lolloj - Fotolia

Aktuellen Malware-Bedrohungen richtig begegnen

In den letzten zwei Jahren wurde mehr neue Malware entdeckt, als in den 28 Jahren zuvor. Grund genug, die aktuelle Bedrohungslandschaft zu betrachten.

Der Morris-Wurm startete bereits im November 1988 den ersten, weithin anerkannten Malware-basierten Cyberangriff, über den ausführlich berichtet wurde. Dabei wurden rund fünf Prozent aller Computer, die mit dem damals neu entstehenden Internet verbunden waren, infiziert. Die Malware, die vom Studienabsolventen Robert Morris als ein gutartiges Programm entwickelt wurde, infizierte seine Zielmaschinen mehrfach und sorgte dafür, dass sie langsamer wurden und abstürzten. Eigentlich sollte nur die Größe des Internets berechnet werden, also die Anzahl der Maschinen im Netz.

Das Accountability Office der US-Regierung schätzte damals den verursachten Schaden auf einen Bereich zwischen 100.000 und 10 Millionen US-Dollar, denn die Beseitigung der Infektion nahm zwei Tage pro Computer in Anspruch. Hinzu kommt die von der Infektion verursachte Ausfallzeit. Dieser Wurm führte in den USA zur ersten Verurteilung nach dem „Computer Fraud and Abuse Act“ von 1986 und zur Schaffung des ersten „Cyber Emergency Response Teams (CERT)“. Was hat sich nun also seit dem ersten großen Malware-Angriff getan?

Die Antwort ist: 28 Jahre später hat sich Malware von einem isolierten Vorfall zu einer richtigen Epidemie mit hohem Ansteckungsrisiko weiterentwickelt. Check Points aktueller jährlicher Security Report, der Sicherheitsvorfälle von zehntausenden Organisationen weltweit analysiert, stellt fest, dass in 89 Prozent der Organisationen Mitarbeiter mindestens eine bösartige Datei heruntergeladen hatten. Im Vorjahr waren nur 63 Prozent betroffen. Das ist ein dramatischer Anstieg im Vergleich zu der vom Morris-Wurm verursachten weltweiten Infektionsrate von fünf Prozent. Darüber hinaus werden jeden Monat fast zwölf Millionen neue Malware-Varianten entdeckt: Das bedeutet, dass in den vergangenen zwei Jahren mehr neue Malware entdeckt wurde als in den vergangenen 28 Jahren zusammen.

Moderne Malware nimmt dabei gleich viele verschiedene Formen an: Von Ransomware, die seit den letzten drei Jahren die Schlagzeilen beherrscht, über Advanced Persistent Threats, die zunehmend auch die Systeme der Fertigungsindustrie ins Visier nehmen, bis zu heimlichen Bots, die still in den Netzwerken sitzen und von Cyberkriminellen genutzt werden, um Spams zu versenden, sich an DDoS-Angriffen zu beteiligen, Daten zu exfiltrieren oder zusätzliche Malware auf die Systeme der betroffenen Organisation herunterzuladen.

Was man nicht erkennt, kann einem schaden

Das wirklich Heimtückische der sich immer weiter entwickelnden Malware-Landschaft ist jedoch die Zunahme unbekannter Malware-Varianten. Dabei kann es sich um leicht veränderte oder bearbeitete Versionen existierender Malware handeln, die sich von ihren „Eltern“ gerade soweit unterscheiden, dass sie konventionelle signaturbasierte Antivirus-Programme umgehen können. Das können aber auch brandneue, nie zuvor gesehene Varianten sein, die konzipiert wurden, um zuvor nicht erkannte Zero-Day-Schwachstellen in Software oder Geräten auszunutzen – obwohl das ein kostspieliger, arbeitsaufwändiger Prozess ist, der normalerweise mit staatlich finanziertem Hacking in Zusammenhang steht.

Unbekannte Malware ist eine besonders attraktive Option für Cyberkriminelle. Sie ermöglicht ihnen, viele weitere PCs und Netzwerke mit minimalem Zusatzaufwand zu infizieren. Einfach ausgedrückt, sie macht das Geschäft der Kriminellen effizienter. Darüber hinaus ist die Entwicklung unbekannter Malware für die Kriminellen einfacher und kostengünstiger denn je. Vorhandenen Schadcode gerade so weit zu modifizieren, dass er konventionelle Antivirus-Programme umgeht, ist mithilfe von Standard-Tools in Minutenschnelle möglich – und erspart den Aufwand, eine völlig neue Malware von Grund auf entwickeln zu müssen.

Diese einfache Entwicklung führte zum explosionsartigen Anstieg unbekannter Malware, die Organisationen große Kopfschmerzen bereitet. Im Durchschnitt wird alle vier Sekunden ein unbekannter Malware-Typ in Unternehmensnetzwerke heruntergeladen, im Vergleich dazu waren es in den vergangenen zwölf Monaten weniger als zwei pro Minute – das bedeutet einen Anstieg der Häufigkeit um das Neunfache. Zum Vergleich: Bekannte Malware wird alle 81 Sekunden in Unternehmensnetzwerke heruntergeladen. Die Tatsache, dass auf jede einzelne bekannte Variante, die heruntergeladen wird, 20 unbekannte Varianten kommen, zeigt, wie real das Risiko für jede Organisation ist, sich Infektionen durch unbekannte Malware zuzuziehen.

Mehrschichtiger Schutz

Um sich gegen diesen anhaltenden Ansturm unbekannter und bekannter Angriffe zu verteidigen, müssen Organisationen vom traditionellen einschichtigen Schutz der konventionellen Antivirus-Tools abkommen. Man kann nicht darauf hoffen, dass eine Einzeltechnologie oder -technik vollständigen Schutz vor allen Bedrohungen bieten wird, aber ein mehrschichtiger Ansatz, bei dem mehrere Schutz- und Erkennungsmethoden miteinander kombiniert werden, kann die Chance auf einen erfolgreichen Angriff minimieren. Die Kombination und Orchestrierung von Schutztechnologien, wie Antivirus, Anti-Bot-Systemen, Anti-Spam und E-Mail-Sicherheit, Anwendungskontrolle, Identitätskenntnis und Next-Generation-Firewalls, ist die Grundlage einer starken Abwehr.

Threat Prevention in Echtzeit

Diese Grundlagen sollten um Echtzeit-Threat-Prevention erweitert werden, die selbst unbekannte Malware stoppen kann, bevor sie mit dem Unternehmensnetzwerk in Berührung kommt. Dazu gehört fortschrittliches Sandboxing, das mit Threat Extraction zusammenarbeitet. Erweitertes Sandboxing ist nicht signaturbasiert: Mithilfe der Erkennung auf der CPU-Ebene, die es ermöglicht, alle von ihren Autoren in die Malware eingebauten Umgehungstechniken zu durchschauen und potentielle Infektionen zu blockieren, werden eingehende Dateien auf verdächtige Elemente geprüft.

Threat Extraction beruht auf einem einfachen Grundsatz: Der Großteil der Malware wird über E-Mail, durch angehängte Word-Dokumente, PDFs, Excel-Tabellen und auf ähnlichem Wege verbreitet. Vom Sicherheitsstandpunkt aus betrachtet, ist es das Beste, davon auszugehen, dass stets alle E-Mail-Anhänge infiziert sind – und alle potentiellen Bedrohungen aus ihnen zu entfernen, bevor sie an die Nutzer weitergeleitet werden und ihnen schnellen Zugriff auf den benötigten Inhalt gewährt wird. In der Kombination verhindern diese Techniken Infektionen, indem sie den größten Teil unbekannter Malware-Varianten überwältigen.

„Das wirklich Heimtückische der sich immer weiter entwickelnden Malware-Landschaft ist die Zunahme unbekannter Malware-Varianten.“

Mirco Kloss, Check Point Software Technologies

xxx

Fazit

Durch Einsatz zusätzlicher Schutzmaßnahmen in der Phase nach der Infizierung können Organisationen den durch Malware verursachten Schaden auch in den seltenen Fällen begrenzen, in denen sie es schafft, den vielschichtigen Schutz zu durchbrechen. Forensische Tools sind in der Lage, eine Live-Infektion innerhalb von Sekunden zu erkennen und Maßnahmen zur Verringerung ihrer Auswirkungen zu ergreifen. Dazu wird der Angriff triagiert – was IT-Teams hilft, ihn schnell zu beheben – und sogar auf einen Backup der Maschine zurückgegriffen, der erstellt wurde, bevor die Infektion stattfand, um so die Auswirkungen der Malware zunichte zu machen. Schließlich ist die Malware-Landschaft, 28 Jahre nach dem Morris-Wurm, weit von allem entfernt, was wir uns damals vorstellen konnten. Der große Unterschied besteht darin, dass Organisationen 1988 schutzlos waren. Jetzt steht ihnen mehrschichtiger Schutz zur Verfügung, der ihnen bei der Sicherung ihrer Netzwerke hilft.

Über den Autor:
Mirco Kloss ist Sales Manager Threat Prevention Central Europe bei Check Point Software Technologies.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

IT-Security: Die aktuellen Herausforderungen für Unternehmen.

BSI: Die Lage der IT-Sicherheit 2016.

IT-Security: Technologie alleine löst keine Sicherheitsprobleme.

IT Security: Die Herausforderungen für 2017.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close