut organisiert, arbeiten als Teil eines professionellen Teams und dringen langsam aber sicher in ihre Zielunternehmen ein.

Zweck dieses zielgerichteten „One-to-One“-Ansatzes ist es, wertvolles geistiges Eigentum, wie etwa Geschäftsge-heimnisse zu entwenden, aber auch der Diebstahl von Geld, beispielsweise durch das Abfangen von Online-Ban-king-Transaktionen, das Abgreifen von Kreditkarten-, Authentifi zierungsdaten oder anderer persönlicher Identifi zie-rungsinformationen. Die Angreifer müssen lediglich einen einzigen Mitarbeiter dazu bringen, eine Schadsoftware auszuführen, die eine Zero-Day-Schwachstelle ausnutzt, um die Kontrolle über den PC des Opfers zu erlangen. Dadurch erhalten sie Zugriff auf das Unternehmensnetzwerk und können eine Reihe von schwer aufzuspürender Manöver starten, um ihr eigentliches Ziel zu erreichen.

InformationsbeschaffungEinzelne Personen werden über öffentliche Quellen (LinkedIn, Facebook usw.) identifi ziert und ausspioniert, um einen gezielten, individuellen Angriff vorzubereiten.

EintrittspunktDer erste Angriff erfolgt normalerweise durch Zero-Day-Malware mithilfe von Social-Engineering-Techniken (E-Mail, IM oder Drive-By-Download). Es wird eine Backdoor erstellt. Das Netzwerk kann damit infi ltriert wer-den. (Alternativ hierzu kann auch ein Hacker-Angriff über eine Website oder direkt über das Netzwerk erfolgen.)

Command & Control (C&C)-KommunikationErmöglicht dem Angreifer, die betroffenen Computer und die verwendete Malware für alle folgenden Angriffsphasen zu instruieren und zu überwachen.

Laterale AusbreitungNachdem es Angreifern gelungen ist, das Netzwerk zu infi ltrieren, greifen sie weitere Computer an, um Anmeldedaten auszuspionieren, Berechtigungen auszuweiten und kontinuierliche Kontrolle zu erlangen.

Auffi nden von Assets und DatenAngreifer verwenden verschiedene Techniken (z.B. Port Scanning), um die diejenigen Server und Services zu identifi zieren, auf denen interes-sante Daten gespeichert sind.

Daten exfi ltrieren (Datenklau)Sobald die vertraulichen Daten erfasst wurden, werden sie an einen inter-nen Staging-Server geleitet, wo sie in einzelne Chunks zerlegt, kompri-miert und häufi g für die Übertragung an externe Stellen unter der Kontrolle des Angreifers verschlüsselt werden.

Ablauf eines typischen komplexen,

zielgerichteten Angriffs

1 4

5

6

2

3

Threat Agent

Externe Server

C & C Kommunikation

Informations-beschaffung

Eintrittspunkt

Dateispeicher Datenbank

interessante Daten

Laterale Ausbreitung

1

2

3

4

5

6


Realität und Kosten von zielgerichteten Angriffen

Es gibt bereits viele Berichte über hohe Verluste und Kosten, die durch erfolgreiche zielgerichtete Angriffe verur-sacht wurden. So erlitt EMC laut eigenen Angaben einen Verlust von 66 Millionen Dollar infolge eines zielgerichte-ten Angriffs auf ihre Systeme und den Diebstahl von Informationen zur RSA-Authentifi zierungstechnologie Secu-reID. Und die Ausbeute aus dem Gozi Prinimalka-Angriff auf US-Bankkonten belief sich bereits im Oktober 2012 auf 5 Millionen US-Dollar.

Komplexe, zielgerichtete Angriffe betreffen aber nicht nur große Unternehmen oder Regierungsbehörden. Laut dem „Data Breach Investigation Report 2012“ von Verizon stellen sie gleichermaßen eine reelle Bedrohung für große und kleine Organisationen dar, denn diese besitzen alle wertvolle Daten. Verizons Recherche ergab, dass „nahezu alle Diebstähle von Kreditkartendaten kleine Unternehmen betreffen, was einen anhaltenden Trend darstellt (…). Der Großteil der kriminellen Aktivitäten, die sich auf Kredit-karten beziehen, verlagert sich von größeren Organisationen auf kleinere, in erster Linie weil das Risiko bei der Beschaffung hier deutlich geringer ist. Andererseits gehören größere Organisati-onen beim Diebstahl von Geschäftsgeheimnissen und anderen kritischen Unternehmensdaten eher zu den Verlierern“.

Die Häufi gkeit erfolgreicher, zielgerichteter Angriffe alarmiert CISOs (Chief Information Security Offi cer) und ihre Teams, und viele sind bereits dabei, geeignete Abwehrmaßnahmen zu planen. Laut einer Umfrage der Enterprise Strategy Group unter 244 Sicherheitsverantwortlichen in den USA sind sich 59 % sicher oder ziemlich sicher, dass ihr Unternehmen schon einmal im Visier von Kriminellen stand, und 65 % äußerten sich besorgt darüber, dass APTs die nationale Sicherheit und die Wirtschaft untergraben können. Schließlich sind 32 % der Befragten der Meinung, dass das APT-Problem zu „höheren Investitionen in die Sicherheit“ führen wird.

Auf dem (ISC)2 Security Congress 2012 präsentierte Joe Bentfi eld, AT&Ts Executive Director of Security Techno-logy, die Ergebnisse seiner Forschungsarbeit über die Auswirkungen von komplexen, zielgerichteten Angriffen auf Unternehmen und warnte: „APTs sind nackte Wirklichkeit“. „Organisationen, die keine neuen, defensiven Taktiken vorbereiten, um diese Bedrohungen zu erkennen und sich davor zu schützen, verlieren bereits an Boden gegen-über den Angreifern.“

Organisationen, die nach einem Ansatz zum Schutz vor komplexen, zielgerichteten Angriffen suchen, müssen in erster Linie berücksichtigen, dass deren Hauptmerkmal in ihrer Tarnung liegt. Die Angriffe sind geprägt durch lang-same und stetige Bemühungen, sich als legitime Kommunikation und Netzwerkverkehr auszugeben, ohne den bei Malware häufi g anzutreffenden identifi zierbaren Verkehr zu erzeugen. Zudem müssen sich Unternehmen darüber im Klaren sein, dass Angriffe im APT-Stil speziell darauf ausgerichtet sind, herkömmliche Anti-Malware- und Intrusi-on Detection and Prevention-Lösungen zu umgehen.

Es herrscht weitgehende Übereinstimmung darüber, dass komplexe Angriffe unsere herkömmlichen, auf Signaturen beruhenden Sicherheitsmechanismen umgehen und sich über längere Zeit unentdeckt auf unseren Systemen halten. Die Gefahr ist real. Sie sind kompromittiert, Sie wissen es nur noch nicht.Gartner Research 2012


Strategische Möglichkeiten & Konsequenzen

STAND DER BRANCHENLÖSUNGEN

Standard-Sicherheitslösungen im Netzwerk, am Gateway und an Endpunkten spielen eine kritische Rolle für den Schutz von Unternehmensdaten und der Geschäftstätigkeit. Aufgrund ihrer begrenzten Fähigkeiten in der Erken-nung, den Einschränkungen in der Echtzeitausführung sowie ihrer Abhängigkeit von Signaturen und Reputations-Updates sind sie jedoch außerstande echte zielgerichtete Angriffe adäquat zu erkennen und abzuwehren. Zielge-richtete Angriffe sind erfolgreich, weil das Design der eingesetzten Zero-Day-Schadsoftware darauf ausgerichtet ist, von Standard-Sicherheitsmechanismen nicht entdeckt zu werden. Auch die Aktionen der Angreifer dahinter bleiben meist unerkannt oder sind gut versteckt in den Logs von IPS, SIEM oder anderen Sicherheitssystemen. Zielgerich-tete Angreifer sind sehr geschickt darin, diese Technologien und den One-to-Many „Ansatz der Impfung“, der das Rückgrat der Abwehr von bekannter Schadsoftware und Angriffsvektoren darstellt, zu umgehen.

Etablierte Sicherheitsanbieter haben wenig oder gar nichts unternommen, um die Einschränkungen in ihren Pro-dukten zu beheben oder um neue Technologien zu entwickeln. Innovationen haben sie kleineren Startups überlas-sen, von denen einige Produkte entwickelt haben, die einen Teil von Zero-Day-Malware, die in der ersten Phase eines Angriffs zum Einsatz kommt, erkennen können. Doch diese Lösungen sind auf die Erkennung von Malware in Microsoft-basierten Produkten beschränkt, erkennen Aktivitäten von Angreifern nicht und agieren typischerweise isoliert, das heißt unabhängig und losgelöst von weiteren vorhandenen Sicherheitslösungen.

Schließlich haben Hersteller von Next Generation Firewalls, IPS und Gateways versucht, auf den APT-Zug aufzuspringen, indem sie ihre Lösungen um eine Cloud-basierte Sandbox-Lösung zur Erkennung von Malware ergänzten. Damit haben sie aber bestenfalls die Liste ihrer wertvollen Funktionen um Malware-Erkennung fragwür-diger Qualität erweitert. Wahrscheinlicher aber führen die Erweiterungen eher zur Verwirrung der Kunden bei der Evaluierung der Effektivität der Lösungen sowie zu Bedenken im Hinblick auf Datenschutz und -Kontrolle.

REAL VORHANDENE ALTERNATIVEN

Trotz der zunehmenden Gefahr durch komplexe, zielgerichtete Angriffe lässt die Industrie Entscheidern im Sicher-heitsbereich wenige Wahlmöglichkeiten bezüglich effi zienter Maßnahmen und bietet keinen umfassenden Ansatz für den Aufbau eines besseren Schutzes. Wie aber kann das Risiko eines Angriffs vermindert werden?


Option #1: Nichts tunDies ist für jedes Unternehmen eine schlechte Entscheidung. Rund um die Welt haben Industrieanalysten, Ex-perten und Behörden einen eindeutigen Appell an Unternehmen gerichtet, sich mit Hilfe von fortschrittlichem Netzwerk-Monitoring proaktiv gegen komplexe, zielgerichtete Angriffe zu wehren. Organisationen, für die Sicherheit ein kritischer Geschäftsfaktor ist, sollten sich diesbezüglich auf keinen Fall auf herkömmliche Sicherheitsprodukte verlassen.

Option #2: Einsatz von neuen, angrenzenden TechnologienDas Abfangen von Netzwerkpaketen hat sich als zusätzliches Tool zur Einhaltung von Richtlinien und für die Untersuchung sowie Forensik von Angriffen herausgebildet. Obgleich sinnvoll, konnte es sich aber nicht als effi ziente Methode für das schnelle Entdecken und Abwehren von Angriffen bewähren. Next Generation Firewalls bieten zwar einen wichtigen Schutz und gute Mechanismen, können aber nicht die für die Erkennung notwendige Breite und Tiefe liefern. Die Investition in diese Produkte ist zwar wichtig aber kein vollständiger Schritt in einer proaktiven Strategie gegen zielgerichtete Angriffe.

Option #3: Einsatz autonomer hochentwickelter Technologien zur BedrohungserkennungDiese Option wird von den meisten Experten als die effektivste Art der Abwehr zielgerichteter Angriffe propagiert. Die Produkte set-zen spezielle Erkennungstechniken ein, um das aufzuspüren, was Standard-Schutzmechanismen verborgen bleibt. Einige Anbieter solcher Technologie liefern außergewöhnliche Erkennungs- und Analysefähigkeiten. Die Kehrseite der Medaille: Unternehmen müssen genau prüfen, ob und wie diese Zusatzprodukte mit ihren vorhande-nen Sicherheitslösungen zusammenarbeiten und ob sie deren Nutzen erweitern. Die Evaluierung mehrerer Anbieter ist daher ein Muss für die richtige Wahl.

Option #4: Hinzufügen oder Erweitern der SIEM-AnalyseManche Unternehmen haben in einem SIEM (Security Information and Event Management) die ultimative Antwort auf das APT-Problem gesehen. Tatsächlich aber stellt die nicht-zielgerichtete SIEM-Analyse von Standard-Sicher-heitsereignissen kein wirksames Mittel für die Erkennung von zielgerichteten Angriffen dar. Die Log-Analyse nach SIEM-Art kann eine sehr effektive Methode sein, um das Ausmaß eines erkannten Angriffs festzustellen und die Aktivitäten zur Eindämmung und Beseitigung zu regeln. Die Kombination einer SIEM-Analyse und dem Reporting mit der Log-Sammlung aus einer hochentwickelten Lösung für das Aufspüren von Bedrohungen stellt eine gute Alternative für Unternehmen dar, die bereits in ein SIEM-System investiert haben.

KRITISCHE HERAUSFORDE-RUNGEN IN DER SICHERHEIT

EINBLICK: Was passiert wirklich in meinem Netzwerk?

ERKENNUNG: Wie stelle ich fest, was meinen Standard-schutz umgeht?

RISIKOPRÜFUNG: Was ist gefährlich? Was nicht? Wer steckt hinter diesem Angriff?

PRÄVENTION: Sollte ich die-sen Angriff blockieren? Wie?

EINDÄMMUNG: Wie weit hat sich der Angriff ausgebre-itet und welche Maßnahmen sollten ergriffen werden?


Die Alternative: Eine Lösung für fl exiblen Schutz vor individuellen Bedrohungen

Das Beste, was die Industrie bislang zu bieten hat, ist eine neue Technologie in Form von zusätzlichen netzwerk-basierten Sandbox-Produkten zur Erkennung von Malware, die weitgehend unabhängig und losgelöst von den anderen bereits vorhandenen Sicherheitslösungen agieren. Diese Produkte liefern zwar eine neue Erkennungs-qualität, beruhen aber im Grunde auf einem generischen, für alle gleichen Ansatz, ähnlich den bereits vorhandenen Standard-Schutzmechanismen.

Wie könnte eine ideale Lösung aussehen? Eine ideale Lösung würde die gesamte Sicherheitsinfrastruktur eines Unternehmens mit einem fl exiblen und anpassbaren Schutz verknüpfen, der immer auf die jeweilige Umgebung und die jeweiligen Angreifer zugeschnitten ist.

Eine ideale Lösung würde nicht nur eine benutzerdefi nierte Erkennung und Analyse von Angriffen auf Netzwer-kebene durchführen, sondern auch hochentwickelte Erkennungstechnologien in den vorhandenen Endpoint- und Gateway-Schutz integrieren. Die Bedrohungserkennung an jedem zu schützenden Punkt würde automatisch weitere Schutzpunkte aktualisieren, um nachfolgende Angriffe abzuwehren – und das auch in einer Sicherheitsum-gebung mit mehreren Anbietern.

Eine ideale Lösung würde weltweite Erkenntnisse über Bedrohungen eines großen Sicherheitsanbieters zur Identifi zierung nutzen und dem Unternehmen aus diesem Pool alle relevanten Informationen zum Bedrohungsprofi l eines dedizierten Angriffs liefern. Schließlich würde eine ideale Lösung dieses Profi l mit der netzwerkweiten Ereig-nisanalyse abgleichen und Hilfestellung für die schnellstmögliche Eindämmung und Beseitigung geben.

Kurz gesagt, eine ideale Lösung wäre eine Custom Defense – also eine Lösung für fl exiblen Schutz vor individu-ellen Bedrohungen, die einen vollständigen Lebenszyklus bestehend aus Erkennen – Analysieren – Anpassen – Reagieren umfasst und speziell auf die jeweilige Organisation sowie deren Bedrohungen abgestimmt ist.

ERKENNEN: Spezielle Bedrohungserkennung im Netzwerk und an kritischen Punkten wie z.B. E-Mail-Gateways.

ANALYSIEREN: Die ausführliche Analyse verwendet benutzerdefi niertes Sandboxing und relevante globale Erkenntnisse, um Bedrohungen vollständig einzustufen.

ANPASSEN: Benutzerdefi nierte Blacklists und Signaturen stoppen weitere Angriffe im Netzwerk, am Gateway und an Endpunkten.

REAGIEREN: Angriffsprofi le und netzwerkweite Ereignisdaten steuern die schnelle Eindämmung und Beseitigung von Bedrohungen


CUSTOM DEFENSE ALS ANTWORT AUF DIE HERAUSFORDERUNG DURCH ZIELGERICHTETE ANGRIFFE

Der technologische, intelligente Ansatz mit einem vollständigem Lebenszyklus als Custom Defense-Strategie für fl exiblen Schutz vor individuellen Bedrohungen ist die adäquate Antwort auf die Sicherheitsherausforderungen im Zusammenhang mit der Abwendung zielgerichteter Angriffe.

EinblickDie umfassende Überwachung und Analyse des ein- und ausgehenden sowie lokalen Datenverkehrs gibt einen Einblick in das, was tatsächlich im Netzwerk vor sich geht. Zusätzlich zum Aufspüren komplexer Bedrohungen lassen sich damit auch weitere Erkenntnisse gewinnen: riskante Anwendungen im Gebrauch, Zugriff und Aktivitä-ten von mobilen Endgeräten, verdächtiger Verkehr sowie Muster von Datenübertragungen und vieles mehr. Das Monitoring des Netzwerkverkehrs bildet die Grundlage einer proaktiven Risikomanagement-Strategie, wie sie die meisten Sicherheitsanalysten und Experten empfehlen.

ErkennungEine hochentwickelte Bedrohungserkennung im Netzwerk kann bösartige Inhalte (Malware), verdächtige Kommu-nikation und Angriffsverhalten aufspüren – Aktivitäten, die für Standard-Sicherheitslösungen nicht sichtbar sind. Aber eine der zentralen Komponenten für das Aufspüren zielgerichteter Angriffe sind benutzerdefi nierte Regeln für die Sandbox-Simulation und Bedrohungserkennung. Diese Regeln spiegeln die unternehmenseigenen Host-Kon-fi gurationen sowie IT-Umgebungs- und Risikoanforderungen wider. Durch den Einsatz einer offenen Plattform für das Aufspüren und die Analyse können die Fähigkeiten zum Erkennen und Blockieren an Standard-Schutzpunkten (E-Mail, Web Gateways und Endpunkte) zudem erweitert werden, um auch Spear-Phishing und andere frühe An-griffsphasen abzuwehren.

RisikoprüfungEine ideale Custom Defense-Lösung für fl exiblen Schutz vor individuellen Bedrohungen reichert die automatisierte lokale Bedrohungsanalyse um relevante globale Erkenntnisse an und stellt somit umfassende Informationen bereit. Mithilfe der richtigen globalen Erkenntnisse lässt sich sogar häufi g eine Verbindung herstellen zwischen Zero-Day-Malware und bis dahin unbekannten Kommunikationskanälen mit damit zusammenhängenden Mustern oder Aktivitäten, die an anderer Stelle verzeichnet wurden. Für Verantwortliche bedeutet das eine Reihe guter Indikato-ren für Art, Ziele und Quelle des Angriffs. Anhand eines Bedrohungsprofi ls auf der Grundlage dieser spezifi schen Erkenntnisse kann so mit geeigneten Aktionen und in der gebotenen Eile reagiert werden.

PräventionEine echte Custom Defense-Lösung verwendet eine individuell angepasste Erkennung und Analyse sowie das not-wendige Wissen, um den Schutz vor weiteren Angriffen zu erhöhen. Optional können auch aktuelle Angriffsaktivitä-ten, wie z.B. eine Command & Control-Kommunikation, direkt am Erkennungspunkt (Netzwerk, GW u.a.) blockiert werden. In jedem Fall sollte die Erkennungs-/Analyseplattform auf die jeweilige Bedrohung angepasste Sicherheits-Updates (IP/URL Blacklists, AV oder andere Signaturen) an alle entsprechende Schutzpunkte versenden. So stellt sich die gesamte Sicherheitsinfrastruktur auf die Abwehr des neuen Angreifers ein. Zudem gewährleistet die Weitergabe der Informationen an die globale Cloud-basierte Datenbank für Bedrohungserkenntnisse, dass andere Unternehmen Angriffe mit ähnlichen Charakteristiken leichter erkennen.

BeseitigungDie tiefgehenden, aufschlussreichen Informationen aus dem Bedrohungsprofi ls unterstützen bei der Eindämmung und Beseitigung von Bedrohungen. Zudem ermöglichen sie den optimalen Einsatz von speziellen Werkzeugen und einem SIEM oder anderen Log-Analysemethoden, um das volle Ausmaß des Angriffs festzustellen und eine detail-lierte forensische Analyse des Angriffs durchzuführen.


Custom Defense – die Trend Micro Lösung für fl exiblen Schutz vor individuellen Bedrohungen

Trend Micro ist überzeugt davon, dass die Merkmale einer Custom Defense-Strategie sie zur besten Wahl für die Abwehr von zielgerichteten Angriffen macht. Trend Micro hat seine Überzeugung in die Tat umgesetzt und liefert eine umfassende Lösung für fl exiblen Schutz vor individuellen Bedrohungen. Die Lösung verknüpft die gesamte Si-cherheitsinfrastruktur eines Unternehmens mit einer auf die speziellen Anforderungen der individuellen Umgebung und der jeweiligen Angreifer zugeschnittenen, anpassbaren Abwehr. Durch eine benutzerdefi nierte Sandbox-Analy-se, spezifi sche Erkenntnisse sowie daran angepasste Sicherheits-Updates können Unternehmen im Rahmen ihrer Custom Defense nicht nur APTs und zielgerichtete Angriffe aufspüren und analysieren, sondern auch ihren Schutz schnellstmöglich an die Bedrohungslage anpassen und auf weitere Angriffe reagieren. Die Lösung für fl exiblen Schutz vor individuellen Bedrohungen integriert Software, globale Erkenntnisse über Bedrohungen sowie spezielle Werkzeuge und Services zur Bereitstellung einer umfassenden Multi-Vendor-Lösung zum Aufspüren und Abwehren von zielgerichteten Angriffen, bevor sie tatsächlichen Schaden anrichten können.

FUNKTIONSWEISE DER CUSTOM DEFENSE-LÖSUNG VON TREND MICRO

Erkennen: Was Standard-Schutzlösungen nicht könnenIm Zentrum der Custom Defense von Trend Micro steht Deep Discovery - eine spezielle Plattform für fl exiblen Schutz vor individuellen Bedrohungen, die eine netzwerkweite Überwachung zur Erkennung von Zero-Day-Mal-ware, bösartiger Kommunikation sowie des Angreiferverhaltens durchführt und damit Angriffe identifi ziert, die für Standard-Sicherheitsmechanismen unsichtbar sind.

Im Gegensatz zu Konkurrenzprodukten, die generische „Sandboxes“ zum Aufdecken von Bedrohungen verwen-den, unterstützt Custom Defense von Trend Micro den Einsatz mehrerer kundenspezifi scher Sandboxes, die ihre tatsächliche Umgebung optimal widerspiegeln. So können Verantwortliche besser feststellen, ob ein unrechtmäßi-ger Datenabfl uss stattgefunden hat. Die Deep Discovery Sandbox-Simulation lässt sich auch mit weiteren Trend Micro-Produkten, einschließlich Messaging Security, integrieren. So können die in der ersten Phase eines gezielten Angriffs genutzten Spear-Phishing- und Social Engineering-Exploits erfolgreich blockiert werden. Deep Discovery unterstützt zudem eine offene Web-Services-Schnittstelle, damit jedes Sicherheitsprodukt in die benutzerdefi nierte Sandbox-Erkennung integriert werden kann.

Analysieren: Einbeziehen globaler und lokaler Erkenntnisse in EchtzeitBei der Erkennung eines Angriffs bieten die Analysemöglichkeiten von Deep Discovery sowie angriffsrelevante Er-kenntnisse aus dem Smart Protection Network und dem Threat Connect-Portal die Grundlage für ein umfassendes Bedrohungsprofi l. Das tiefgehende Profi l hilft Organisationen dabei, das Risiko, die Quelle und die Eigenschaften eines Angriffs im Detail zu verstehen, leistet wertvolle Hilfe bei der Planung zur Eindämmung und Beseitigung und ermöglicht darüber hinaus einen adaptiven Schutz in der Custom Defense-Lösung.

Anpassen: Schutzpunkte zum Blockieren neuer BedrohungenUm den Schutz vor weiteren Angriffen sofort anzupassen und zu verbessern, verwendet die Custom Defense-Lösung ausführliche Bedrohungsprofi le, die das Smart Protection Network aktualisieren und automatisch auf die Bedrohung angepasste Sicherheits-Updates (IP/Domänen-Blacklists und Sicherheitssignaturen) an Trend Micro-Endpunkte, Gateways sowie Server verteilen. Durch den Einsatz einer offenen und erweiterbaren Plattform kann die Lösung zudem Sicherheits-Updates an Sicherheitsprodukte von Drittanbietern senden, die möglicherweise bereits ein wichtiger Teil der tiefergehenden Abwehrstrategie sind.


Reagieren: schnellstmögliche Eindämmung und BeseitigungSchließlich liefert die Custom Defense-Lösung eine umfassende Kontexttransparenz hinsichtlich eines Angriffs, denn sie kombiniert das informationsstarke Bedrohungsprofi l mit den Ergebnissen aus speziellen Response-Tools sowie den Erkenntnissen aus der netzwerkweiten Sammlung und Analyse von Sicherheitsvorfällen. Alternativ kön-nen das Bedrohungsprofi l und andere Erkenntnisse mit einem bereits vorhandenen SIEM-System geteilt werden. All diese Informationen ermöglichen einem Unternehmen erforderliche Einblicke, um den Prozess zur Eindämmung und Beseitigung zu beschleunigen und falls nötig zuständige Behörden zu kontaktieren.

Komponenten einer Lösung für den fl exiblen Schutz vor individuellen Bedrohungen

TREND MICRO DEEP DISCOVERYHerzstück der Custom Defense ist eine hochentwickelte Bedrohungserkennung. Sie• überprüft die spezifi sche Unternehmensumgebung auf bösartige Inhalte, verdächtige Kommunikation und auffällige Verhaltensweisen,• verwendet Erkennungsmethoden, die auf spezifi sche Host-Konfi gurationen zugeschnitten sind,• setzt detaillierte Bedrohungsanalysen wirksam ein, um individuelle Sicherheits-Updates für Ihre geschützten Punkte zu entwickeln und• stellt benutzerdefi nierte und relevante Erkenntnisse bereit, die bei der schnellen Reaktion unterstützen.

TREND MICRO ENTERPRISE SECURITY PRODUKTETrend Micro-Produkte für die Sicherheit von Endpunkten, Server und Gateways sind mit der Deep Discovery Sandbox-Funktionalität und den adaptiven Sicherheits-Update-Services integriert, um den netzwerkweiten Schutz vor Angriffen schnell anpassen und verbessern zu können.

WISSEN AUS DEM SMART PROTECTION NETWORKDieses größte und fortschrittlichste cloudbasierte Netzwerk für globale Erkenntnisse über Bedrohungen sowie 1200 Bedrohungsforscher bilden das Rückgrat sowohl von Deep Discovery als auch von allen anderen Trend Micro-Produkten. Das Wissen über Bedrohungen wird über das Threat Connect-Portal vermittelt und unterstützt Unternehmen bei der Angriffsanalyse und der Reaktion darauf.

MULIT-VENDOR-SICHERHEIT UND SIEM-PRODUKTEÜber offene Web Services-Schnittstellen kann jedes beliebige Produkt in die Deep Sandboxing-Funktionalität so-wie in die adaptiven Sicherheits-Update-Services von Deep Discovery integriert werden. Die direkte Verknüpfung mit weit verbreiteten SIEM-Systemen ermöglicht ein unternehmensweites Risikomanagement.

TREND MICRO-TOOLS FÜR DIE REAKTION AUF ANGRIFFETrend Micro bietet kostenlos eine Reihe von Tools für die Reaktion auf Sicherheitsvorfälle sowie forensische Werkzeuge für die Analyse von komplexen Bedrohungen in Mail-Speichern und Netzwerkverkehr, aber auch für die Spurensuche in Protokolldateien über Angriffsaktivitäten.

TREND MICRO SERVICES & SUPPORTTrend Micro Service-Spezialisten unterstützen Unternehmen mit ihrer Expertise bei der Installation, dem Monitoring und in der Beratung, um ihre Reaktionsfähigkeit zu verbessern, die Risiken zu reduzieren und die Kosten für das Sicherheitsmanagement zu senken.


Erkennung und Analyse gezielter Angriffe

Sicherheits-Updates

fortschrittliche Schutzlösungen

TREND MICROCustom Defense-Lösung

• ERKENNEN• ANALYSIEREN• ANPASSEN• REAGIEREN

Forensik,Eindämmung,Wiederherstellung

Fazit

Die Bedrohungslandschaft verändert sich permanent, und offensichtlich haben komplexe, zielgerichtete Angriffe (APTs) zunehmend Erfolg mit ihren Bemühungen, auf Daten und Systeme anvisierter Unternehmen zuzugreifen. Standard-Sicherheitsprodukte sind nicht in der Lage, diese Angriffe zu erkennen. Auch reicht es nicht, die Sicher-heitslücken mit neuen Technologien in der Netzwerk-Erkennung zu schließen, denn diese lösen lediglich einen Teil des Problems. Die Einführung einer umfassende Strategie gegen APTs, die es Unternehmen ermöglicht, Angriffe auf die eigene Organisation effektiv zu erkennen, zu analysieren, darauf zu reagieren und den Schutz entspre-chend anzupassen, bildet eine solide Grundlage für eine erfolgreiche Abwehr.

Durch umfassende globale Erkenntnisse über Bedrohungen im Smart Protection Network sowie ausgiebiger Forschungsarbeit und dem Austausch mit Kunden, verfügt Trend Micro über ein tiefgehendes Verständnis über zielgerichteten Angriffe und das Risiko, das sie für Unternehmen darstellen. Basierend auf diesem Wissen und diesen Erfahrungen wurde Custom Defense – die innovative Trend Micro Lösung für fl exiblen Schutz vor individu-ellen Bedrohungen – entwickelt. Sie stellt branchenweit die erste umfassende, hochentwickelte Bedrohungsabwehr dar, die es Unternehmen ermöglicht, komplexe, zielgerichtete Angriffe nicht nur zu erkennen und zu analysieren, sondern auch ihren Schutz individuell und schnell anzupassen und auf die Angriffe zu reagieren. Für Unternehmen ist es von kritischer Bedeutung sofort zu handeln und die Entwicklung einer Custom Defense-Strategie in ihre Budgetplanung aufzunehmen. Bei der Suche nach einer geeigneten Lösung sollte Trend Micro auf keinen Fall in der Liste der Anbieter fehlen.


©2013 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.

Ihr kostenfreier Kontakt zu Trend Micro:D: 0800 330 4533 oder [email protected]: 0800 880 903 oder [email protected]: 0800 330 453 oder [email protected]

TREND MICRO Deutschland GmbHCentral & Eastern EuropeZeppelinstraße 185399 HallbergmoosTel: +49 811 88990-700Fax: +49 811 88990-799www.trendmicro.com

Trend Micro (Schweiz) GmbHSchaffhauserstrasse 104CH-8152 GlattbruggTel: +41 44 828 60 80Fax: +41 44 828 60 81www.trendmicro.com

Über Trend MicroTrend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohun-gen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.www.trendmicro.de

custom defense – eine lösung für flexiblen schutz vor ... · greifen sie weitere computer an,...

Documents