In den vergangenen Monaten sind mehrere Vorfälle bei SWIFT-Mitgliedsbanken ans Tageslicht gekommen. Die Angreifer machten sich Sicherheitslücken zunutze, stahlen dann gültige Anmeldeinformationen und verwendeten diese, um betrügerische Transfers einzuleiten. Diese Angriffe tragen die Kennzeichen eines Account Takeover (ATO), bei dem sich Cyberkriminelle als rechtmäßige Kunden ausgeben, so der IT-Sicherheitsanbieter Palo Alto Networks.
Als beste Praktiken zur Bekämpfung von ATOs empfiehlt Palo Alto Networks zunächst das Patchen, um Sicherheitslücken schließen, sowie eine Netzwerksegmentierung und Multi-Faktor-Authentifizierung. Für den Schutz von Endpunkten hingegen rät Palo Alto Networks zu einer verhaltensbasierten Früherkennung.
„In Finanzunternehmen ist das rechtzeitige Software-Patching eine Herausforderung aufgrund strenger Testanforderungen, begrenzter Zeitfenster für Änderungen und die schiere Menge der oft weit verteilten Geräte wie Laptops, Desktops und Server“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Zwar wächst das Interesse für Netzwerksegmentierung zugunsten der Internetsicherheit, aber tatsächliche Implementierungen sind selten, da die meisten Institute noch flache Netzwerke haben. Multi-Faktor-Authentifizierung ist für den Fernzugriff auf das Firmennetz verbreitet, aber innerhalb des Perimeters selten.“
Da diese klassischen Maßnahmen in der Praxis nur selten realisiert werden, empfiehlt sich als alternativer Ansatz ein intelligenter Endpunktschutz auf Laptops, Desktops und Servern an. Diese Geräte stehen bei mindestens zwei Phasen des typischen Lebenszyklus eines Cyberangriffs im Mittelpunkt. Endbenutzer und ihre Geräte sind Ziele von Speer-Phishing, Drive-by-Downloads und Social Engineering. Exploits und Malware werden eingeschleust, um den Endpunkt zu kompromittieren. Die Cyberkriminellen verwenden diesen dann als Brückenkopf, um an wertvolle Informationen zu gelangen oder andere verwundbare Systeme (beispielsweise Server) im Netzwerk zu manipulieren. Antiviren-Lösungen wurden jahrelang auf Endpunktgeräten eingesetzt, haben sich mittlerweile jedoch für den Schutz vor heutigen Sicherheitsbedrohungen als unwirksam erwiesen, so Palo Alto Networks. Neue Lösungen sind gefragt, die intelligenter und flexibler sind.
Prävention mittels Multi-Methoden-Ansatz
Um die Schwächen konventioneller Sicherheitslösungen für Endpunkte zu kompensieren, empfiehlt Palo Alto Networks einen präventiven Ansatz, der auf mehreren Verfahren basieren sollte. Eine Kombination hocheffektiver Methoden zum Schutz der Endpunkte vor bekannten und unbekannten Bedrohungen ist für Unternehmen der Finanzbranche ideal.
Die folgenden fünf Techniken zum Schutz vor Attacken sollten einen modernen Endpunktschutz auszeichnen:
1. Statische Analyse über maschinelles Lernen: Diese Methode beurteilt jede unbekannte ausführbare Datei, bevor diese ausgeführt werden darf. Durch die Untersuchung Hunderter von Eigenschaften im Bruchteil einer Sekunde bestimmt diese Methode, ob die Datei bösartig oder gutartig ist, ohne Abhängigkeit von Signaturen, Scannen oder Verhaltensanalyse.
2. Inspektion und Analyse in der Cloud. Ein moderner Endpunktschutz arbeitet zusammen mit einer Bedrohungsanalyse-Cloud, um zu bestimmen, ob eine ausführbare Datei bösartig ist. Eine solche Cloud kann die Gefahr einer unbekannten Bedrohung beseitigen, indem diese in etwa fünf Minuten in eine bekannte Bedrohung verwandelt wird. Die automatische Neuprogrammierung des Endpunktschutzes und Umwandlung von Bedrohungsanalyse in Prävention macht es für einen Angreifer unmöglich, nicht bekannte und fortschrittliche Malware zu verwenden, um ein System zu infizieren.
3. Trusted-Publisher-Identifizierung: Diese Methode ermöglicht es Unternehmen, „unbekannte gutartige“ Dateien, zu identifizieren.
4. Regelbasierte Einschränkung der Ausführung: Unternehmen können auf einfache Weise Richtlinien definieren, um bestimmte Ausführungsszenarien zu beschränken, wodurch die Angriffsfläche jeder Umgebung reduziert wird. Ein Beispiel wäre, zu verhindern, dass eine bestimmte Datei direkt von einem USB-Laufwerk ausgeführt wird.
5. Administrator-Richtlinien: Unternehmen können Richtlinien definieren, basierend auf dem Hash einer ausführbaren Datei, um zu kontrollieren, was in einer Umgebung ausgeführt werden darf und was nicht.
Zur Prävention gegen Exploits geht ein intelligenter Endpunktschutz nach den folgenden Ansätzen vor:
1. Prävention gegen Speicherbeschädigung/-manipulation: Speicherbeschädigung ist eine Kategorie von Exploit-Techniken, bei denen der Exploit die Speicherverwaltungsmechanismen des Betriebssystems manipuliert, damit die Anwendung eine „bewaffnete“ Datendatei öffnet, die den Exploit enthält. Diese Präventionsmethode erkennt und stoppt diese Exploit-Techniken, bevor sie eine Chance haben, die Anwendung zu unterminieren.
2. Logic-Flaw-Prävention: Logic Flaw ist eine Kategorie von Exploit-Techniken, die dem Exploit ermöglicht, im Betriebssystem die normalen Prozesse zu manipulieren, die verwendet werden, damit die Zielanwendung die bewaffnete Datendatei öffnet und ausführt. Zum Beispiel kann der Exploit die Position verändern, wo Dynamic Link Libraries (DLLs) geladen werden, so dass legitime durch schädliche DLLs ersetzt werden können. Diese Präventionsmethode erkennt diese Exploit-Techniken und stoppt sie, bevor sie erfolgreich eingesetzt werden.
3. Prävention gegen Ausführung von bösartigem Code: In den meisten Fällen ist das Endziel eines Exploits, irgendeinen Code auszuführen, also die Befehle des Angreifers, die in der Exploit-Datendatei eingebettet sind. Diese Präventionsmethode erkennt die Exploit-Techniken, die es dem Angreifer ermöglichen, Schadcode auszuführen und blockiert sie rechtzeitig.
Darüber hinaus sollte eine Lösung in der Lage sein, bösartige ausführbare Dateien in Quarantäne zu verwahren, um jede weitere Ausbreitung zu stoppen. Zudem sollte es möglich sein, nicht-bösartige, aber anderweitig unerwünschte Software (zum Beispiel Adware) an der Ausführung zu hindern.
„Da die meisten Banken über eine große Zahl an Filialen verfügen, unzählige Geldautomaten betreiben und auch häufig auf mobile Mitarbeiter in der Kundenberatung setzen, sind Endpoints ein besonders gefährdetes Einfallstor für Malware und Angreifer“, erklärt Henning. „Die zunehmend intelligenten und maßgeschneiderten Attacken erfordern Sicherheitslösungen, die selbst flexibel und agil sind. Deshalb sehen wir hier einen großen Bedarf an Ansätzen, die über konventionelle Antivirus-Konzepte hinausgehen.“