Secaron

Verlorener Wettlauf gegen Malware?

Teil 2

Bei all diesen Bedrohungen stellt sich natürlich die Frage, wie diesen angemessen begegnet werden kann. Die Antwort darauf ist ein ganzheitliches Sicherheitskonzept, das nicht nur auf Antivirus-Software basiert sondern auch andere Techniken und vor allem auch organisatorische Aspekte berücksichtigt. Ziel dabei muss es sein, mit den zur Verfügung stehenden Möglichkeiten das maximale Maß an bezahlbarer Sicherheit zu erreichen.

Durchdachtes Patch-Management

Erste Pflicht zum Schutz gegen Malware ist ein durchdachtes Patch-Management. Alle Systeme im Unternehmen müssen stets zeitnah mit den zur Verfügung stehenden Sicherheitsupdates versorgt werden. Dabei müssen angemessene Maßnahmen zur Sicherung der Betriebsstabilität ergriffen werden, wie beispielsweise eine ausreichende Qualitätsprüfung.

Auch führt kein Weg an der klassischen signaturbasierten Antivirus-Software vorbei. Vielmehr muss sichergestellt sein, dass eine möglichst vollständige Ausbringung auf alle Client- und Server-Systeme erreicht wird. Auch bisher tendenziell vernachlässigte Systeme wie OS X (Apple Mac) oder mobile Endgeräte, müssen mehr in den Fokus der Anti-Malware Strategie rücken. Der immer schneller ansteigenden Anzahl von Malware entgegnen die Antiviren-Hersteller mit neuartigen Technologien, die eine schnellere Verteilung der Signaturen ermöglichen und den Malware-Schutz durch Nutzung von Cloud-Diensten verbessern. Damit kann schneller auf eine geänderte Bedrohungslage reagiert werden. Diese neuartigen Technologien müssen geprüft und nach Anpassung an die eigene Strategie entsprechend eingesetzt werden.

Gateways schützen

Viele Antiviren-Hersteller haben sich in der Vergangenheit zu einem vollständigen Anbieter im IT-Sicherheitsbereich entwickelt. Neben Lösungen für den Client/Server-Bereich bieten sie unter anderem auch Schutzsoftware für Gateway-Systeme an. Diese Möglichkeiten müssen vor allem beim Übergang zum Internet oder zu anderen weniger vertrauenswürdigen Netzen genutzt werden. So ist es heutzutage bereits Standard sowohl Web-Proxies als auch E-Mail-Proxies mit entsprechender Malware-Technologie auszustatten.

Idealerweise wird hier die Multi-Vendor-Strategie verfolgt, das heißt auf diesen Gateways wird eine andere Antiviren-Lösung eingesetzt als im Client/Server-Bereich. Damit kann die Erkennungsrate nochmals gesteigert werden. Auch sind Antiviren-Hersteller in der Lage, ein umfassenderes Bild der aktuellen Bedrohungslage zu entwickeln, da sie sicherheitsrelevante Informationen von verschiedensten Quellen wie Gateway-Systemen, Servern oder auch Clients auswerten können. Mittlerweile werden diese Informationen zentral gesammelt und zeitnah korreliert. Damit können Signaturen schnell zur Verfügung gestellt werden und Regel-Updates im Bereich von E-Mail- oder Web-Proxies realisiert werden.

Verknüpfung über Siem-Systeme

Ähnliches kann auch auf Ebene des eigenen Unternehmens erfolgen: Auch hier können die Meldungen von sicherheitsrelevanten Systemen zentral zusammengefasst und verknüpft werden. Dies geschieht idealerweise mit einem Security Information and Event Management (Siem) System. Dadurch lässt sich der Ausbruch von Schadsoftware schnell erkennen und deren Verbreitung im Netzwerk leichter nachvollziehen.

Reporting-Funktionalitäten bieten dabei die Möglichkeit sowohl stark aggregierte Berichte für das Management als auch technisch orientierte Auswertungen für die verschiedensten Fachabteilungen zu generieren. Gerade die Berichte für das Management werden immer wichtiger, da das Thema Informationssicherheit hier mit steigendem Interesse beobachtet wird.

Bewusstsein der Mitarbeiter schärfen

Neben diesen technischen Lösungen dürfen jedoch organisatorische Maßnahmen nicht vernachlässigt werden. Dies beginnt mit einfachen Awareness-Maßnahmen, die das Bewusstsein der Mitarbeiter hinsichtlich der IT-Sicherheit schärfen sollen. Denn auch noch heute stellt der Mensch an sich ein nicht zu vernachlässigenden Faktor im Bereich der Informationssicherheit dar.

Hier kann beispielsweise der Umgang mit externen Speichermedien wie USB-Sticks vermittelt werden. Beherrscht man dieses Schnittstelle, dann lässt sich bereits eines der Einfallstore von Flame ausschließen. Neben der Mitarbeiter-Awareness muss auch geregelt sein, wann Sicherheitsvorfälle vorliegen und wie mit diesen umgegangen wird. In vielen Unternehmen ist das Vorgehen bei Malware-Infektion implizit klar, die Malware kann vom betroffenen System entfernt werden. Technisch ist das Problem damit gelöst.

Die Frage, die sich hier stellt, ist, ob der Vorfall damit vollumfänglich behandelt wurde. Dies kann mit einem klarem Nein beantwortet werden, da nachhaltige Lösungen durch Veränderungen an den Gateway-, Server- oder auch an Client-Systemen geschaffen und die Infektion als eine Art Vorankündigung verstanden werden können. Nur wenn eine Vorgehensweise existiert, die regelt welche Fachstellen wann informiert werden müssen, kann ein übergreifender Schutz erreicht werden.

Antiviren-Lösungen sind nach wie vor Pflicht, sie müssen jedoch der Zeit angepasst, möglicherweise um technische Lösungen erweitert und organisatorisch unterstützt werden. In diesem Fall ergibt sich ein umfassender Schutz.

Thomas Mörwald, Senior Berater bei der Secaron AG

vorige Seite 1 - 2
Foto: Bernd Wachtmeister/Pixelio

Secaron

Siem - das „bessere“ Prism?

Die Angst vor Angriffen aus dem Cyberspace wird immer größer. Glaubt man den einschlägigen Zeitungsberichten, dann ist dies nicht unbegründet. Als Hauptverantwortliche gelten gut organisierte Netzwerke von Cyber-Kriminellen, wobei ein wichtiger Aspekt oftmals übersehen wird: der eigene Mitarbeiter.

Foto: Michael Hirschka/Pixelio

Antimalware-Lösungen

Nutzen oder Nichtsnutz?

Ein Test von aktuellen Antimalware-Lösungen sollte zeigen, welche Erkennungsraten erzielt werden, wenn man die traditionelle signaturbasierte Erkennung eliminiert. Stattdessen warfen die Ergebnisse die Frage auf, ob Antimalware-Lösungen heute überhaupt noch nützlich sind.

Foto: Gerd Altmann/Pixelio.de

Secaron

Verlorener Wettlauf gegen Malware?

Verfolgt man die Pressemeldungen, drängt sich der Verdacht auf, dass der Wettlauf mit den Malware-Programmierern verloren geht. Malware-Baukästen ermöglichen eine einfache Zusammenstellung, auch rücken Advanced Persistent Threats (APT) in den Vordergrund, wie Flame und Stuxnet zeigen.

Foto: Shutterstock

IT-Sicherheit im Fokus

Die Bedrohung wächst

Aufsehenerregende Cyberattacken haben die Arbeit der IT-Security-Branche in den vergangenen Monaten spektakurlär in den Blickpunkt gerückt. Der Sophos Threat Report 2012 ermöglicht den Blick hinter den Hype und analysiert die tatsächlichen Bedrohungen des vergangenen Jahres.