Ransomware — Palaver mit Sentinelone

scott-gainey_sentinelone-2016
Scott Gainey, Senior Vice President und CMO von Sentinelone

Mit der zunehmenden Flut an „Ransomware“ haben bösartige Individueen ein lukratives Tool an der Hand mit dem immer mehr Unternehmen erpresst werden.  Netzpalaver sprach mit Scott Gainey, Senior Vice President und CMO von Sentinelone, über die Erpressersoftware, ob aktuelle Schutztechnologien dafür noch ausreichend beziehungsweise überholt sind und welche zusätzlichen Schutzmaßnahmen am Endpoint zwingend erforderlich werden.

 

#netzpalaver: Warum sind traditionelle Sicherheitsmaßnahmen wie Antivirus-Produkte überholt?

Scott Gainey: Herkömmliche Sicherheitstechnologien wie Antivirus-Lösungen, die auf statischen Signaturen beruhen und nur einen sehr engen Sicherheitswinkel erfassen, stellen für die moderne Bedrohungslandschaft längst keinen ebenbürtigen Gegner mehr dar. Zu raffiniert sind die Methoden und Techniken, die versierte Cyberkriminelle, aber auch staatliche Geheimdienste mittlerweile an den Tag legen. Vor allem mit den hochwirksamen Verschleierungstechniken der modernen Malware sind AV-Lösungen überfordert. Ein gutes Beispiel sind hier so genannte Binder, d.h. Softwaretools, die in der Lage sind, zwei verschiedene .exe-Dateien zu einer einzigen zu verschmelzen, und auf diese Weise schadhafte Dateien in gängigen Dateien verstecken können. Öffnet ein Opfer diese manipulierte aber nach außen hin vollkommen seriös wirkende Datei, wird im Hintergrund gleichzeitig die zweite, infizierte Datei ausgeführt. Zudem ist moderne Malware beispielsweise immer öfter mit spezieller Umgebungsintelligenz ausgestattet, die es ihr ermöglicht, natürliche von virtualisierten Sandbox-Umgebungen zu unterscheiden und ihre Entdeckung so zu verhindern. Traditionelle AV-Lösungen können Schätzungen zufolge nur rund 45 Prozent aller Cyberangriffe identifizieren und werden den heutigen Herausforderungen damit bei Weitem nicht mehr gerecht.

 

#netzpalaver: Gilt dies auch für netzwerkzentrische Ansätze wie Firewalls & Co (IDS/IPS) und worin begründet sich bei diesen Systemen die Problematik?

Scott Gainey: Die aktuellen netzwerkzentrierten Sicherheitsansätze stellen uns vor große Herausforderungen. Die Nachfrage nach schnellerer Netzwerkgeschwindigkeit hat zu verschiedenen paketvermittelten Technologien geführt, die dafür sorgen, dass die Netzwerkgeräte nicht mehr den gesamten Traffic einsehen und dadurch unfähig sind, Zusammenhänge zu erkennen. Der zunehmende Einsatz von Verschlüsselung macht die Erkennung von Schadsoftware in vieler Hinsicht teuer, so sind etwa Technologien, die es einem ermöglichen, einen Blick in verschlüsselte Sessions zu werfen, kostspielig und nicht unproblematisch, da man ja quasi als Man-in-the-Middle agiert.

 

#netzpalaver: Worin liegt die besondere Gefahr von Ransomware?

Scott Gainey: Obwohl das Phänomen Ransomware, d.h. die kriminelle Verschlüsselung von Daten, die erst nach Zahlung eines Lösegeldes wieder freigegeben werden, selbst nicht neu ist, haben die Angriffe in den letzten ein bis zwei Jahren eine ganz neue Dimension erreicht. Verbesserte Angriffsmethoden wie moderne Verschleierungstechniken sorgen dafür, dass die Angreifer heute schnell und unbemerkt ans Ziel kommen und dort größtmöglichen Schaden anrichten. Der Großteil der Unternehmen und Behörden ist in Sachen Ransomware-Erkennung und -Abwehr bis jetzt schlecht aufgestellt, zu wenig ist den Verantwortlichen über das Vorgehen der Erpressersoftware und die bestehenden Sicherheitsmaßnahmen, die davor schützen können, bekannt. Ein weiteres Problem ist die zunehmende Vernetzung im Zuge des wachsenden IoTs und die damit steigende Anzahl mit dem Internet verbundener Geräte. Immerhin verfügen die meisten IoT-Geräte – sei es aus Kostengründen, aufgrund begrenzter Rechenleistung usw. – eher selten über effektive Schutzmaßnahmen.

 

#netzpalaver: Mit welcher Technologie/Technologie-Mix wird in den End-Point-Protection-Produkten Ransomware entgegengewirkt?

Scott Gainey: Mit herkömmlichen Sicherheitsmaßnahmen und signaturbasierten Lösungen sind Unternehmen für den Kampf gegen sich täglich weiterentwickelnde Ransomware-Attacken nicht mehr ausreichend gerüstet. Vielmehr müssen Unternehmen hier auf neuen Technologien wie etwa Verhaltensanalyse zurückgreifen. Das ist umso effektiver, als Ransomware zwar in vielen verschiedenen Varianten auftaucht, diese aber Gemeinsamkeiten in ihrem Verhalten teilen, die während der Ausführung identifiziert werden können. Mit Hilfe neuerer Sicherheits-Tools können Prozesse basierend auf ihrem Verhalten untersucht und hinterfragt werden und bei der Entdeckung schädlicher Aktivitäten blockiert werden.

Eine weitere wichtige Maßnahme, um sich vor Ransomware-Angriffen zu schützen, – jenseits vom Einsatz adäquater Sicherheitsprodukte – ist natürlich die regelmäßige Durchführung von Backups. Dies sollte auf einem anderen Rechner oder noch besser außerhäusig passieren.

 

#netzpalaver: Können End-Point-Protection-Systeme AV-Systeme sowie Firewalls und Co. wirklich komplett ersetzen?

Scott Gainey: Definitiv. Zwei Anbieter, Carbon Black und Sentinelone sind 2016 sogar offiziell als Antivirus-Ersatz zertifiziert worden. Wirksame Endpoint Protection-Lösungen der nächsten Generation übernehmen nicht nur all die Abwehrmaßnahmen, die Antivirus-Systeme ausführen, sondern gehen noch einen Schritt weiter. Dank einer Kombination von Verhaltensanalyse, maschinellem Lernen und automatisierten Prozessen können sie auch Angriffe identifizieren, abwehren und blockieren, die von Antivirus-Software nicht erkannt werden kann.

 

#netzpalaver: Wie sollten Sicherheitsverantwortliche unter den genannten Aspekten im Unternehmen heute vorgehen, um eine bestmögliche Security in puncto Cybercrime zu gewährleisten?

Scott Gainey: Unsicherheit hat viele Facetten. Die Basis einer gelungen IT-Sicherheit ist deshalb die Ausarbeitung einer unternehmenseigenen Sicherheitsstrategie. Hierfür gilt es zu klären, wo die Hauptrisiken liegen und über welche Wege, sich Angreifer Zugang zum Unternehmensnetzwerk verschaffen können. Neben Endpoint-Protection-Lösungen, die sämtliche(!) im Unternehmen eingesetzten vernetzten Geräte proaktiv auf potenziell schadhaftes Verhalten untersuchen, sind auch regelmäßige Penetrationstests über die Netzwerke und die Geräte unabdingbar, da sie das Risiko von Sicherheitslücken reduzieren. Aber auch die Gefahr, die von „innen“, d.h. von jedem einzelnen Mitarbeiter, der Zugang zum Netzwerk hat, ausgeht, sollten Sicherheitsverantwortliche nicht unterschätzen. Daher sollte auch die Aufklärung der Mitarbeiter über mögliche Risiken nicht zu kurz kommen.

 

#netzpalaver: Was sind die USP ihrer End-Point-Protection-Lösung?

Scott Gainey: Die integrierte Endpoint-Protection-Plattform von Sentinelone bietet Endpoint-Protection jenseits herkömmlichen signaturbasierten Endgeräteschutzes und hilft Unternehmen, hochentwickelten Bedrohungen mit ebenso hochentwickelten Technologien entgegen zu treten. Die Plattform vereint die Prävention, Identifizierung und Abwehr von hochentwickelten Cyber-Bedrohungen und schützt Endgeräte auf diese Weise in Echtzeit vor Malware, Exploits und Insiderangriffen.

Der Plattformagent, der auf Windows-, OS X- sowie Linux-Geräten eingesetzt werden kann, überwacht sämtliche Systemprozesse sowohl auf User- als auch auf Kernel-Ebene. Diese ausführlichen forensischen Daten werden in Echtzeit generiert und ermöglichen so eine vollständige Transparenz über sämtliche Geräteaktivitäten. Anschließend wendet Sentinelone komplexe Algorithmen an, um verdächtige Prozesse in schädlichen Verhaltensmustern darzustellen und auf diese Weise auch vollkommen neuartige Schadsoftware-Stämme effektiv aufdecken zu können.

Da IT-Verantwortliche dank der Endpoint-Protection-Plattform detaillierten 360°-Echtzeit-Einblick in die Vorgehensweise und den Modus Operandi der Bedrohung erhalten, sind sie in der Lage, den „Indexpatienten“, d.h. den Erstauslöser, des Angriffs zeitnah zu identifizieren. Schadhafte Manipulationen können dabei nicht nur eingedämmt, sondern auch rückgängig gemacht werden. Wurden Dateien verändert oder gelöscht bzw. Konfigurationseinstellungen oder Systemdateien geändert, kann die Software den ursprünglichen Ausführungszustand problemlos wiederherstellen. Interoperabilitätsprobleme sowie Probleme bei der Verfügbarkeit werden dabei vermieden