advanced malware: bedrohungslage und konkrete schutzstrategien€¦ · advanced malware:...
TRANSCRIPT
![Page 1: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/1.jpg)
Advanced Malware:
Bedrohungslage und
konkrete Schutzstrategien
26. Juni 2017
Christian Schwarzer, Co-CEO
![Page 2: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/2.jpg)
Arten von Malware:
Ein Klassifizierungsversuch
«Klassische» Malware
Viren, Würmer, Spyware, Trojaner und allgemein
Malware mit «Signatur»
Generisch und weit verbreitet
Anti-Virus (AV) Software ist effektiver Schutz
Beispiele:
Melissa
I LOVE YOU
Generische Malware, die von AV nicht erkannt wird
(«signaturlos»)
Intelligente Features und Evasions-Techniken
Zunehmende Verbreitung infolge Exploit-Kits
Beispiele:
Zero-Day Exploits
Bot-Netze
Ransomware
Generische
Advanced Malware
Gezielte
Advanced Malware
Hoch-spezifische Malware speziell entwickelt für
Angriff auf bestimmtes Ziel (Advanced Persistent
Threat: APT)
Professionelle Angreifer
Entwickelt sich typisch entlang einer «Kill-Chain»
Beispiele:
Gezielte Angriffe auf Industrien wie
Finanz, Energie / Infrastruktur und
Behörden
![Page 3: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/3.jpg)
“Kill-Chain”:
Typischer Verlauf eines gezielten Angriffs (APT)
UNBEFUGTE VERWENDUNG VON ACCOUNTS
BEKANNTE & UNBEKANNTE MALWARE COMMAND & CONTROL AKTIVITÄTEN VERDÄCHTIGER NETZWERK-VERKEHR DATEI-ZUGRIFF DURCH ANGREIFER MISSBRAUCH VON TOOLS/ PROGRAMMEN LOG-FILES
INITIALE KOMPROMIT-TIERUNG BRÜCKENKOPF ERRICHTEN PRIVILEGIEN AUSWEITEN INTERNE RECONNAIS-SANCE MISSIONSZIEL ERREICHEN
LATERALE
BEWEGUNG
PRÄSENZ
ERHALTEN
ANZEICHEN EINER KOMPROMITTIERUNG
Quelle: FireEye
![Page 4: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/4.jpg)
Malware-Aktoren: Klassische Sicht mit Unterscheidung nach Motivation und Zielen
Quelle: FireEye
Crimeware Aktoren
(Cybercrime Gruppen)
Hacktivists
(Anonymous, LulzSec)
APT Aktoren
(Nation-State)
![Page 5: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/5.jpg)
Malware-Aktoren
In Realität schwierig zuordenbar
Hacktivists
APT Aktoren
(Nation-State)
CrimewareAktoren
(Cybercrime Gruppen)
Quelle: FireEye
![Page 6: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/6.jpg)
Advanced Malware:
Einzigartig, intelligent und ohne «Signatur»
Neue Threats
pro MinuteThreat-Industrie und breit verfügbare Malware-Kits
Catch-rate mit
Antivirus
Polymorphe und signaturlose Malware
45%
327
Intelligente Malware (Timer, Evasion, Sandbox
Detection)Firmen denken, dass sie versteckte
Malware haben89%
Malware spezifisch nur in einer FirmaGezielt entwickelte Malware
70%
Quellen: McAfee, WSJ, Sans.org, Avecto
![Page 7: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/7.jpg)
Angriffskanäle und Angriffsvektoren
USBWebMail
87% 12% 1%
Quelle: Unit 42, Bromium
Phishing
Spear-PhishingDrive-By Downloads
Watering-Hole Attacks
Kanäle
Vektoren
Vulnerabilities
![Page 8: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/8.jpg)
1. Regelmässiges Patching
2. Minimales System (Komplexität vermeiden)
3. «Least privileges» (Keine Admin-Rechte)
4. Mehrschichtige Security
5. Den schwächsten Link absichern
6. Starke Authentisierung
7. Segregation of Duties (Funktionstrennung)
Security Prinzipien:
Grundsteine der Malware-Bekämpfung
![Page 9: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/9.jpg)
Mehrschichtige Security
Firewall & Netzwerk
Web-GatewayMail-
Gateway
Endpoint
User
Server
1
2 3
4 5
6
1
Firewall
Traffic-Control, Segmentierung, IPS
Traffic-Analyse
6
2
3
4
5
Web-Gateway
URL-Filter, Webreputation
Content-Filter, AV, Anti-Malware
Mail-Gateway
Anti-Spam
Content-Filter, AV, Anti-Malware
Endpoint
AV, Anti-Malware
Authentisierung, Remote Access
«Mobile» ist auch ein Endpoint
Server
Data- und Application-Security
AV, Advanced Malware Security
User
Awareness (z.B. Phishing)
Policies / «Kultur»
![Page 10: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/10.jpg)
Endpoint Security: Schutz über den ganzen Lebenszyklus eines Angriffs
Prevention
• Verhinderung der Ausführung von Schadcode basierend auf : (a)Analyse, (b) Prediction oder (c) Isolation
Detection
• Schädlichen Code zu Laufzeit erkennen (z.B. durch Verhaltens-Analyse)
Response
• Unmittelbar oder nach-gelagert auf eine Bedrohung oder deren Impact reagieren (z.B. befallenen Client isolieren)
Investi-gation
• Identifikation von kompromit-tierten Assets
• Analyse von Angriffsmustern und Angreifer-Verhalten
Remedi-ation
• Wiederherstel-lung des Ursprungs-zustands und Bereinigung (z.B. Rollback des Clients)
Pre-Execution
Execution
Post-Execution
![Page 11: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/11.jpg)
Endpoint Security Market Overview
Quelle: Momentum Partners
![Page 12: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/12.jpg)
Gartner: Endpoint Protection Quadrant
![Page 13: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/13.jpg)
NSS – Labs
![Page 14: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/14.jpg)
AVANTEC Endpoint-Security Vergleich (Auszug)
Kategorie Prevention Prevention Prevention Detection/ Remediation
Detection/Investigation
Prevention /Investigation
Kern-Technologie
Isolation durch Micro-VM
• App. Control• Privilege Mgmt• Content
Isolation
Pre-ExecutionAnalyse von Files
mit AI
Behaviour-Analyse und Roll-Back
Analyse (Korrelationen)
und Forensik
Real Time EDR
OS Windows / Mac (nur Web)
Windows / Mac Windows / Mac Windows / Mac Windows / Mac Windows / Mac
Mgmt.-Konsole
On premise On premise Cloud Cloud On premise Cloud / On premise (CbDefense nur
Cloud)
Citrix VDI (Terminal Services
under investigation)
Ja Ja Ja Ja Ja
AV-Ersatz Nein Nein Nein Nein Ja* (mit HX ab Ende
2017)
Cb DEFENSE: jaCb RESPONSE:
nein
Offline-Schutz
Ja Ja Ja Partiell Ja Partiell
Usability Hoch Hoch (für eine White-Listing
Lösung)
Hoch Hoch Hoch Hoch
Investigation-Funktionen
Threat Summary, Attack story,BEM Filter,
IOC Search (Hash)
Audit-TrailApplikationsverwe
ndung und Privilegien
Cylance Optics Attack Story Line Analytics und Forensics
Cb Response: Umfangreichste
Logging, Filter und Such-Tools für IR
und Hunting
![Page 15: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/15.jpg)
Get the basics right:
Security-Prinzipien umsetzen
Generell: So viel Prevention wie möglich
Kein “one size fits all” bei Anti-Malware Lösungen:
Zusammenspiel der verschiedenen Layer
Risiko-basierter-Ansatz: Kosten vs. Nutzen und akzeptable Rest-Risiken
Organisatorische und kulturelle Voraussetzungen (Impact auf Endbenutzer)
Malware Protection “ganzheitlich” angehen
Advanced Malware Protection:
Schlussfolgerungen und Empfehlungen
![Page 16: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/16.jpg)
BACKUP SLIDES
![Page 17: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/17.jpg)
Referenzen
![Page 18: Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und](https://reader034.vdocuments.pub/reader034/viewer/2022042309/5ed6e93bff4a11075f77077f/html5/thumbnails/18.jpg)
Dienstleistungszyklus
Optimale Beratung gemäss Ihren Bedürfnissen
Überzeugende Konzepte dank Erfahrung und Kompetenz
Effiziente Evaluation im Rahmen einer Teststellung
Erfolgreiche Projekt-realisierung inkl. Know-how Transfer
Hochwertiger Support
Kontinuierliche Betreuung seitens Verkauf und Technik