Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
www.kaspersky.de
#truecybersecurity
Die Next Generation-Technologien von Kaspersky Endpoint Security
Kaspersky Enterprise Cybersecurity
1
Entwicklung von Schutztechnologien für EndpointsIn der Vergangenheit bezog sich das Endpoint-Konzept nur auf Workstations und Server. Heute umfasst es auch mobile Geräte und virtualisierte Umgebungen. IT-Infrastrukturen sind komplexer geworden und haben inzwischen erheblich mehr Bedeutung für betriebliche Prozesse.
Big-Data-Analysen, verteilte Datenspeicherung und Prozessautomatisierung erfordern moderne Ansätze zum Schutz der IT-Infrastruktur. Gleichzeitig ziehen vertrauliche Daten und Kapitalanlagen immer mehr Aufmerksamkeit von Cyberkriminellen auf sich. Die meisten aktuellen Bedrohungen sind im Grunde Gelddruckmaschinen, da die Opfer erhebliche finanzielle und Reputationsverluste erleiden.
Komplexe Angriffe stellen die Entwickler von IT-Sicherheitslösungen vor neue Herausforderungen. Die Bereitstellung von wirksamem Schutz erfordert umfassende Kenntnisse.
Folgende Attribute muss ein moderner „Next Gen“ Endpoint-Schutz aufweisen:
• Minimale Auswirkungen auf das Zielsystem aufgrund des ausgewogenen Betriebs der verwendeten Technologien
• Sofortige Erkennung: moderne Methoden zur Erkennung ungewöhnlicher Aktivitäten, einschließlich der Verwendung von Cloud-Services für Experten
• Automatische Ermittlung erkannter Vorfälle• Automatisches Rollback böswilliger Aktionen im System• Weiterleiten von Informationen zu Vorfällen in ein SIEM-System zur
Ereigniskorrelation und zu anderen Lösungen• Einfache Verwaltung: eine intuitiv nutzbare Schnittstelle mit vorkonfigurierter
Funktionalität• Zentrale Verwaltung• Integrierte Steuerung interner Schutztechnologien • Effektive Dienstleistungen: Produktsupport, Ermittlung, Forschung, Training usw.
Aus der obigen Liste ergibt sich, dass ein moderner Schutz nicht mehr nur ein einfacher Mechanismus auf Signaturbasis ist. Es handelt sich vielmehr um eine Reihe leistungsfähiger Technologien, die sich einfach verwalten lassen müssen.
Bei der Auswahl von Sicherheitstools müssen neben den Funktionsanforderungen weitere wichtige Faktoren berücksichtigt werden. Es muss klar sein, welche Technologien in der Lösung zum Einsatz kommen und wie diese untereinander verbunden sind. Ebenso wichtig ist die Evaluierung der Kenntnisse und Erfahrungen des Herstellers, sowie die Bewertung seiner Fähigkeit zur Entwicklung zukünftiger Technologien.
Technologien mit maschineller LernfähigkeitMethoden für maschinelles Lernen (ML) erfahren in letzter Zeit viel Aufmerksamkeit und wurden mit Erfolg bei großen Datenmengen eingesetzt. Im Bereich IT-Sicherheit sind jedoch umfangreiche Kenntnisse und Erfahrungen sowie Techniken zur gezielten Funktionsentwicklung erforderlich, um ML effektiv zur Erkennung von Bedrohungen einsetzen zu können.
Es ist eine gängige Fehleinschätzung, dass ML bei der Bedrohungserkennung auf Rohdaten angewendet werden kann. Dies trifft nicht ganz zu. Eine alte Programmiererweisheit besagt: „Müll rein, Müll raus“. Bei der Vorbereitung des Prozesses kommt es darauf an, dass die Daten richtig vorbereitet und durch
Die Schutztechnologien von Kaspersky Endpoint Security
In diesem Artikel befassen wir uns mit den Technologien zur Bedrohungserkennung in Kas-persky Endpoint Security, der Lösung von Kaspersky Lab für Endpoints in Unternehmensnetz-werken.
Workstations sind nach wie vor der Haupteintrittspunkt für Bedrohungen, und der Bedarf an Next Gen-Technologien wächst.
Die Techniken zur Funktionsentwicklung basieren auf einem Prozess, bei dem Expertenwissen eingesetzt wird, um die Attribute für ML-Algorithmen zu bestimmen.
2
Expertenwissen ergänzt wurden (Funktionsentwicklung). Es wäre naiv, zu glauben, dass sich wirksame Algorithmen ohne Malware-Analysten und ihr Expertenwissen entwickeln lassen. Die Analysten haben vor allem eine überwachende Funktion: Sie kontrollieren und optimieren die Algorithmen und sind an der Überprüfung der komplexesten Bedrohungen beteiligt, bei denen die automatische Analyse nicht immer ausreichend ist.
20 Jahre Entwicklung in den eigenen Forschungsabteilungen, sowie Analysen und gesammelte Expertendaten stellen sicher, dass Kaspersky Lab automatisch die überwiegende Mehrheit der Bedrohungen mithilfe von lernfähigen Systemen erkennt.
Das Center für Bedrohungsverarbeitung und Analyse kann als „Turbine“ betrachtet werden, die Objekte als Eingabe akzeptiert. Diese Objekte durchlaufen mehrere Verarbeitungs- und Analysestufen, die auf verschiedenen Technologien basieren, darunter ML-Algorithmen. Das Analyseergebnis wird zur Formulierung von Bedrohungserkennungsregeln verwendet, die den Benutzern über das Kaspersky Security Network zur Verfügung gestellt werden.
ML-Algorithmen erkennen und definieren täglich mehr als 310 000 Bedrohungen. Dank der Arbeit des Kaspersky Security Network stehen die meisten davon sofort für Endpoint-Sicherheitstechnologien zur Verfügung.
Gleichzeitig liegt der Fokus auf der Verhinderung von Fehlalarmen. Dies umfasst den Abgleich neu erstellter Erkennungsregeln mit einer umfassenden Datenbank an sauberen Dateien.
Kaspersky Endpoint Security
Die Entwicklung von Bedrohungen, die sich gegen Unternehmen richten, führte zu einer neuen Generation von Technologien für die Endpoint-Sicherheit (Next Gen Endpoint Security). Kaspersky Lab hat verschiedene Sicherheitstechnologien entwickelt und implementiert, darunter lernfähige Systeme. Mit diesen Technologien konnte Kaspersky Lab die Erkennung deutlich beschleunigen und gleichzeitig die Ressourcen des geschützten Systems schonen. Heute ist Kaspersky Endpoint Security (KES) ein hochgradig effizientes Produkt, das Endpoints in Unternehmensnetzwerken schützt.
Zentrum für automatisierte Bedrohungsverarbeitung und Analyse
LER
NFÄ
HIG
E
SY
ST
EM
EDateien
URLs
Merkmalsextraktion
Wh
itel
isti
ng
Clu
ster
ing
Stat
isch
e A
nal
yse
Rep
uta
tio
n
Dyn
amis
che
An
alys
e
EXPERTENWISSEN
ALGORITHMEN ALGORITHMEN
1
1
0
0
1
1
0
00
0
00
00 0
0
011
11
11
111
1
1
1
11
1
0ROHDATEN MERKMALS-
EXTRAKTIONERGEBNISMERKMALE
LERNFÄHIGE SYSTEME
3
Reihenfolge der SchutzlösungenDie Logik von KES lässt sich grob in vier Stufen gliedern:
Jede Stufe wird durch eine Gruppe eigenständiger Schutztechnologien repräsentiert. Dies bedeutet, dass jede dieser Technologien in der Lage ist, eine Bedrohung zu erkennen und zu blockieren, auf die sie spezialisiert ist. Die oben gezeigte Reihenfolge zeigt die Gesamtfunktionen der Lösung. Neben den Sicherheitstechnologien existieren zwei Cloud-Services mit Expertensupport.
– Das Update Center bietet stufenweise Aktualisierungen der Schutzkomponenten, darunter lokale Expertendatenbanken (Signaturdatenbank, Heuristik-Datenbank, Datenbank mit Verhaltensszenarien usw.). Das Update Center sammelt außerdem die betrieblichen Änderungen in den Parametern aller verwendeten ML-Algorithmen und ermöglicht so mehr Flexibilität bei der Bereitstellung von Schutz.
– Das Kaspersky Security Network ist eine Cloud-basierte Infrastruktur, die den Echtzeitzugriff auf verschiedene statistische Daten ermöglicht, (darunter Statistiken zu Reputation, Inhalt, Verhalten usw.). Dies verringert die Dauer der Bedrohungserkennung und schont die Ressourcen des geschützten Node.
Die oben gezeigte Reihenfolge der Schutzlösungen ist eine Reaktion auf die Phasen eines Angriffs: Jede Stufe bietet eine eigene Sicherheitsstufe, die für die Abwehr einer Bedrohung erforderlich ist.
Wir befassen uns nun mit den einzelnen Phasen der Schutztechnologien.
Zentrum für automatisierte Bedrohungsverarbeitung und Analyse
Sequenz der Schutzlösungen von Kaspersky Endpoint Security
KA
SP
ER
SK
Y U
PD
AT
E C
EN
TE
R
KA
SP
ER
SK
Y S
EC
UR
ITY
NE
TW
OR
K
RISIKOVERMEIDUNG
VOR DER AUSFÜHRUNG
LAUFZEITKONTROLLE
AUTOMATISIERTE FORENSIK
Automatisiertes Rollback
Erweiterte Desinfektion
Forensik
Verhaltensanalyse
• Exploit-Schutz
• Schutz vor Ransomware
Execution Privilege Control
Endpoint-Hardening
Reputationsdienste
Auf maschinellem Lernen basierende
Erkennung
• Verwendung statischer Daten
• Verwendung dynamischer Daten
Netzwerkfilterung
Cloud-basierte Inhaltsfilterung
Portkontrollen
1
2
3
4
RISIKOVERMEIDUNG
VOR DER AUSFÜHRUNG
NACH DER AUSFÜHRUNG
AUTOMATISIERTE FORENSIK
EINSTIEGSPUNKTE
INFEKTION
EINDRINGEN
ZIELERREICHUNGST
AD
IEN
EIN
ES
AN
GR
IFFS
4
1. RisikovermeidungBedrohungen breiten sich heute über viele Informationskanäle aus. Daher ist es sehr wichtig, dass der Perimeter eines geschützten Nodes auch zuverlässig geschützt wird.
Die erste Stufe umfasst einen Filter für alle eingehenden Informationen. Vorbeugende Blo-ckierungstechnologien werden zur Überwachung der Hauptaktivitäten des geschützten Nodes eingesetzt, um die frühzeitige Erkennung und Blockierung bekannter Bedrohungen zu ermöglichen. Zunächst sehen wir uns die Blockierungstechnologien der ersten Stufe an.
1.1 Schutz vor Netzwerk- und Firewall-Angriffen
Die Sicherheit von Netzwerkverbindungen wird durch das Intrusion Detection System (IDS) überwacht. Hierbei handelt es sich um einen signaturbasierten Netzwerksensor. Während des Betriebs wendet das IDS die Technologie „Deep Packet Inspection“ (DPI) an, sodass der Netzwerksensor den gesamten passierenden Datenverkehr überwachen kann. Dies bedeutet, dass mehrere verdächtige und gefährliche Netzwerkaktivitäten sofort erkannt werden können.
Einige Beispiele für Netzwerkaktivitäten:
• Aktives Scannen von Ports• Versuche, eine Verbindung zu verschiedenen Ports des Betriebssystems herzustellen• Erkennung anormaler Netzwerkkommunikation, z. B. Verwendung von Remote-
Managementtools Befehle von einem C&C-Server (bei Botnets)
Wird ein gefährliches Ereignis erkannt, blockiert der Sensor die Verbindung mithilfe von Firewall-Technologie.
Firewall – Blockierungstechnologie, die die Netzwerkaktivitäten des geschützten Node nach definierten Regeln für Folgendes filtert:
• Filterung von Netzwerkpaketen und Datenströmen• Softwareaktivität bei der Interaktion mit dem Netzwerk
Die Parameter werden vom Administrator in der Richtlinie für Netzwerkverbindungen definiert.
1.2 Web-Filterung
Internetressourcen sind eine Bedrohungsquelle. Ein vertrauenswürdiger Web-Node kann infiziert werden, sodass dort ein böswilliges Skript oder ein Zero-Day-Exploit platziert wird. Damit wird der Tagesbetrieb unsicher. Um die komfortable und sichere Arbeit mit Internetressourcen sicherzustellen, wird in KES eine Web-Filterungstechnologie mit zwei Sicherheitsniveaus eingesetzt.
Auf der ersten Stufe befindet sich das Cloud-basierte Kaspersky Security Network (KSN), das die passive Filterung übernimmt, d. h. sie bietet eine Echtzeitreferenz für die Kategorie einer Web-Ŕessource, bzw. für deren Reputation. Dies erfolgt, bevor der Browser mit dem Download von Inhalten beginnt.
Die KSN-Reputationsdatenbank klassifiziert URLs in folgende Kategorien:
• Schädliche URL – stellt eine Infektionsgefahr dar• Phishing-URL – wird verwendet, um persönliche Informationen zu stehlen• Unbekannte URL – keine Reputationsinformationen verfügbar• Sichere URL – sichere Ressource
Die Web-Filterung leistet einen erheblichen Beitrag zur Sicherheit. Sie blockiert die meisten als gefährlich bekannten Webseiten und schont die Ressourcen eines geschützten Node.
Die zweite Stufe basiert auf der Technologie der dynamischen Analyse und verfolgt Inhalte, die von unbekannten Webressourcen heruntergeladen werden. Weitere Details finden Sie in der nachfolgenden Beschreibung der Schutzlösungen auf der zweiten Stufe.
1.3 Kontrolle angeschlossener Peripheriegeräte
Tragbare Geräte stellen ebenfalls eine potentielle Bedrohung für den geschützten Node dar. Die Peripheriekontrolle identifiziert die Art des verbundenen Geräts und fordert den Benutzer auf, eine Verbindung zu diesem Gerät zu bestätigen. Hierzu muss der Benutzer den angezeigten Schlüssel eingeben. Mit dieser Kontrolle lassen sich Spoofing-Fälle identifizieren, bei denen sich z. B. eine Speicherkarte als Tastatur tarnt, um nicht gescannt zu werden. Cyberkriminelle nutzen diesen Methode, um Sicherheitstechnologien auszutricksen und in den geschützten Perimeter einzudringen. Die Peripheriekontrolle
Im Jahr 2016 waren 31,9 % der Benutzercomputer während der Internetnutzung mindestens einem Webangriff durch schädliche Objekte der Malware-Klasse ausgesetzt.
Im Jahr 2016 lösten 261 774 932 eindeutige URLs Schutztechnologien aus.
5
ist untrennbar mit den Technologien der Stufe zur Ausführungsvermeidung verbunden, auf der unbekannte Objekte analysiert werden.
2. Stufe zur „Execution Prevention“Für Cyberkriminelle ist es wichtig, nicht nur die anfängliche Filterung zu umgehen, sondern auch die Erkennungstechnologien auszutricksen, die für die frühzeitige Erkennung von Malware verantwortlich sind. Eine Infizierung ist nur dann erfolgreich, wenn der schädliche Code in der vertrauenswürdigen Umgebung ausgeführt werden kann. Um dieses Ziel zu erreichen, verbessern Cyberkriminelle fortlaufend ihre Techniken zur Umgehung von Erkennungstechnologien. Die wesentlichen Techniken werden nachfolgend aufgelistet:
• Packer: Diese enthalten schädlichen Code in gepackter Form und erschweren so dessen Erkennung.
• Codeverschleierung: Wird von speziellen Compilern verwendet, um den Code auf Algorithmusebene komplizierter zu machen.
• Polymorphe Malware: Hierbei wird ein schädlicher Programmcode während der Ausführung verändert.
• Polymorpher Server: Bei jedem Serverzugriff wird von einem infizierten Server ein neues Muster eines Schadprogramms erzeugt.
• Verschlüsselung: Mit mehrstufiger Verschlüsselung wird ein Teil des Codes vor den Erkennungsmechanismen verborgen. Die Verschlüsselung wird häufig zusammen mit der Verschleierung verwendet.
• Schwachstellen, einschließlich Zero-Day: Das Ausnutzen der Software-Schwachstellen ist eine effektive Infizierungsmethode.
• Umgehen von Emulatoren: Ein Anti-Malware-Emulator prüft eine Programmdatei, indem er diese in einer isolierten Umgebung ausführt und ihre Betriebslogik analysiert. Schädlicher Code lässt sich mithilfe von Signaturen oder heuristisch erkennen. Die Hacker setzen verschiedene Techniken ein, um den Algorithmus des Codes zu ändern und so den Emulator daran zu hindern, die Logik zu bestimmen.
Durch die Kombination von zwei oder mehr der oben genannten Methoden ergibt sich eine effektive kriminelle Vorgehensweise, mit der häufig die Umgebung eines geschützten Node infiltriert wird. Die einzige Abwehrmöglichkeit besteht im Einsatz eines umfassenden technologischen Schutzes auf Basis der neuesten Methoden zur Kontrolle und Analyse ausführbarer Objekte.
Die Stufe zur Ausführungsverhinderung wird am häufigsten genutzt, da fortlaufend eine große Anzahl von Objekten analysiert wird.
Betrachten wir nun detailliert jene Technologien, auf die sich diese Stufe gründet, sowie die ausgeführten Aufgaben.
2.1 Stärkung der vertrauenswürdigen Umgebung
Der wichtigste Aspekt ist, dass die Kontrolle in der gesamten geschützten Umgebung durchgesetzt wird. Auf diese Weise lassen sich potentielle Bedrohungen durch Verfolgen und Eliminieren unsicherer Komponenten im Betriebssystem und in Drittanbietersoftware vermeiden.
Hierzu wird ein Vulnerability Assessment durchgeführt, bei dem die globale CVE-Datenbank (Common Vulnerabilities and Exposures) zum Einsatz kommt. Dies ist ein automatisiertes Verfahren, das zentral durch die Kaspersky System Management-Komponente verwaltet wird. Es trägt dazu bei, in der Software erkannte Bedrohungen sofort zu melden und diese zeitnah mithilfe von Software-Updates des Patch Managements zu eliminieren.
Mit der Software-Update-Technologie bleibt die installierte Software auf dem neuesten Stand. In der Kombination stärken die beiden Technologien die geschützte Umgebung und verringern das Risiko, dass Schwachstellen ausgenutzt werden.
In diesem Zusammenhang ist auch die Default-Deny-Blockierungstechnologie zu beachten. Sie implementiert einen alternativen Ansatz zur Kontrolle des Softwarestarts, der im Grunde wie folgt lautet: „Wenn es nicht ausdrücklich erlaubt ist, ist es verboten.“
Laut den Erkennungsstatistiken für das Jahr 2016 werden Software-Schwachstellen aktiv zur Infizierung verwendet.
6
Mit diesem Ansatz kann der Administrator festlegen, welche Softwareprodukte erforderlich und ausreichend sind, um den Unternehmensbetrieb aufrechtzuerhalten.
Der Default Deny-Ansatz bietet folgende Vorteile:
• Unbekannte Anwendungen können blockiert werden, darunter neue Modifikationen von Schadprogrammen.
• Installation und Start unzulässiger/nicht lizenzierter Software, die nichts mit Arbeitsaufgaben zu tun hat, können blockiert werden.
Diese Technologie stellt eine breite Palette von Kategorien bereit, die der Administrator den Softwareprogrammen zuweisen kann (z. B. vertrauenswürdige Hersteller, vertrauenswürdiges, manuell hinzugefügtes Konto, nicht autorisierte oder nicht lizenzierte Software usw.). Die Listen werden automatisch vom Center für Bedrohungsverarbeitung und Analyse erstellt und aktualisiert, sodass keine manuellen Eingriffe erforderlich sind.
2.2 Reputation Services
Dieser Teil des Kaspersky Security Network stellt sicher, dass Bedrohungen sofort erkannt werden. Hierzu werden Online-Reputationsdatenbanken genutzt, die detaillierte Informationen zu Objekten enthalten. Die Datenbanken werden fortlaufend mit Experteninformationen ergänzt, die unter anderem aus Erkennungstechnologien der KSN-Infrastrukturteilnehmer stammen, die die Experten-Cloud als Schutz verwenden. Diese Reputationsdienste bieten folgende Vorzüge:
• Die Ergebnisse werden pro Objekt sofort übermittelt.• Es besteht keine Abhängigkeit von den Rechenressourcen der Endpoints.
Nach der Prüfung wird jeder Datei eine Kategorie zugewiesen:
• Schädlich: Die Datei enthält schädlichen Code.
• Sauber: Die Datei hat die Analyse durchlaufen und wurde als sicher anerkannt.
• Unbekannt: Eine neue Datei, die zuvor noch nie analysiert wurde. Daher gilt sie als potentiell gefährlich.
Jede als „Unbekannt“ klassifizierte Datei wird automatisch zur Analyse an Erkennungstechnologien weitergeleitet, die maschinelles Lernen einsetzen (siehe unten).
2.3 Mehrstufiger Schutz
Die abschließende Aufgabe auf der zweiten Stufe besteht in der Identifizierung kom-plexer Bedrohungen durch Verwendung verschiedener Analysetechnologien. Hierbei kommt eine mehrschichtige Schutzkomponente zum Einsatz, die verschiedene Sze-narien umfasst, welche sich nach der Art des Eintrittspunkts richten.
Der Mehrstufige Schutz funktioniert wie folgt:
Jedes Szenario weist einen eigenen Satz zugewiesener Erkennungstechnologien auf. Bei Bedarf können diese Technologien kombiniert werden, um den gewünschten Schutz zu erzielen.
SPEICHER
INSTANT MESSAGING
WEB
IM-M
ITTEIL
UNGEN
WEBVERKEHR
E-MAIL-
NACHRICHTEN
DATEIEN
Meh
rstu
fig
er
Mal
war
e-Sc
hu
tz
Heuristische SkriptanalyseURL-Analyse
Analyse von DateisignaturenHeuristische Dateianalyse mithilfe von lernfähigen Systemen
URL-Analyse
URL-Analyse
Heuristische Dateianalyse mithilfe von lernfähigen Systemen
Analyse von Dateisignaturen
Im Rahmen seiner Maßnahmen zur Verbesserung der Qualität der Bedrohungserkennung und zur Minimierung von Fehlalarmen treibt Kaspersky Lab die Technology Alliance voran, zu der Unternehmen der 500 führenden Softwarehersteller und unabhängige Freeware-Entwickler zählen. Auf diese Weise kann Kaspersky Lab frühzeitig Whitelists erstellen, die auch von Default Deny-Technologien genutzt werden können.
7
Web-Filterung – dynamischer SchutzBeginnen wir mit einer Technologie, die als Fortsetzung der Web-Filterung (eine frühe Filterungsphase) dient. Diese ist für die aktive Phase der Bedrohungserkennung im heruntergeladenen Inhalt verantwortlich. In der ersten Phase werden URLs statisch kontrolliert, um die spezifische Kategorie für die einzelnen Web-Ressourcen zu definieren. In der zweiten Phase durchläuft unbekannter HTML-Code eine dynamische Analyse, wenn das kontrollierte Herunterladen beginnt.
In der aktiven Erkennungsphase kommen die folgenden Technologien zum Einsatz:
• Heuristische URL-Analyse Jede URL wird in dem Moment analysiert, in dem sie im Browser des geschützten Nodes geöffnet wird. Der HTML-Code wird in einen Emulator geladen, und seine Ausführung wird durch ein heuristisches Analyseprogramm überwacht. Auf diese Weise lassen sich im HTML-Code verborgene Bedrohungen identifizieren, sodass das Öffnen gefährlicher Webressourcen blockiert werden kann.
• Heuristische Skript-Analyse Der Analyse von Skripten in HTML-Dokumenten wird besondere Aufmerksamkeit zuteil. Dies umfasst die zusätzliche Verwendung eines Emulators, der komplexe Bedrohungen in verschiedenen Skriptsprachen erkennen kann. Die passive Stufe (erste Filterungsstufe) und die aktive Stufe (Angriffsüberwachung) der Web-Filterung sorgen bei kombiniertem Einsatz für eine sicheres Interneterlebnis. Technologien zur Web-Filterung werden auch in Sicherheitskontrollen eingesetzt, wenn mit anderen Einstiegspunkten gearbeitet wird, bei denen eine URL-Adresse vorhanden sein kann, z. B. in E-Mails oder Instant Messaging.
E-MailBei der Bedrohungsanalyse von E-Mails und bei der heuristischen URL-Analyse werden weitere Technologien eingesetzt, um Dateianhänge zu überprüfen.
E-Mails zählen zu den Schwachstellen, die am häufigsten von Cyberkriminellen ausgenutzt werden. Im Bereich des Social Engineering gibt es einen neuen Trend namens „Spear-Phishing“, bei dem die Angriffe sehr gezielt erfolgen. So wird z. B. eine spezielle E-Mail mit einem Exploit und archivierten Anhängen an den Benutzer gesendet. Die Passwörter zu diesen Archiven können in der Mitteilung oder in grafischer Form enthalten sein. Dies stellt die Schutztools vor gewisse Anforderungen, denn sie müssen die archivierten Dateien automatisch öffnen und analysieren.
Wenden wir uns nun den Technologien zur Dateianalyse zu.
• Signaturbasierte Dateianalyse Die Technologie der signaturbasierten Dateianalyse wird in verschiedenen Schutzszenarien angewendet, bei denen ein Objekt schnell auf Bedrohungen geprüft werden muss. Die Methode wird zur Überprüfung von E-Mail-Anhängen verwendet. Die signaturbasierte Methode hat gewisse Vorteile, weshalb sie bei der Dateianalyse zuerst zum Einsatz kommt. Die Hauptvorteile sind: – Schnelle Erkennung – Minimale Anzahl an Fehlalarmen – Geringer Bedarf an Ressourcen des geschützten Nodes Diese Methode ist natürlich durch die Anzahl der in der (fortlaufend aktualisierten) Datenbank enthaltenen Signaturen eingeschränkt. Aus diesem Grund wird die signaturbasierte Analyse in Verbindung mit der heuristischen Analyse eingesetzt.
• Dateianalyse mithilfe von Methoden zum maschinellen Lernen Nachfolgend befassen wir uns ausführlicher mit der Dateianalyse auf Basis von maschinellem Lernen. In einem Szenario für den E-Mail-Schutz bietet maschinelles Lernen die einzigartige Möglichkeit, passwortgeschützte Archivanhänge zu öffnen. Hierzu wird das Passwort (das als Text oder Grafik vorliegt) aus dem E-Mail-Text extrahiert. Dies ist eine der Techniken, die Cyberkriminelle zur Umgehung von Erkennungstechnologien verwenden: Das geschützte Archiv dient als „Safe“, dessen Inhalt nicht analysiert werden kann. Zur Erkennung des in grafischer Form bereitgestellten Passworts wird ein Algorithmus mit maschinellem Lernen verwendet. Anschließend wird mithilfe des Passworts der Inhalt des passwortgeschützten Archivs extrahiert.
Statistik 2016: Technologien zur Web-Filterung haben 69 277 289 eindeutige Objekte erkannt, darunter Skripte, Exploits, Programmdateien usw.
Eine Signatur ist ein Codefragment, mit dem sich ein schädliches Objekt zweifelsfrei identifizieren lässt.
8
DateispeicherungJede unbekannte Datei stellt eine potentielle Bedrohung für den geschützten Node dar und erfordert die spezielle Aufmerksamkeit der Schutztechnologien.
Für solche Fälle weist der mehrstufige Schutz ein erweitertes Szenario auf, bei dem eine umfassende Analyse auf Basis von maschinellem Lernen durchgeführt wird.
Es stehen verschiedene Technologien für die Dateianalyse zur Verfügung.
• Signaturbasierte Dateianalyse Die Hauptvorteile wurden bereits weiter oben im Abschnitt zur E-Mail-Sicherheit aufgelistet. In diesem Szenario übernimmt die signaturbasierte Technologie die Aufgabe eines Basisfilters und stellt Ergebnisse für alle bekannten Dateien bereit, sodass nur unbekannte Dateien mithilfe von maschinellem Lernen analysiert werden.
• Dateianalyse mit Methoden zum maschinellen Lernen Dies ist die modernste Technologie im mehrstufigen Schutz. Hierbei wird eine umfassende Dateianalyse durchgeführt, damit Bedrohungen frühzeitig erkannt werden. Diese Technologie basiert auf der parallelen Ausführung zweier Prozesse, die statische und dynamische Daten analysieren.
Diese beiden Prozesse durchlaufen drei Phasen, die wiederum Gruppen spezieller Technologien umfassen. Die statischen und dynamischen Ansätze eignen sich gut für den kombinierten Einsatz und gleichen so die möglichen Defizite der jeweils anderen Technologie aus, darunter:– Wird das Modell auf statische Attribute von Schadprogrammen trainiert, können
Dateien auftreten, die sich nur geringfügig von sauberen Dateien unterscheiden.– Wird das Modell auf dynamische Attribute trainiert, zeigen einige Programme ggf.
kein schädliches Verhalten, da sie eventuell eine spezifische Umgebung oder eine dedizierte Befehlszeile zum Start benötigen.
Nachfolgend betrachten wir die einzelnen Prozesse genauer.
Erkennung anhand statischer DatenVorverarbeitung, vorbereitende Technologien:
• Entpacker extrahieren gepackten Code, sodass Parser Metadaten daraus extrahieren können (Packer, Verschleierung und Verschlüsselung sind typische Methoden, die Cyberkriminelle zur Erkennungsvermeidung einsetzen).
• Parser extrahieren verschiedene Metadatendatensätze.
Die Vielfalt der Metadaten wirkt sich direkt auf die Erkennungsqualität aus, sodass die Vorverarbeitung eine große Bibliothek mit verschiedenen Parsern enthält. Die Parser stellen informative Attributbeschreibungen bereit (darunter die Strukturen von Programmdateien, statistische Merkmale von Daten und Code, Zeichenfolgen usw.).
Der Detektor analysiert Attributbeschreibungen und entscheidet, ob ein Objekt schädlich ist oder nicht. Die Funktion des Detektors gliedert sich in zwei Bereiche.
Zunächst wird ein flexibler Hash-Wert berechnet, sodass im „verschmutzten“ Bereich effektiv nach dem analysierten Objekt gesucht werden kann. Bei einem einfachen Bereich (der z. B. nur Objekte eines Typs enthält, die entweder alle „verschmutzt“ oder „sauber“ sind), kann bereits in dieser Phase eine Entscheidung gefällt werden. Ein flexibler Hash-Wert hat den Vorteil, dass er gegenüber polymorphen und verschleierten
Abgleich mit KSN-Whitelist
Kri
teri
enb
esch
reib
un
gG
run
dle
ge
nd
e
Ve
rhal
ten
krit
eri
en
Parser
Entpacker
Emulator
Prüfung von digitalen Signaturen und ZertifikatenModell, geschult auf
dynamische Attribute
Modell, geschult auf statische Attribute
MINIMIERUNG VON FEHLALARMEN
DETEKTOR
DETEKTOR
VORVERARBEITUNG
VORVERARBEITUNG
ER
KE
NN
UN
G A
NH
AN
D
ST
AT
ISC
HE
R D
AT
EN
ER
KE
NN
UN
G A
NH
AN
D
DY
NA
MIS
CH
ER
DA
TE
N
Statische Daten sind Informationen zu einem Objekt, die ohne dessen Ausführung gesammelt werden. Diese Technologie weist eine erhebliche Kapazität zur Verallgemeinerung und hohe Leistung auf.
9
Objekten tolerant ist, was den Bedarf an Ressourcen auf dem geschützten Node erheblich verringert.
Bei einem komplexen Bereich (z. B. mit „verschmutzten“ und „sauberen“ Objekten) wird das Objekt an die zweite Analysephase weitergeleitet. In der zweiten Phase werden die Attributbeschreibungen des Objekts durch den Klassifizierer bewertet. Seine Aufgabe ist es, in der Datenbank ein entsprechend trainiertes Modell (speziell für diesen Bereich) zu finden und dieses anzuwenden. Das trainierte Modell entscheidet abschließend darüber, ob das Objekt schädlich ist oder nicht.
Objektanalyse auf Basis dynamischer DatenDie Vorverarbeitung sammelt dynamische Informationen, darunter das Objektverhalten, Speicherbereiche mit ausführbarem Code usw.
Der Emulator ermöglicht das Starten einer Programmdatei in einer kontrollierten Umgebung, die das tatsächliche System teilweise imitiert. Die Vorteile bestehen darin, dass dies nur minimale Auswirkungen auf die Computerressourcen und die Sicherheit hat (der analysierte Code kann die sichere Umgebung nicht beeinträchtigen). Die dynamische Analyse erzeugt eine protokollierte Folge von Aktionen der Programmdatei, sowie einen Speicherauszug und andere Objekte (z. B. Dateien), die während der Ausführung generiert wurden. Alle aufgeführten Daten ergeben grundlegende Verhaltensattribute.
Der Speicherauszug ermöglicht den Zugriff auf den ursprünglichen (entpackten) Code und das Erkennen von Daten, was ggf. auf die schädliche Natur der Datei hinweist.
Der Detektor identifiziert böswillige Verhaltensszenarien und trifft eine Entscheidung darüber, ob ein analysiertes Objekt schädlich ist oder nicht.
Der Detektor verwendet eine Bibliothek schädlicher Szenarien, die im automatisierten Kaspersky Lab Center für die Verarbeitung und Analyse von Bedrohungen erstellt wird.
Das Center verfügt über umfassende Sammlungen schädlicher und sauberer Dateien, die fortlaufend verarbeitet werden. Hierbei werden die grundlegenden Verhaltensattribute extrahiert, die zum Trainieren von Modellen eingesetzt werden. Aus diesen Modellen werden Verhaltensszenarien generiert, die dem Detektor in Form inkrementeller Updates zur Verfügung gestellt werden. Dieser Ansatz führt zu einer deutlichen Verringerung von Updatedauer und -umfang. Auf diese Weise bleibt der Detektor stets effektiv.
Objektbereich
2325.
2422
21
1820
1917
16
13151412
11
810
97
6
3 5
4
2
1
Einfacher Bereich, flexibles Hash genügt
KomplexerBereich
Komplexer Bereich,trainiertes Modell erforderlich
Der flexible Hash-Wert wird anhand von Attributen erstellt, sodass er für eine Gruppe von Dateien gleich bleibt.
Ein Bereich ist ein Teil des Objektbereichs, dem ein flexibler Hash-Wert oder ein trainiertes Modell entspricht.
Dynamische Daten sind Informationen zu einem Objekt, darunter Informationen zu seinem Verhalten, die während der Ausführung oder emulierten Ausführung gesammelt wurden.
Ein schädliches Szenario ist eine Abfolge von Aktionen, durch die ein Angriff implementiert wird.
Statistik 2016: Mehrstufiger Schutz meldete 4 071 588 schädliche und potentiell unerwünschte Objekte.
10
Minimierung von FehlalarmenJede vom Detektor getroffene Entscheidung wird auf Fehlalarme geprüft. Das Auftreten eines Fehlalarms ist sehr unwahrscheinlich, kann aber ggf. erhebliche Konsequenzen nach sich ziehen.
Wird ein Objekt als schädlich erkannt, werden die folgenden Mindestprüfungen durchgeführt, um das Risiko eines Fehlalarms zu verringern:
• An den KSN Cloud-Service wird eine Anforderung gesendet, die die Nummer des trainierten Modells oder Verhaltensszenarios enthält, das zur Entscheidung über die identifizierte Bedrohung geführt hat. (KSN enthält Informationen zu gültigen Modellen und Verhaltensszenarien, sodass geprüft werden kann, ob auf das Modell/Szenario zurückgegriffen wurde.)
• An die Whitelists des KSN Cloud-Service wird eine Anforderung gesendet, sodass Fehlalarme durch den Detektor ausgeschlossen werden können. (Whitelists sind große Sammlungen von als sauber bekannten Dateien. Diese Sammlung wird vom automatisierten Kaspersky Lab Center fortlaufend aktualisiert.)
• An den Cloud-Service zur Zertifikatklassifizierung wird eine Anforderung gesendet, um die Reputation des Signaturzertifikats der Datei zu prüfen.
Im Hinblick auf die zweite Stufe ist zu beachten, dass ein lokaler KSN-Puffer dazu beiträgt, wiederholte Anforderungen zu bereits geprüften Objekten zu verhindern. Auf diese Weise werden die Ressourcen des geschützten Node geschont.
3. AusführungskontrolleObwohl die zweite Stufe eine statische und dynamische Analyse umfasst, können manche Bedrohungen diese Stufe möglicherweise unerkannt passieren. So könnte beispielsweise Cryptomalware mit mehreren Komponenten, die legitime Verschlüsselungssoftware verwendet, unerkannt bleiben, da die einzelnen Komponenten für sich genommen keine Bedrohung darstellen.
Ziel der dritten Stufe ist die Erkennung von schädlichem Verhalten innerhalb der ver-trauenswürdigen Umgebung. Während der Analyse wird das Gesamtverhalten aller aktiven Komponenten berücksichtigt, darunter auch das von vertrauenswürdigen und nicht vertrauenswürdigen Programmen, sowie das der Systemkomponenten. Diese Art der Analyse unterstützt die Identifizierung komplexer Bedrohungen, die aus mehreren Komponenten bestehen.
Ein weiteres Beispiel ist die Abwehr von Exploits. In diesem Fall wird das schädliche Verhalten innerhalb eines vertrauenswürdigen Programms erkannt.
Wird beispielsweise ein Word-Dokument mit einem enthaltenen Exploit geöffnet, erkennt die Automatic Exploit Prevention (AEP)-Technologie das schädliche Verhalten und blockiert dieses. Diese Technologie ist effektiv und kann komplexe Bedrohungen blockieren, einschließlich Exploits für Zero-Day-Schwachstellen.
3.1 Verhaltensanalyse
Diese Technologie analysiert das Verhalten aller aktiven Komponenten innerhalb der vertrauenswürdigen Umgebung des geschützten Node. Sie umfasst die folgenden Analyseschritte:
Ein Fehlalarm ist ein fehlerhaftes Ergebnis des Detektors, der ein Objekt für schädlich hält, obwohl dieses tatsächlich sauber ist.
Im Jahr 2016, wurden Cryptor-Angriffe auf den Computern von 1 445 434 Benutzern blockiert.
Im Jahr 2016 erkannte Kaspersky Lab mehr als 54 000 neue Modifikationen und 62 neue Cryptor-Familien.
Zero-Day-Schwachstellen sind Codefehler, für die noch ein Patch entwickelt werden muss. Auf diese Weise kann ein Cyberkrimineller undokumentierte Merkmale der Programmausführung nutzen, um ein System zu infizieren.
Die Verhaltensanalyse berücksichtigt das tatsächliche Verhalten an Stelle des angenommenen (emulierten) Bilds von Aktionen, das in der Phase der Angriffsüberwachung analysiert wird.
IDENTIFIZIEREN VON SZENARIEN
AGGREGATION
FILTERUNG
MERKMALSEXTRAKTION
NORMALISIERUNG
SYSTEMEREIGNISSE
Verhaltensanalyse
11
• Systemereignisse: Überwachung grundlegender Systemereignisse, darunter Prozesserstellung, Änderungen der Registrierungsschlüsselwerte, Dateiänderungen usw.
• Normalisierung: Anordnen aller eingehenden Ereignisse in einem einheitlichen Format für die weitere Verarbeitung
• Merkmalsextraktion: Hinzufügen zusätzlicher Informationen zu bestimmten Ereignissen, z. B. über die Ausführbarkeit einer modifizierten Datei
• Filterung, Sammlung, Identifizierung von Szenarien: In diesen Phasen werden signifikante Kombinationen und Abfolgen von Ereignissen identifiziert, die zu einem Verhaltensszenario führen. Die Bibliothek schädlicher Szenarien wird im automatisierten Kaspersky Lab Center für die Verarbeitung und Analyse von Bedrohungen erstellt.
3.2 Berechtigungskontrolle
Die Berechtigungskontrolle wird parallel zur Verhaltensanalyse durchgeführt und basiert auf Programmrichtlinien und -kategorien.
Die Kontrolle umfasst das Überwachen von Anwendungsaktivitäten und das Durchsetzen von Einschränkungen auf Basis der Anwendungseigenschaften: Beliebtheit weltweit, Zuverlässigkeit des Herausgebers, Auslösen einer Erkennung usw. Auf diese Weise kann ein Programm keine unkontrollierten Aktionen in der geschützten Umgebung ausführen, darunter das Einrichten von Netzwerkverbindungen o. ä.
Microsoft-Anwendungen oder anderen bekannte Anwendungen wird z. B. eine schwach ausgelegte Kontrollrichtlinie zugewiesen. Dennoch weist das Berechtigungskontrollsystem wenig bekannten Anwendungen eine entsprechend strenge Richtlinie zu, die die potentiellen Risiken und Gefahren der Anwendung berücksichtigt.
Die Berechtigungskontrolle arbeitet mit den Default Deny-Listen vertrauenswürdiger Softwareprogramme zusammen (sofern aktiviert) und sorgt so für Sicherheit in Echtzeit. Die Einschränkungen können zentral auf der passenden Netzwerkebene des Unternehmens verwaltet werden. Alternativ dazu ist auch der Schutz persönlicher Daten auf individueller Basis möglich.
4. Beseitigung nach der Infektion
Eine Infektion ist die Ausführung eines schädlichen Codes in einer vertrauenswürdigen Umgebung. In diesem Fall verfolgt der ausgeführte Prozess das Ziel, von Cyberkriminellen definierte Vorhaben umzusetzen, indem er eine Folge verschiedener Ereignisse erzeugt. Solche Situationen treten typischerweise ein, wenn die Sicherheitslösung auf einem als infiziert geltenden Node installiert wird, oder wenn eine potentiell gefährliche Aktivität im Rahmen der Verhaltensanalyse erkannt wird. Ein Beispiel hierzu ist das Starten der Dateiverschlüsselung durch einen legitimen Prozess auf dem lokalen Laufwerk des geschützten Node.
In diesem Fall beginnt die vierte Schutzstufe. Diese Stufe dient der Notfallreaktionen auf eine Bedrohung.
Sobald die Technologien zur Verhaltensanalyse eine potentiell gefährliche Aktivität blockieren, muss ein Aktionsplan umgesetzt werden, der die sichere Umgebung wieder in ihren früheren Zustand zurücksetzt.
4.1 Automatisches Rollback von Aktionen
Das automatische Rollback von Aktionen bricht alle begonnenen Änderungen ab, indem die vom blockierten Prozess vorgenommenen Schritte verfolgt werden. Auf diese Weise wird im Grunde die Abfolge der Aktionen umgekehrt, sodass die ursprüngliche Struktur wiederhergestellt wird. Hierbei kommen Technologien aus der Stufe der Verhaltensanalyse zum Einsatz, die einen detaillierten Verlauf der von den einzelnen Prozessen ausgeführten Aktionen umfasst.
Eine Ereignisabfolge kann Folgendes umfassen:
• Zweige der Betriebssystemregistrierung• Programmdateien, die vom Prozess erstellt wurden (Skripte oder Binärdateien)• Modifizierte Dateien, z. B. die von Cryptormalware verschlüsselte Dateien
Die grundlegenden Einschränkungen für verschiedene Anwendungskategorien werden vom automatisierten Kaspersky Lab Center für Bedrohungsverarbeitung und Analyse erzeugt.
Im Jahr 2016 stammten 22,6 % der von Cryptor-Angriffen betroffenen Benutzer aus dem Unternehmenssektor.
12
4.2 Erweiterte Desinfektion
In einigen komplexen Fällen, z. B. wenn sich ein schädlicher Code selbst in einen Systemprozess eingeschleust hat, der unmöglich blockiert werden kann, ohne die Systemstabilität zu gefährden, kommt die Technologie zur Handhabung einer aktiven Infektion ins Spiel. Dieses Tool kann infizierte Dateien sicher wiederherstellen, darunter auch Komponenten des Betriebssystems. Im Fall einer aktiven Behandlung wird der geschützte Computer neu gestartet. Infizierte Systemkomponenten werden durch saubere ersetzt. In diesem Fall verlässt sich die Technologie auf ihre Fähigkeit, die Originaldateien für die Herstellung zu finden. Das System wird auf diese Weise wieder in einen stabilen Zustand versetzt.
4.3 Forensik
Die Analyse von Vorfällen im Bereich der Informationssicherheit erfordert eine eigene Beweisbasis. Da Schutztechnologien ein breites Spektrum an Daten sammeln, kann ein Vorfall analysiert werden, und es lassen sich vorbeugende Maßnahmen zur Informationssicherheit treffen.
Inhärente SicherheitsmaßnahmenZur Wahrung des zuverlässigen Systembetriebs stehen Tools zur Kontrolle der eigenen Sicherheit zur Verfügung. Dies bewahrt die Integrität des Schutzes, einschließlich des Schutzes vor Deaktivierungsversuchen durch Benutzer
Diese Selbstverteidigungstools fangen unsichere Abläufe ab und blockieren diese mithilfe von Ressourcen in der vertrauenswürdigen Umgebung, unabhängig von den Benutzerrechten. Auf diese Weise werden die Schwachstellen eliminiert, durch die ein schädliches Programm Administratorberechtigungen erlangen könnte.
ManagementDas Kaspersky Security Center wurde für flexibles Security Management entwickelt. Es bietet detaillierte Informationen zum Status der Endpoint-Sicherheit und zur zentralen Sicherheitsrichtlinie. Damit wird das Kaspersky Security Center zum Zentrum für die Verwaltung der Sicherheit von Unternehmensnetzwerken und für Berichte zu allen Bedrohungen.
Außerdem soll an dieser Stelle die erweiterte Funktion von Kaspersky Systems Management erwähnt werden. Diese steigert mithilfe folgender Merkmale die Sicherheit des Unternehmensnetzwerks:
• Vulnerability Assessment und Patch Management• Hardware- und Software-Bestandsaufnahme• Flexibles Provisioning von Betriebssystem und Programmen• Softwarebereitstellung• SIEM-Integration • Zugriffssteuerung in komplexen Unternehmensnetzwerken
Im Jahr 2016 wurden insgesamt 4 071 588 einzelne, schädliche und potentiell gefährliche Programme gemeldet. (Die Anzahl der einzelnen Programme wird mit der Anzahl einzelner Ergebnisse gleichgesetzt.)
Lernfähige Systeme
Big Data/Bedrohungsinformationen
HuMachine™
Expertenanalyse
www.kaspersky.de
© 2017 Kaspersky Labs GmbH. Alle Rechte vorbehalten. Eingetragene Handelsmarken und Markenzeichen sind das Eigentum ihrer jeweiligen Rechtsinhaber.
Kaspersky Lab Enterprise Cybersecurity: www.kaspersky.de/enterpriseNeues über Cyberbedrohungen: www.viruslist.deIT-Sicherheitsnachrichten: https://www.kaspersky.de/blog/b2b/
#truecybersecurity#HuMachine