Schutz vor Malware: Stand der Technik
- Marc Borgers
- 26. Jan. 2023
- 5 Min. Lesezeit
Aktualisiert: 29. Jan. 2023
In unserem heutigen digitalen Zeitalter sind Unternehmen und Organisationen ständig Bedrohungen durch Malware ausgesetzt. Schadsoftware kann nicht nur Datenverluste verursachen und somit das Vertrauen der Kunden erschüttern, sondern auch zu Ausfallzeiten sowie Auftrags- und Umsatzverlusten führen, die wiederum Insolvenzen begünstigen können: Prophete: Hack wohl verantwortlich für Insolvenz von E-Bike-Hersteller - Golem.de
Um sich vor diesen Bedrohungen zu schützen, setzen Unternehmen auf verschiedene Technologien, wie z.B. Endpoint Detection and Response (EDR). Doch sind diese Lösungen wirklich noch ausreichend, um einen umfassenden Schutz zu gewährleisten? In der heutigen Betrachtung werfen wir einen Blick auf die aktuellen Entwicklungen und Herausforderungen im Bereich der Malware-Erkennung sowie Malware-Abwehr. Ferner schauen wir uns an, wie EDR Lösungen durch zusätzliche Maßnahmen, z.B. Deep Learning und proaktive Bedrohungsanalysen im Darknet, ergänzt werden können, um nicht nur die Sicherheit zu erhöhen, sondern auch das Vertrauen der Kunden aufrechtzuerhalten und Auftragsverluste zu vermeiden. Beginnen wir mit den Begriffen Deep sowie Machine Learning und wie diese im Kontext der Malware-Bekämpfung eingesetzt werden.
Deep Learning vs. Machine Learning
Der Unterschied zwischen Deep Learning und Machine Learning im Kontext der Malware-Erkennung besteht darin, wie die Technologien Malware erkennen und identifizieren:
Machine Learning basiert auf statistischen Methoden, die auf vorhandenen Daten trainiert werden, um ein bestimmtes Verhalten oder Muster zu erkennen. In Bezug auf Malware-Erkennung bedeutet das, dass ein Machine-Learning-Modell mit vielen Beispielen von bekannten Malware-Signaturen trainiert wird, um ähnliche Muster in zukünftigen Dateien zu erkennen.
Deep Learning hingegen basiert auf künstlichen neuronalen Netzen, die auf mehreren Schichten (daher "deep" = tief) aufgebaut sind. Dies ermöglicht es Deep-Learning-Modellen, komplexere Zusammenhänge und Muster in den Daten zu erkennen. Im Kontext der Malware-Erkennung bedeutet dies, dass ein Deep-Learning-Modell in der Lage ist, das Verhalten des Codes zu analysieren, anstatt nur nach bestimmten Merkmalen oder Signaturen zu suchen.
Was setzt Ihre Lösung zur Malware-Erkennung ein?
0%Machine Learning
0%Deep Learning
0%Klassische Methoden
Ein Beispiel für eine entsprechende Lösung ist Deep Instinct, die als Second Opinion Scanner und somit als Unterstützung des primären Virenscanners eingesetzt werden kann. Das Unternehmen verwendet Deep Learning in seinem Produkt um Malware zu erkennen, indem es das Verhalten des Codes analysiert, anstatt auf Signaturen zu achten. Dies ermöglicht es ihm, auch unbekannte Malware (Zero-Day-Malware) innerhalb weniger Millisekunden zu erkennen:
Ein weiterer Second Opinion Scanner, der jedoch laut Hersteller auf Machine Learning setzt, ist z.B. Darktrace.
Haben Sie einen Second Opinion Scanner im Einsatz?
0%Ja
0%Nein
Endpoint Detection and Response
EDR Lösungen waren lange Zeit ein wichtiger Bestandteil im Schutz vor Malware und anderen Bedrohungen für Unternehmen sowie Organisationen. Sie ermöglichten es, verdächtige Aktivitäten auf Endgeräten zu erkennen und zu untersuchen, um so Angriffe frühzeitig zu erkennen und abzuwehren. Doch in Zeiten, in denen Angreifer immer raffiniertere Methoden einsetzen, um ihre Ziele zu erreichen, haben sich die Anforderungen an den Schutz vor Malware erhöht und somit auch der Stand der Technik geändert. Wie eine Studie vom Department of Informatics der Universität von Piraeus sowie dem Information Management Systems Institute vom Athena Research Center bereits 2021 ergeben hat, konnte kaum eine der geprüften EDR Lösungen alle Tests bestehen und die Angriffe abwehren:
Viele der getesteten Lösungen setzen Machine Learning statt Deep Learning ein, was, gemäß einer Forschungsarbeit an der School of Information Technolog aus 2020, einen direkten Einfluss auf die Erkennungsrate hat:
The model learns the best representation of the data by itself, enabling scalability and accuracy. Given these advantageous characteristics, deep learning can currently be considered as the most suitable ML technique to address the complexity and dynamic nature of cyber data. Previous research in the field of cybersecurity has indeed shown that this is the case, where for example, deep learning can produce results with over 99% accuracy in detecting unknown threats with 0.0001% false alarms, compared to traditional ML with 50–70% accuracy for unknown threats and 1–2% false positives (Hains et al., 2018; Jiang et al., 2020). | Das Modell lernt die beste Darstellung der Daten von selbst, was Skalierbarkeit und Genauigkeit ermöglicht. Aufgrund dieser vorteilhaften Eigenschaften kann Deep Learning derzeit als die am besten geeignete ML-Technik betrachtet werden, um die Komplexität und Dynamik von Cyberdaten anzugehen. Frühere Forschungen im Bereich der Cybersicherheit haben tatsächlich gezeigt, dass dies der Fall ist, wo zum Beispiel Deep Learning Ergebnisse mit einer Genauigkeit von über 99% bei der Erkennung unbekannter Bedrohungen mit 0,0001% falschen Alarmen erzielen kann, im Vergleich zu traditionellen ML-Methoden mit einer Genauigkeit von 50-70% für unbekannte Bedrohungen und 1-2% falschen Positiven (Hains et al., 2018; Jiang et al., 2020). |
Quelle: Frontiers | The Challenges of Leveraging Threat Intelligence to Stop Data Breaches (frontiersin.org)
Zusammengefasst ist es wichtig festzuhalten, dass EDR Lösungen allein nicht mehr ausreichend sind, um Unternehmen und Organisationen vor Malware und anderen Bedrohungen zu schützen. Um einen umfassenden Schutz zu gewährleisten, sollten EDR Lösungen durch weitere Maßnahmen ergänzt werden, wie z.B Deep Learning-basierte Antiviren Lösungen sowie proaktive Bedrohungsanalysen im Darknet, auf die wir im nächsten Abschnitt eingehen werden. Zuvor noch ein Hinweis auf eine neue aufziehende Bedrohung.
Heute, am 26.02.2023, hat die Firma ThreatMon vor einer neuen 0day sowie 0click Schwachstelle für Chrome, Outlook, Excel, Word und Adobe Reader in der jeweils aktuellsten Version gewarnt. Eine 0-Day-Schwachstelle ist eine unbekannte Sicherheitslücke, die von Angreifern ausgenutzt werden kann, bevor sie von den Software-Entwicklern entdeckt und geschlossen wird. Eine 0-Click-Schwachstelle ermöglicht es Angreifern, die Schwachstelle auszunutzen, ohne dass der Benutzer interagieren muss. Solche Schwachstellen ermöglichen es Angreifern, einen Zugriff auf das betroffene System oder die betroffene Anwendung zu erlangen, ohne dass der Benutzer etwas davon bemerkt, was die Angriffe besonders gefährlich und schwer zu erkennen macht. Sie steht aktuell im Darknet zum Verkauf und man kann nur jedem Unternehmen viel Glück wünschen, welches beim Schutz vor Malware den Stand der Technik noch nicht erreicht hat.
Quelle: https://www.linkedin.com/posts/threatmon_darkweb-forum-0day-activity-7024291811149983744-_eLV
Werden Sie automatisch, noch vor der Meldung auf Heise, über neue Bedrohungen informiert?
0%Ja
0%Nein
0%Keine Zeit
Darknet Monitoring vs. Cyber-Versicherung
Cyberversicherungen können eine wichtige Rolle beim Schutz von Unternehmen vor den finanziellen Folgen von Cyberangriffen spielen. Sie können finanzielle Schäden durch Datenverlust, Ausfallzeiten und die Kosten von Ermittlungen und Notfallmaßnahmen abdecken. Allerdings gibt es auch Nachteile bei der Verwendung von Cyberversicherungen. Einer davon ist, dass die Entscheidung über die Erteilung einer Police nicht selten nur auf der Basis einer Selbstauskunft des zu versichernden Unternehmens beruht. Dies kann dazu führen, dass Unternehmen, die ihre Sicherheitsmaßnahmen nicht ordnungsgemäß umsetzen, trotzdem eine Police erhalten. Ein weiterer Nachteil ist, dass die meisten Cyberversicherungen erst reaktiv nach einem Schadensereignis einspringen und helfen, anstatt proaktiv und präventiv vorzugehen.
Eine proaktive Alternative zu Cyberversicherungen sind Dienste, die viele Quellen im Darknet sowie Deep Web durchsuchen und Angebote mit kompromittierten IT-Systemen des Unternehmens im Untergrundmarkt aufspüren können, bevor diese Hintertüren ins Firmennetzwerk und zu den Daten vollständig ausgenutzt worden sind. Sie stellen eine Möglichkeit dar, sowohl öffentlich gewordenen Schwachstellen der eigenen IT-Systeme als auch bereits begonnene Angriffe früher zu erkennen und zu behandeln, anstatt nur die Folgen eines Angriffs zu bekämpfen. Einige Beispiele für solche Dienste sind:
DarkOwl
Terbium Labs
Digitalis Reputation
Echosec
Webhose
RecordedFuture
Flashpoint
SenseCy
IntSights
Intel471
DarkTrace
Anomali
Cyberreason
Cyphre
Cymulate
HackerOne
Maltego
Rapid7
Flare
RiskIQ
Vectra
Es ist immer wichtig zu prüfen, welcher Dienst am besten zu den Bedürfnissen des eignen Unternehmens passt und dabei auch auf rechtliche Rahmenbedingungen zu achten. Seriöse Dienste stellen z.B. keine Kennwörter von kompromittierten Benutzerkonten oder ähnliches bereit. Ein positiver Nebeneffekt der Darknet und Deep Web-Analysen ist, dass man eine zusätzliche Maßnahme für ein weiteres Problem erhält, welches nur sehr schwer einzufangen ist und auf das wir im nächsten Abschnitt eingehen werden.
Supply Chain Attack Detection
Eine Supply Chain-Attacke ist eine Methode, bei der Angreifer eine Schwachstelle in der Lieferkette eines Unternehmens ausnutzen, um in das Netzwerk des Unternehmens einzudringen und Schaden anzurichten. In einer Supply Chain-Attacke verwenden Angreifer oft eine vertrauenswürdige Drittanbieter Software oder -Hardware, um so einen Zugang zum eigentlichen Zielnetzwerk zu erlangen.
Ein bekanntes Beispiel, für eine Supply Chain-Attacke, ist der Vorfall von SolarWinds. Dieser Angriff im Jahr 2020 war ein beispielloser und fortgesetzter, erfolgreicher Cyberangriff auf die Software- und IT-Infrastruktur des Unternehmens. Er begann mit einer gefälschten Software-Aktualisierung, die an die Kunden von SolarWinds verteilt worden ist. Diese aktualisierte Software enthielt eine Hintertür, die es Angreifern ermöglichte, in das Netzwerk von SolarWinds einzudringen und Zugang zu den Netzwerken von Kunden des Unternehmens zu erlangen. Die Angreifer nutzen die gewonnenen Zugänge, um tiefer in die Netzwerke einzudringen und Schaden anzurichten. Sie nutzen spezielle Tools und Techniken, um ihre Präsenz im Netzwerk zu verbergen und die Erkennung zu erschweren. Es wurde vermutet, dass der Angriff von einer staatlichen Gruppe ausgeführt wurde. Die Auswirkungen des Angriffs waren weitreichend und betrafen Unternehmen und Regierungsbehörden in den USA und in anderen Ländern. Es wurde auch berichtet, dass die Angreifer in der Lage waren, ihre Präsenz in den Netzwerken lange Zeit unbemerkt zu halten und dass die Erkennung des Angriffs erhebliche Zeit in Anspruch nahm. Die Schadensumme und der genaue Umfang des Vorfalls sind noch nicht bekannt.
Das Problem ist, dass viele Unternehmen nicht über die erforderlichen Tools und Fähigkeiten verfügen, um eine tiefgreifende Überwachung und Analyse der IT-Sicherheit ihrer Lieferkette sowie Netzwerke durchzuführen. Einige Unternehmen verlassen sich auf ihre traditionellen Sicherheitsmaßnahmen und sind sich nicht bewusst, dass diese nicht ausreichend sind, um moderne Angriffe abzuwehren. Eine Darknet-Analyse der Dienstleister kann dazu beitragen, frühzeitig zu erkennen, ob Dienstleister ungesicherte Remote-Zugriffspunkte, gehackte Benutzerkonten oder ungeschützte Datenbanken besitzen, die von Angreifern ausgenutzt werden könnten, um so einen Zugang zu den Netzwerken des Unternehmens und in der folge in die Supply Chain zu erlangen. Sie würde maßgeblich dazu beitragen, das Risiko von Supply Chain-Angriffen zu adressieren, indem potenzielle Angriffspunkte in der Kette identifiziert und behandelt werden können, bevor sie das eigene Unternehmen erreichen oder neue unsichere Dienstleister, mit besonders günstigen Angebotspreisen, ernsthaft in Betracht gezogen werden.
Kann eine automatische Darknet-Analyse Ihnen dabei helfen Supply Chain Risks besser einzuschätzen?
0%Ja
0%Nein