www.kaspersky.de

#truecybersecurity

Die Next Generation-Technologien von Kaspersky Endpoint Security

Kaspersky Enterprise Cybersecurity

1

Entwicklung von Schutztechnologien für EndpointsIn der Vergangenheit bezog sich das Endpoint-Konzept nur auf Workstations und Server. Heute umfasst es auch mobile Geräte und virtualisierte Umgebungen. IT-Infrastrukturen sind komplexer geworden und haben inzwischen erheblich mehr Bedeutung für betriebliche Prozesse.

Big-Data-Analysen, verteilte Datenspeicherung und Prozessautomatisierung erfordern moderne Ansätze zum Schutz der IT-Infrastruktur. Gleichzeitig ziehen vertrauliche Daten und Kapitalanlagen immer mehr Aufmerksamkeit von Cyberkriminellen auf sich. Die meisten aktuellen Bedrohungen sind im Grunde Gelddruckmaschinen, da die Opfer erhebliche finanzielle und Reputationsverluste erleiden.

Komplexe Angriffe stellen die Entwickler von IT-Sicherheitslösungen vor neue Herausforderungen. Die Bereitstellung von wirksamem Schutz erfordert umfassende Kenntnisse.

Folgende Attribute muss ein moderner „Next Gen“ Endpoint-Schutz aufweisen:

• Minimale Auswirkungen auf das Zielsystem aufgrund des ausgewogenen Betriebs der verwendeten Technologien

• Sofortige Erkennung: moderne Methoden zur Erkennung ungewöhnlicher Aktivitäten, einschließlich der Verwendung von Cloud-Services für Experten

• Automatische Ermittlung erkannter Vorfälle• Automatisches Rollback böswilliger Aktionen im System• Weiterleiten von Informationen zu Vorfällen in ein SIEM-System zur

Ereigniskorrelation und zu anderen Lösungen• Einfache Verwaltung: eine intuitiv nutzbare Schnittstelle mit vorkonfigurierter

Funktionalität• Zentrale Verwaltung• Integrierte Steuerung interner Schutztechnologien • Effektive Dienstleistungen: Produktsupport, Ermittlung, Forschung, Training usw.

Aus der obigen Liste ergibt sich, dass ein moderner Schutz nicht mehr nur ein einfacher Mechanismus auf Signaturbasis ist. Es handelt sich vielmehr um eine Reihe leistungsfähiger Technologien, die sich einfach verwalten lassen müssen.

Bei der Auswahl von Sicherheitstools müssen neben den Funktionsanforderungen weitere wichtige Faktoren berücksichtigt werden. Es muss klar sein, welche Technologien in der Lösung zum Einsatz kommen und wie diese untereinander verbunden sind. Ebenso wichtig ist die Evaluierung der Kenntnisse und Erfahrungen des Herstellers, sowie die Bewertung seiner Fähigkeit zur Entwicklung zukünftiger Technologien.

Technologien mit maschineller LernfähigkeitMethoden für maschinelles Lernen (ML) erfahren in letzter Zeit viel Aufmerksamkeit und wurden mit Erfolg bei großen Datenmengen eingesetzt. Im Bereich IT-Sicherheit sind jedoch umfangreiche Kenntnisse und Erfahrungen sowie Techniken zur gezielten Funktionsentwicklung erforderlich, um ML effektiv zur Erkennung von Bedrohungen einsetzen zu können.

Es ist eine gängige Fehleinschätzung, dass ML bei der Bedrohungserkennung auf Rohdaten angewendet werden kann. Dies trifft nicht ganz zu. Eine alte Programmiererweisheit besagt: „Müll rein, Müll raus“. Bei der Vorbereitung des Prozesses kommt es darauf an, dass die Daten richtig vorbereitet und durch

Die Schutztechnologien von Kaspersky Endpoint Security

In diesem Artikel befassen wir uns mit den Technologien zur Bedrohungserkennung in Kas-persky Endpoint Security, der Lösung von Kaspersky Lab für Endpoints in Unternehmensnetz-werken.

Workstations sind nach wie vor der Haupteintrittspunkt für Bedrohungen, und der Bedarf an Next Gen-Technologien wächst.

Die Techniken zur Funktionsentwicklung basieren auf einem Prozess, bei dem Expertenwissen eingesetzt wird, um die Attribute für ML-Algorithmen zu bestimmen.

2

Expertenwissen ergänzt wurden (Funktionsentwicklung). Es wäre naiv, zu glauben, dass sich wirksame Algorithmen ohne Malware-Analysten und ihr Expertenwissen entwickeln lassen. Die Analysten haben vor allem eine überwachende Funktion: Sie kontrollieren und optimieren die Algorithmen und sind an der Überprüfung der komplexesten Bedrohungen beteiligt, bei denen die automatische Analyse nicht immer ausreichend ist.

20 Jahre Entwicklung in den eigenen Forschungsabteilungen, sowie Analysen und gesammelte Expertendaten stellen sicher, dass Kaspersky Lab automatisch die überwiegende Mehrheit der Bedrohungen mithilfe von lernfähigen Systemen erkennt.

Das Center für Bedrohungsverarbeitung und Analyse kann als „Turbine“ betrachtet werden, die Objekte als Eingabe akzeptiert. Diese Objekte durchlaufen mehrere Verarbeitungs- und Analysestufen, die auf verschiedenen Technologien basieren, darunter ML-Algorithmen. Das Analyseergebnis wird zur Formulierung von Bedrohungserkennungsregeln verwendet, die den Benutzern über das Kaspersky Security Network zur Verfügung gestellt werden.

ML-Algorithmen erkennen und definieren täglich mehr als 310 000 Bedrohungen. Dank der Arbeit des Kaspersky Security Network stehen die meisten davon sofort für Endpoint-Sicherheitstechnologien zur Verfügung.

Gleichzeitig liegt der Fokus auf der Verhinderung von Fehlalarmen. Dies umfasst den Abgleich neu erstellter Erkennungsregeln mit einer umfassenden Datenbank an sauberen Dateien.

Kaspersky Endpoint Security

Die Entwicklung von Bedrohungen, die sich gegen Unternehmen richten, führte zu einer neuen Generation von Technologien für die Endpoint-Sicherheit (Next Gen Endpoint Security). Kaspersky Lab hat verschiedene Sicherheitstechnologien entwickelt und implementiert, darunter lernfähige Systeme. Mit diesen Technologien konnte Kaspersky Lab die Erkennung deutlich beschleunigen und gleichzeitig die Ressourcen des geschützten Systems schonen. Heute ist Kaspersky Endpoint Security (KES) ein hochgradig effizientes Produkt, das Endpoints in Unternehmensnetzwerken schützt.

Zentrum für automatisierte Bedrohungsverarbeitung und Analyse

LER

NFÄ

HIG

E

SY

ST

EM

EDateien

URLs

Merkmalsextraktion

Wh

itel

isti

ng

Clu

ster

ing

Stat

isch

e A

nal

yse

Rep

uta

tio

n

Dyn

amis

che

An

alys

e

EXPERTENWISSEN

ALGORITHMEN ALGORITHMEN

1

1

0

0

1

1

0

00

0

00

00 0

0

011

11

11

111

1

1

1

11

1

0ROHDATEN MERKMALS-

EXTRAKTIONERGEBNISMERKMALE

LERNFÄHIGE SYSTEME

3

Reihenfolge der SchutzlösungenDie Logik von KES lässt sich grob in vier Stufen gliedern:

Jede Stufe wird durch eine Gruppe eigenständiger Schutztechnologien repräsentiert. Dies bedeutet, dass jede dieser Technologien in der Lage ist, eine Bedrohung zu erkennen und zu blockieren, auf die sie spezialisiert ist. Die oben gezeigte Reihenfolge zeigt die Gesamtfunktionen der Lösung. Neben den Sicherheitstechnologien existieren zwei Cloud-Services mit Expertensupport.

– Das Update Center bietet stufenweise Aktualisierungen der Schutzkomponenten, darunter lokale Expertendatenbanken (Signaturdatenbank, Heuristik-Datenbank, Datenbank mit Verhaltensszenarien usw.). Das Update Center sammelt außerdem die betrieblichen Änderungen in den Parametern aller verwendeten ML-Algorithmen und ermöglicht so mehr Flexibilität bei der Bereitstellung von Schutz.

– Das Kaspersky Security Network ist eine Cloud-basierte Infrastruktur, die den Echtzeitzugriff auf verschiedene statistische Daten ermöglicht, (darunter Statistiken zu Reputation, Inhalt, Verhalten usw.). Dies verringert die Dauer der Bedrohungserkennung und schont die Ressourcen des geschützten Node.

Die oben gezeigte Reihenfolge der Schutzlösungen ist eine Reaktion auf die Phasen eines Angriffs: Jede Stufe bietet eine eigene Sicherheitsstufe, die für die Abwehr einer Bedrohung erforderlich ist.

Wir befassen uns nun mit den einzelnen Phasen der Schutztechnologien.

Zentrum für automatisierte Bedrohungsverarbeitung und Analyse

Sequenz der Schutzlösungen von Kaspersky Endpoint Security

KA

SP

ER

SK

Y U

PD

AT

E C

EN

TE

R

KA

SP

ER

SK

Y S

EC

UR

ITY

NE

TW

OR

K

RISIKOVERMEIDUNG

VOR DER AUSFÜHRUNG

LAUFZEITKONTROLLE

AUTOMATISIERTE FORENSIK

Automatisiertes Rollback

Erweiterte Desinfektion

Forensik

Verhaltensanalyse

• Exploit-Schutz

• Schutz vor Ransomware

Execution Privilege Control

Endpoint-Hardening

Reputationsdienste

Auf maschinellem Lernen basierende

Erkennung

• Verwendung statischer Daten

• Verwendung dynamischer Daten

Netzwerkfilterung

Cloud-basierte Inhaltsfilterung

Portkontrollen

1

2

3

4

RISIKOVERMEIDUNG

VOR DER AUSFÜHRUNG

NACH DER AUSFÜHRUNG

AUTOMATISIERTE FORENSIK

EINSTIEGSPUNKTE

INFEKTION

EINDRINGEN

ZIELERREICHUNGST

AD

IEN

EIN

ES

AN

GR

IFFS

4

1. RisikovermeidungBedrohungen breiten sich heute über viele Informationskanäle aus. Daher ist es sehr wichtig, dass der Perimeter eines geschützten Nodes auch zuverlässig geschützt wird.

Die erste Stufe umfasst einen Filter für alle eingehenden Informationen. Vorbeugende Blo-ckierungstechnologien werden zur Überwachung der Hauptaktivitäten des geschützten Nodes eingesetzt, um die frühzeitige Erkennung und Blockierung bekannter Bedrohungen zu ermöglichen. Zunächst sehen wir uns die Blockierungstechnologien der ersten Stufe an.

1.1 Schutz vor Netzwerk- und Firewall-Angriffen

Die Sicherheit von Netzwerkverbindungen wird durch das Intrusion Detection System (IDS) überwacht. Hierbei handelt es sich um einen signaturbasierten Netzwerksensor. Während des Betriebs wendet das IDS die Technologie „Deep Packet Inspection“ (DPI) an, sodass der Netzwerksensor den gesamten passierenden Datenverkehr überwachen kann. Dies bedeutet, dass mehrere verdächtige und gefährliche Netzwerkaktivitäten sofort erkannt werden können.

Einige Beispiele für Netzwerkaktivitäten:

• Aktives Scannen von Ports• Versuche, eine Verbindung zu verschiedenen Ports des Betriebssystems herzustellen• Erkennung anormaler Netzwerkkommunikation, z. B. Verwendung von Remote-

Managementtools Befehle von einem C&C-Server (bei Botnets)

Wird ein gefährliches Ereignis erkannt, blockiert der Sensor die Verbindung mithilfe von Firewall-Technologie.

Firewall – Blockierungstechnologie, die die Netzwerkaktivitäten des geschützten Node nach definierten Regeln für Folgendes filtert:

• Filterung von Netzwerkpaketen und Datenströmen• Softwareaktivität bei der Interaktion mit dem Netzwerk

Die Parameter werden vom Administrator in der Richtlinie für Netzwerkverbindungen definiert.

1.2 Web-Filterung

Internetressourcen sind eine Bedrohungsquelle. Ein vertrauenswürdiger Web-Node kann infiziert werden, sodass dort ein böswilliges Skript oder ein Zero-Day-Exploit platziert wird. Damit wird der Tagesbetrieb unsicher. Um die komfortable und sichere Arbeit mit Internetressourcen sicherzustellen, wird in KES eine Web-Filterungstechnologie mit zwei Sicherheitsniveaus eingesetzt.

Auf der ersten Stufe befindet sich das Cloud-basierte Kaspersky Security Network (KSN), das die passive Filterung übernimmt, d. h. sie bietet eine Echtzeitreferenz für die Kategorie einer Web-Ŕessource, bzw. für deren Reputation. Dies erfolgt, bevor der Browser mit dem Download von Inhalten beginnt.

Die KSN-Reputationsdatenbank klassifiziert URLs in folgende Kategorien:

• Schädliche URL – stellt eine Infektionsgefahr dar• Phishing-URL – wird verwendet, um persönliche Informationen zu stehlen• Unbekannte URL – keine Reputationsinformationen verfügbar• Sichere URL – sichere Ressource

Die Web-Filterung leistet einen erheblichen Beitrag zur Sicherheit. Sie blockiert die meisten als gefährlich bekannten Webseiten und schont die Ressourcen eines geschützten Node.

Die zweite Stufe basiert auf der Technologie der dynamischen Analyse und verfolgt Inhalte, die von unbekannten Webressourcen heruntergeladen werden. Weitere Details finden Sie in der nachfolgenden Beschreibung der Schutzlösungen auf der zweiten Stufe.

1.3 Kontrolle angeschlossener Peripheriegeräte

Tragbare Geräte stellen ebenfalls eine potentielle Bedrohung für den geschützten Node dar. Die Peripheriekontrolle identifiziert die Art des verbundenen Geräts und fordert den Benutzer auf, eine Verbindung zu diesem Gerät zu bestätigen. Hierzu muss der Benutzer den angezeigten Schlüssel eingeben. Mit dieser Kontrolle lassen sich Spoofing-Fälle identifizieren, bei denen sich z. B. eine Speicherkarte als Tastatur tarnt, um nicht gescannt zu werden. Cyberkriminelle nutzen diesen Methode, um Sicherheitstechnologien auszutricksen und in den geschützten Perimeter einzudringen. Die Peripheriekontrolle

Im Jahr 2016 waren 31,9 % der Benutzercomputer während der Internetnutzung mindestens einem Webangriff durch schädliche Objekte der Malware-Klasse ausgesetzt.

Im Jahr 2016 lösten 261 774 932 eindeutige URLs Schutztechnologien aus.

5

ist untrennbar mit den Technologien der Stufe zur Ausführungsvermeidung verbunden, auf der unbekannte Objekte analysiert werden.

2. Stufe zur „Execution Prevention“Für Cyberkriminelle ist es wichtig, nicht nur die anfängliche Filterung zu umgehen, sondern auch die Erkennungstechnologien auszutricksen, die für die frühzeitige Erkennung von Malware verantwortlich sind. Eine Infizierung ist nur dann erfolgreich, wenn der schädliche Code in der vertrauenswürdigen Umgebung ausgeführt werden kann. Um dieses Ziel zu erreichen, verbessern Cyberkriminelle fortlaufend ihre Techniken zur Umgehung von Erkennungstechnologien. Die wesentlichen Techniken werden nachfolgend aufgelistet:

• Packer: Diese enthalten schädlichen Code in gepackter Form und erschweren so dessen Erkennung.

• Codeverschleierung: Wird von speziellen Compilern verwendet, um den Code auf Algorithmusebene komplizierter zu machen.

• Polymorphe Malware: Hierbei wird ein schädlicher Programmcode während der Ausführung verändert.

• Polymorpher Server: Bei jedem Serverzugriff wird von einem infizierten Server ein neues Muster eines Schadprogramms erzeugt.

• Verschlüsselung: Mit mehrstufiger Verschlüsselung wird ein Teil des Codes vor den Erkennungsmechanismen verborgen. Die Verschlüsselung wird häufig zusammen mit der Verschleierung verwendet.

• Schwachstellen, einschließlich Zero-Day: Das Ausnutzen der Software-Schwachstellen ist eine effektive Infizierungsmethode.

• Umgehen von Emulatoren: Ein Anti-Malware-Emulator prüft eine Programmdatei, indem er diese in einer isolierten Umgebung ausführt und ihre Betriebslogik analysiert. Schädlicher Code lässt sich mithilfe von Signaturen oder heuristisch erkennen. Die Hacker setzen verschiedene Techniken ein, um den Algorithmus des Codes zu ändern und so den Emulator daran zu hindern, die Logik zu bestimmen.

Durch die Kombination von zwei oder mehr der oben genannten Methoden ergibt sich eine effektive kriminelle Vorgehensweise, mit der häufig die Umgebung eines geschützten Node infiltriert wird. Die einzige Abwehrmöglichkeit besteht im Einsatz eines umfassenden technologischen Schutzes auf Basis der neuesten Methoden zur Kontrolle und Analyse ausführbarer Objekte.

Die Stufe zur Ausführungsverhinderung wird am häufigsten genutzt, da fortlaufend eine große Anzahl von Objekten analysiert wird.

Betrachten wir nun detailliert jene Technologien, auf die sich diese Stufe gründet, sowie die ausgeführten Aufgaben.

2.1 Stärkung der vertrauenswürdigen Umgebung

Der wichtigste Aspekt ist, dass die Kontrolle in der gesamten geschützten Umgebung durchgesetzt wird. Auf diese Weise lassen sich potentielle Bedrohungen durch Verfolgen und Eliminieren unsicherer Komponenten im Betriebssystem und in Drittanbietersoftware vermeiden.

Hierzu wird ein Vulnerability Assessment durchgeführt, bei dem die globale CVE-Datenbank (Common Vulnerabilities and Exposures) zum Einsatz kommt. Dies ist ein automatisiertes Verfahren, das zentral durch die Kaspersky System Management-Komponente verwaltet wird. Es trägt dazu bei, in der Software erkannte Bedrohungen sofort zu melden und diese zeitnah mithilfe von Software-Updates des Patch Managements zu eliminieren.

Mit der Software-Update-Technologie bleibt die installierte Software auf dem neuesten Stand. In der Kombination stärken die beiden Technologien die geschützte Umgebung und verringern das Risiko, dass Schwachstellen ausgenutzt werden.

In diesem Zusammenhang ist auch die Default-Deny-Blockierungstechnologie zu beachten. Sie implementiert einen alternativen Ansatz zur Kontrolle des Softwarestarts, der im Grunde wie folgt lautet: „Wenn es nicht ausdrücklich erlaubt ist, ist es verboten.“

Laut den Erkennungsstatistiken für das Jahr 2016 werden Software-Schwachstellen aktiv zur Infizierung verwendet.

6

Mit diesem Ansatz kann der Administrator festlegen, welche Softwareprodukte erforderlich und ausreichend sind, um den Unternehmensbetrieb aufrechtzuerhalten.

Der Default Deny-Ansatz bietet folgende Vorteile:

• Unbekannte Anwendungen können blockiert werden, darunter neue Modifikationen von Schadprogrammen.

• Installation und Start unzulässiger/nicht lizenzierter Software, die nichts mit Arbeitsaufgaben zu tun hat, können blockiert werden.

Diese Technologie stellt eine breite Palette von Kategorien bereit, die der Administrator den Softwareprogrammen zuweisen kann (z. B. vertrauenswürdige Hersteller, vertrauenswürdiges, manuell hinzugefügtes Konto, nicht autorisierte oder nicht lizenzierte Software usw.). Die Listen werden automatisch vom Center für Bedrohungsverarbeitung und Analyse erstellt und aktualisiert, sodass keine manuellen Eingriffe erforderlich sind.

2.2 Reputation Services

Dieser Teil des Kaspersky Security Network stellt sicher, dass Bedrohungen sofort erkannt werden. Hierzu werden Online-Reputationsdatenbanken genutzt, die detaillierte Informationen zu Objekten enthalten. Die Datenbanken werden fortlaufend mit Experteninformationen ergänzt, die unter anderem aus Erkennungstechnologien der KSN-Infrastrukturteilnehmer stammen, die die Experten-Cloud als Schutz verwenden. Diese Reputationsdienste bieten folgende Vorzüge:

• Die Ergebnisse werden pro Objekt sofort übermittelt.• Es besteht keine Abhängigkeit von den Rechenressourcen der Endpoints.

Nach der Prüfung wird jeder Datei eine Kategorie zugewiesen:

• Schädlich: Die Datei enthält schädlichen Code.

• Sauber: Die Datei hat die Analyse durchlaufen und wurde als sicher anerkannt.

• Unbekannt: Eine neue Datei, die zuvor noch nie analysiert wurde. Daher gilt sie als potentiell gefährlich.

Jede als „Unbekannt“ klassifizierte Datei wird automatisch zur Analyse an Erkennungstechnologien weitergeleitet, die maschinelles Lernen einsetzen (siehe unten).

2.3 Mehrstufiger Schutz

Die abschließende Aufgabe auf der zweiten Stufe besteht in der Identifizierung kom-plexer Bedrohungen durch Verwendung verschiedener Analysetechnologien. Hierbei kommt eine mehrschichtige Schutzkomponente zum Einsatz, die verschiedene Sze-narien umfasst, welche sich nach der Art des Eintrittspunkts richten.

Der Mehrstufige Schutz funktioniert wie folgt:

Jedes Szenario weist einen eigenen Satz zugewiesener Erkennungstechnologien auf. Bei Bedarf können diese Technologien kombiniert werden, um den gewünschten Schutz zu erzielen.

SPEICHER

INSTANT MESSAGING

E-MAIL

WEB

IM-M

ITTEIL

UNGEN

WEBVERKEHR

E-MAIL-

NACHRICHTEN

DATEIEN

Meh

rstu

fig

er

Mal

war

e-Sc

hu

tz

Heuristische SkriptanalyseURL-Analyse

Analyse von DateisignaturenHeuristische Dateianalyse mithilfe von lernfähigen Systemen

URL-Analyse

URL-Analyse

Heuristische Dateianalyse mithilfe von lernfähigen Systemen

Analyse von Dateisignaturen

Im Rahmen seiner Maßnahmen zur Verbesserung der Qualität der Bedrohungserkennung und zur Minimierung von Fehlalarmen treibt Kaspersky Lab die Technology Alliance voran, zu der Unternehmen der 500 führenden Softwarehersteller und unabhängige Freeware-Entwickler zählen. Auf diese Weise kann Kaspersky Lab frühzeitig Whitelists erstellen, die auch von Default Deny-Technologien genutzt werden können.

7

Web-Filterung – dynamischer SchutzBeginnen wir mit einer Technologie, die als Fortsetzung der Web-Filterung (eine frühe Filterungsphase) dient. Diese ist für die aktive Phase der Bedrohungserkennung im heruntergeladenen Inhalt verantwortlich. In der ersten Phase werden URLs statisch kontrolliert, um die spezifische Kategorie für die einzelnen Web-Ressourcen zu definieren. In der zweiten Phase durchläuft unbekannter HTML-Code eine dynamische Analyse, wenn das kontrollierte Herunterladen beginnt.

In der aktiven Erkennungsphase kommen die folgenden Technologien zum Einsatz:

• Heuristische URL-Analyse Jede URL wird in dem Moment analysiert, in dem sie im Browser des geschützten Nodes geöffnet wird. Der HTML-Code wird in einen Emulator geladen, und seine Ausführung wird durch ein heuristisches Analyseprogramm überwacht. Auf diese Weise lassen sich im HTML-Code verborgene Bedrohungen identifizieren, sodass das Öffnen gefährlicher Webressourcen blockiert werden kann.

• Heuristische Skript-Analyse Der Analyse von Skripten in HTML-Dokumenten wird besondere Aufmerksamkeit zuteil. Dies umfasst die zusätzliche Verwendung eines Emulators, der komplexe Bedrohungen in verschiedenen Skriptsprachen erkennen kann. Die passive Stufe (erste Filterungsstufe) und die aktive Stufe (Angriffsüberwachung) der Web-Filterung sorgen bei kombiniertem Einsatz für eine sicheres Interneterlebnis. Technologien zur Web-Filterung werden auch in Sicherheitskontrollen eingesetzt, wenn mit anderen Einstiegspunkten gearbeitet wird, bei denen eine URL-Adresse vorhanden sein kann, z. B. in E-Mails oder Instant Messaging.

E-MailBei der Bedrohungsanalyse von E-Mails und bei der heuristischen URL-Analyse werden weitere Technologien eingesetzt, um Dateianhänge zu überprüfen.

E-Mails zählen zu den Schwachstellen, die am häufigsten von Cyberkriminellen ausgenutzt werden. Im Bereich des Social Engineering gibt es einen neuen Trend namens „Spear-Phishing“, bei dem die Angriffe sehr gezielt erfolgen. So wird z. B. eine spezielle E-Mail mit einem Exploit und archivierten Anhängen an den Benutzer gesendet. Die Passwörter zu diesen Archiven können in der Mitteilung oder in grafischer Form enthalten sein. Dies stellt die Schutztools vor gewisse Anforderungen, denn sie müssen die archivierten Dateien automatisch öffnen und analysieren.

Wenden wir uns nun den Technologien zur Dateianalyse zu.

• Signaturbasierte Dateianalyse Die Technologie der signaturbasierten Dateianalyse wird in verschiedenen Schutzszenarien angewendet, bei denen ein Objekt schnell auf Bedrohungen geprüft werden muss. Die Methode wird zur Überprüfung von E-Mail-Anhängen verwendet. Die signaturbasierte Methode hat gewisse Vorteile, weshalb sie bei der Dateianalyse zuerst zum Einsatz kommt. Die Hauptvorteile sind: – Schnelle Erkennung – Minimale Anzahl an Fehlalarmen – Geringer Bedarf an Ressourcen des geschützten Nodes Diese Methode ist natürlich durch die Anzahl der in der (fortlaufend aktualisierten) Datenbank enthaltenen Signaturen eingeschränkt. Aus diesem Grund wird die signaturbasierte Analyse in Verbindung mit der heuristischen Analyse eingesetzt.

• Dateianalyse mithilfe von Methoden zum maschinellen Lernen Nachfolgend befassen wir uns ausführlicher mit der Dateianalyse auf Basis von maschinellem Lernen. In einem Szenario für den E-Mail-Schutz bietet maschinelles Lernen die einzigartige Möglichkeit, passwortgeschützte Archivanhänge zu öffnen. Hierzu wird das Passwort (das als Text oder Grafik vorliegt) aus dem E-Mail-Text extrahiert. Dies ist eine der Techniken, die Cyberkriminelle zur Umgehung von Erkennungstechnologien verwenden: Das geschützte Archiv dient als „Safe“, dessen Inhalt nicht analysiert werden kann. Zur Erkennung des in grafischer Form bereitgestellten Passworts wird ein Algorithmus mit maschinellem Lernen verwendet. Anschließend wird mithilfe des Passworts der Inhalt des passwortgeschützten Archivs extrahiert.

Statistik 2016: Technologien zur Web-Filterung haben 69 277 289 eindeutige Objekte erkannt, darunter Skripte, Exploits, Programmdateien usw.

Eine Signatur ist ein Codefragment, mit dem sich ein schädliches Objekt zweifelsfrei identifizieren lässt.

8

DateispeicherungJede unbekannte Datei stellt eine potentielle Bedrohung für den geschützten Node dar und erfordert die spezielle Aufmerksamkeit der Schutztechnologien.

Für solche Fälle weist der mehrstufige Schutz ein erweitertes Szenario auf, bei dem eine umfassende Analyse auf Basis von maschinellem Lernen durchgeführt wird.

Es stehen verschiedene Technologien für die Dateianalyse zur Verfügung.

• Signaturbasierte Dateianalyse Die Hauptvorteile wurden bereits weiter oben im Abschnitt zur E-Mail-Sicherheit aufgelistet. In diesem Szenario übernimmt die signaturbasierte Technologie die Aufgabe eines Basisfilters und stellt Ergebnisse für alle bekannten Dateien bereit, sodass nur unbekannte Dateien mithilfe von maschinellem Lernen analysiert werden.

• Dateianalyse mit Methoden zum maschinellen Lernen Dies ist die modernste Technologie im mehrstufigen Schutz. Hierbei wird eine umfassende Dateianalyse durchgeführt, damit Bedrohungen frühzeitig erkannt werden. Diese Technologie basiert auf der parallelen Ausführung zweier Prozesse, die statische und dynamische Daten analysieren.

Diese beiden Prozesse durchlaufen drei Phasen, die wiederum Gruppen spezieller Technologien umfassen. Die statischen und dynamischen Ansätze eignen sich gut für den kombinierten Einsatz und gleichen so die möglichen Defizite der jeweils anderen Technologie aus, darunter:– Wird das Modell auf statische Attribute von Schadprogrammen trainiert, können

Dateien auftreten, die sich nur geringfügig von sauberen Dateien unterscheiden.– Wird das Modell auf dynamische Attribute trainiert, zeigen einige Programme ggf.

kein schädliches Verhalten, da sie eventuell eine spezifische Umgebung oder eine dedizierte Befehlszeile zum Start benötigen.

Nachfolgend betrachten wir die einzelnen Prozesse genauer.

Erkennung anhand statischer DatenVorverarbeitung, vorbereitende Technologien:

• Entpacker extrahieren gepackten Code, sodass Parser Metadaten daraus extrahieren können (Packer, Verschleierung und Verschlüsselung sind typische Methoden, die Cyberkriminelle zur Erkennungsvermeidung einsetzen).

• Parser extrahieren verschiedene Metadatendatensätze.

Die Vielfalt der Metadaten wirkt sich direkt auf die Erkennungsqualität aus, sodass die Vorverarbeitung eine große Bibliothek mit verschiedenen Parsern enthält. Die Parser stellen informative Attributbeschreibungen bereit (darunter die Strukturen von Programmdateien, statistische Merkmale von Daten und Code, Zeichenfolgen usw.).

Der Detektor analysiert Attributbeschreibungen und entscheidet, ob ein Objekt schädlich ist oder nicht. Die Funktion des Detektors gliedert sich in zwei Bereiche.

Zunächst wird ein flexibler Hash-Wert berechnet, sodass im „verschmutzten“ Bereich effektiv nach dem analysierten Objekt gesucht werden kann. Bei einem einfachen Bereich (der z. B. nur Objekte eines Typs enthält, die entweder alle „verschmutzt“ oder „sauber“ sind), kann bereits in dieser Phase eine Entscheidung gefällt werden. Ein flexibler Hash-Wert hat den Vorteil, dass er gegenüber polymorphen und verschleierten

Abgleich mit KSN-Whitelist

Kri

teri

enb

esch

reib

un

gG

run

dle

ge

nd

e

Ve

rhal

ten

krit

eri

en

Parser

Entpacker

Emulator

Prüfung von digitalen Signaturen und ZertifikatenModell, geschult auf

dynamische Attribute

Modell, geschult auf statische Attribute

MINIMIERUNG VON FEHLALARMEN

DETEKTOR

DETEKTOR

VORVERARBEITUNG

VORVERARBEITUNG

ER

KE

NN

UN

G A

NH

AN

D

ST

AT

ISC

HE

R D

AT

EN

ER

KE

NN

UN

G A

NH

AN

D

DY

NA

MIS

CH

ER

DA

TE

N

Statische Daten sind Informationen zu einem Objekt, die ohne dessen Ausführung gesammelt werden. Diese Technologie weist eine erhebliche Kapazität zur Verallgemeinerung und hohe Leistung auf.

9

Objekten tolerant ist, was den Bedarf an Ressourcen auf dem geschützten Node erheblich verringert.

Bei einem komplexen Bereich (z. B. mit „verschmutzten“ und „sauberen“ Objekten) wird das Objekt an die zweite Analysephase weitergeleitet. In der zweiten Phase werden die Attributbeschreibungen des Objekts durch den Klassifizierer bewertet. Seine Aufgabe ist es, in der Datenbank ein entsprechend trainiertes Modell (speziell für diesen Bereich) zu finden und dieses anzuwenden. Das trainierte Modell entscheidet abschließend darüber, ob das Objekt schädlich ist oder nicht.

Objektanalyse auf Basis dynamischer DatenDie Vorverarbeitung sammelt dynamische Informationen, darunter das Objektverhalten, Speicherbereiche mit ausführbarem Code usw.

Der Emulator ermöglicht das Starten einer Programmdatei in einer kontrollierten Umgebung, die das tatsächliche System teilweise imitiert. Die Vorteile bestehen darin, dass dies nur minimale Auswirkungen auf die Computerressourcen und die Sicherheit hat (der analysierte Code kann die sichere Umgebung nicht beeinträchtigen). Die dynamische Analyse erzeugt eine protokollierte Folge von Aktionen der Programmdatei, sowie einen Speicherauszug und andere Objekte (z. B. Dateien), die während der Ausführung generiert wurden. Alle aufgeführten Daten ergeben grundlegende Verhaltensattribute.

Der Speicherauszug ermöglicht den Zugriff auf den ursprünglichen (entpackten) Code und das Erkennen von Daten, was ggf. auf die schädliche Natur der Datei hinweist.

Der Detektor identifiziert böswillige Verhaltensszenarien und trifft eine Entscheidung darüber, ob ein analysiertes Objekt schädlich ist oder nicht.

Der Detektor verwendet eine Bibliothek schädlicher Szenarien, die im automatisierten Kaspersky Lab Center für die Verarbeitung und Analyse von Bedrohungen erstellt wird.

Das Center verfügt über umfassende Sammlungen schädlicher und sauberer Dateien, die fortlaufend verarbeitet werden. Hierbei werden die grundlegenden Verhaltensattribute extrahiert, die zum Trainieren von Modellen eingesetzt werden. Aus diesen Modellen werden Verhaltensszenarien generiert, die dem Detektor in Form inkrementeller Updates zur Verfügung gestellt werden. Dieser Ansatz führt zu einer deutlichen Verringerung von Updatedauer und -umfang. Auf diese Weise bleibt der Detektor stets effektiv.

Objektbereich

2325.

2422

21

1820

1917

16

13151412

11

810

97

6

3 5

4

2

1

Einfacher Bereich, flexibles Hash genügt

KomplexerBereich

Komplexer Bereich,trainiertes Modell erforderlich

Der flexible Hash-Wert wird anhand von Attributen erstellt, sodass er für eine Gruppe von Dateien gleich bleibt.

Ein Bereich ist ein Teil des Objektbereichs, dem ein flexibler Hash-Wert oder ein trainiertes Modell entspricht.

Dynamische Daten sind Informationen zu einem Objekt, darunter Informationen zu seinem Verhalten, die während der Ausführung oder emulierten Ausführung gesammelt wurden.

Ein schädliches Szenario ist eine Abfolge von Aktionen, durch die ein Angriff implementiert wird.

Statistik 2016: Mehrstufiger Schutz meldete 4 071 588 schädliche und potentiell unerwünschte Objekte.

10

Minimierung von FehlalarmenJede vom Detektor getroffene Entscheidung wird auf Fehlalarme geprüft. Das Auftreten eines Fehlalarms ist sehr unwahrscheinlich, kann aber ggf. erhebliche Konsequenzen nach sich ziehen.

Wird ein Objekt als schädlich erkannt, werden die folgenden Mindestprüfungen durchgeführt, um das Risiko eines Fehlalarms zu verringern:

• An den KSN Cloud-Service wird eine Anforderung gesendet, die die Nummer des trainierten Modells oder Verhaltensszenarios enthält, das zur Entscheidung über die identifizierte Bedrohung geführt hat. (KSN enthält Informationen zu gültigen Modellen und Verhaltensszenarien, sodass geprüft werden kann, ob auf das Modell/Szenario zurückgegriffen wurde.)

• An die Whitelists des KSN Cloud-Service wird eine Anforderung gesendet, sodass Fehlalarme durch den Detektor ausgeschlossen werden können. (Whitelists sind große Sammlungen von als sauber bekannten Dateien. Diese Sammlung wird vom automatisierten Kaspersky Lab Center fortlaufend aktualisiert.)

• An den Cloud-Service zur Zertifikatklassifizierung wird eine Anforderung gesendet, um die Reputation des Signaturzertifikats der Datei zu prüfen.

Im Hinblick auf die zweite Stufe ist zu beachten, dass ein lokaler KSN-Puffer dazu beiträgt, wiederholte Anforderungen zu bereits geprüften Objekten zu verhindern. Auf diese Weise werden die Ressourcen des geschützten Node geschont.

3. AusführungskontrolleObwohl die zweite Stufe eine statische und dynamische Analyse umfasst, können manche Bedrohungen diese Stufe möglicherweise unerkannt passieren. So könnte beispielsweise Cryptomalware mit mehreren Komponenten, die legitime Verschlüsselungssoftware verwendet, unerkannt bleiben, da die einzelnen Komponenten für sich genommen keine Bedrohung darstellen.

Ziel der dritten Stufe ist die Erkennung von schädlichem Verhalten innerhalb der ver-trauenswürdigen Umgebung. Während der Analyse wird das Gesamtverhalten aller aktiven Komponenten berücksichtigt, darunter auch das von vertrauenswürdigen und nicht vertrauenswürdigen Programmen, sowie das der Systemkomponenten. Diese Art der Analyse unterstützt die Identifizierung komplexer Bedrohungen, die aus mehreren Komponenten bestehen.

Ein weiteres Beispiel ist die Abwehr von Exploits. In diesem Fall wird das schädliche Verhalten innerhalb eines vertrauenswürdigen Programms erkannt.

Wird beispielsweise ein Word-Dokument mit einem enthaltenen Exploit geöffnet, erkennt die Automatic Exploit Prevention (AEP)-Technologie das schädliche Verhalten und blockiert dieses. Diese Technologie ist effektiv und kann komplexe Bedrohungen blockieren, einschließlich Exploits für Zero-Day-Schwachstellen.

3.1 Verhaltensanalyse

Diese Technologie analysiert das Verhalten aller aktiven Komponenten innerhalb der vertrauenswürdigen Umgebung des geschützten Node. Sie umfasst die folgenden Analyseschritte:

Ein Fehlalarm ist ein fehlerhaftes Ergebnis des Detektors, der ein Objekt für schädlich hält, obwohl dieses tatsächlich sauber ist.

Im Jahr 2016, wurden Cryptor-Angriffe auf den Computern von 1 445 434 Benutzern blockiert.

Im Jahr 2016 erkannte Kaspersky Lab mehr als 54 000 neue Modifikationen und 62 neue Cryptor-Familien.

Zero-Day-Schwachstellen sind Codefehler, für die noch ein Patch entwickelt werden muss. Auf diese Weise kann ein Cyberkrimineller undokumentierte Merkmale der Programmausführung nutzen, um ein System zu infizieren.

Die Verhaltensanalyse berücksichtigt das tatsächliche Verhalten an Stelle des angenommenen (emulierten) Bilds von Aktionen, das in der Phase der Angriffsüberwachung analysiert wird.

IDENTIFIZIEREN VON SZENARIEN

AGGREGATION

FILTERUNG

MERKMALSEXTRAKTION

NORMALISIERUNG

SYSTEMEREIGNISSE

Verhaltensanalyse

11

• Systemereignisse: Überwachung grundlegender Systemereignisse, darunter Prozesserstellung, Änderungen der Registrierungsschlüsselwerte, Dateiänderungen usw.

• Normalisierung: Anordnen aller eingehenden Ereignisse in einem einheitlichen Format für die weitere Verarbeitung

• Merkmalsextraktion: Hinzufügen zusätzlicher Informationen zu bestimmten Ereignissen, z. B. über die Ausführbarkeit einer modifizierten Datei

• Filterung, Sammlung, Identifizierung von Szenarien: In diesen Phasen werden signifikante Kombinationen und Abfolgen von Ereignissen identifiziert, die zu einem Verhaltensszenario führen. Die Bibliothek schädlicher Szenarien wird im automatisierten Kaspersky Lab Center für die Verarbeitung und Analyse von Bedrohungen erstellt.

3.2 Berechtigungskontrolle

Die Berechtigungskontrolle wird parallel zur Verhaltensanalyse durchgeführt und basiert auf Programmrichtlinien und -kategorien.

Die Kontrolle umfasst das Überwachen von Anwendungsaktivitäten und das Durchsetzen von Einschränkungen auf Basis der Anwendungseigenschaften: Beliebtheit weltweit, Zuverlässigkeit des Herausgebers, Auslösen einer Erkennung usw. Auf diese Weise kann ein Programm keine unkontrollierten Aktionen in der geschützten Umgebung ausführen, darunter das Einrichten von Netzwerkverbindungen o. ä.

Microsoft-Anwendungen oder anderen bekannte Anwendungen wird z. B. eine schwach ausgelegte Kontrollrichtlinie zugewiesen. Dennoch weist das Berechtigungskontrollsystem wenig bekannten Anwendungen eine entsprechend strenge Richtlinie zu, die die potentiellen Risiken und Gefahren der Anwendung berücksichtigt.

Die Berechtigungskontrolle arbeitet mit den Default Deny-Listen vertrauenswürdiger Softwareprogramme zusammen (sofern aktiviert) und sorgt so für Sicherheit in Echtzeit. Die Einschränkungen können zentral auf der passenden Netzwerkebene des Unternehmens verwaltet werden. Alternativ dazu ist auch der Schutz persönlicher Daten auf individueller Basis möglich.

4. Beseitigung nach der Infektion

Eine Infektion ist die Ausführung eines schädlichen Codes in einer vertrauenswürdigen Umgebung. In diesem Fall verfolgt der ausgeführte Prozess das Ziel, von Cyberkriminellen definierte Vorhaben umzusetzen, indem er eine Folge verschiedener Ereignisse erzeugt. Solche Situationen treten typischerweise ein, wenn die Sicherheitslösung auf einem als infiziert geltenden Node installiert wird, oder wenn eine potentiell gefährliche Aktivität im Rahmen der Verhaltensanalyse erkannt wird. Ein Beispiel hierzu ist das Starten der Dateiverschlüsselung durch einen legitimen Prozess auf dem lokalen Laufwerk des geschützten Node.

In diesem Fall beginnt die vierte Schutzstufe. Diese Stufe dient der Notfallreaktionen auf eine Bedrohung.

Sobald die Technologien zur Verhaltensanalyse eine potentiell gefährliche Aktivität blockieren, muss ein Aktionsplan umgesetzt werden, der die sichere Umgebung wieder in ihren früheren Zustand zurücksetzt.

4.1 Automatisches Rollback von Aktionen

Das automatische Rollback von Aktionen bricht alle begonnenen Änderungen ab, indem die vom blockierten Prozess vorgenommenen Schritte verfolgt werden. Auf diese Weise wird im Grunde die Abfolge der Aktionen umgekehrt, sodass die ursprüngliche Struktur wiederhergestellt wird. Hierbei kommen Technologien aus der Stufe der Verhaltensanalyse zum Einsatz, die einen detaillierten Verlauf der von den einzelnen Prozessen ausgeführten Aktionen umfasst.

Eine Ereignisabfolge kann Folgendes umfassen:

• Zweige der Betriebssystemregistrierung• Programmdateien, die vom Prozess erstellt wurden (Skripte oder Binärdateien)• Modifizierte Dateien, z. B. die von Cryptormalware verschlüsselte Dateien

Die grundlegenden Einschränkungen für verschiedene Anwendungskategorien werden vom automatisierten Kaspersky Lab Center für Bedrohungsverarbeitung und Analyse erzeugt.

Im Jahr 2016 stammten 22,6 % der von Cryptor-Angriffen betroffenen Benutzer aus dem Unternehmenssektor.

12

4.2 Erweiterte Desinfektion

In einigen komplexen Fällen, z. B. wenn sich ein schädlicher Code selbst in einen Systemprozess eingeschleust hat, der unmöglich blockiert werden kann, ohne die Systemstabilität zu gefährden, kommt die Technologie zur Handhabung einer aktiven Infektion ins Spiel. Dieses Tool kann infizierte Dateien sicher wiederherstellen, darunter auch Komponenten des Betriebssystems. Im Fall einer aktiven Behandlung wird der geschützte Computer neu gestartet. Infizierte Systemkomponenten werden durch saubere ersetzt. In diesem Fall verlässt sich die Technologie auf ihre Fähigkeit, die Originaldateien für die Herstellung zu finden. Das System wird auf diese Weise wieder in einen stabilen Zustand versetzt.

4.3 Forensik

Die Analyse von Vorfällen im Bereich der Informationssicherheit erfordert eine eigene Beweisbasis. Da Schutztechnologien ein breites Spektrum an Daten sammeln, kann ein Vorfall analysiert werden, und es lassen sich vorbeugende Maßnahmen zur Informationssicherheit treffen.

Inhärente SicherheitsmaßnahmenZur Wahrung des zuverlässigen Systembetriebs stehen Tools zur Kontrolle der eigenen Sicherheit zur Verfügung. Dies bewahrt die Integrität des Schutzes, einschließlich des Schutzes vor Deaktivierungsversuchen durch Benutzer

Diese Selbstverteidigungstools fangen unsichere Abläufe ab und blockieren diese mithilfe von Ressourcen in der vertrauenswürdigen Umgebung, unabhängig von den Benutzerrechten. Auf diese Weise werden die Schwachstellen eliminiert, durch die ein schädliches Programm Administratorberechtigungen erlangen könnte.

ManagementDas Kaspersky Security Center wurde für flexibles Security Management entwickelt. Es bietet detaillierte Informationen zum Status der Endpoint-Sicherheit und zur zentralen Sicherheitsrichtlinie. Damit wird das Kaspersky Security Center zum Zentrum für die Verwaltung der Sicherheit von Unternehmensnetzwerken und für Berichte zu allen Bedrohungen.

Außerdem soll an dieser Stelle die erweiterte Funktion von Kaspersky Systems Management erwähnt werden. Diese steigert mithilfe folgender Merkmale die Sicherheit des Unternehmensnetzwerks:

• Vulnerability Assessment und Patch Management• Hardware- und Software-Bestandsaufnahme• Flexibles Provisioning von Betriebssystem und Programmen• Softwarebereitstellung• SIEM-Integration • Zugriffssteuerung in komplexen Unternehmensnetzwerken

Im Jahr 2016 wurden insgesamt 4 071 588 einzelne, schädliche und potentiell gefährliche Programme gemeldet. (Die Anzahl der einzelnen Programme wird mit der Anzahl einzelner Ergebnisse gleichgesetzt.)

Lernfähige Systeme

Big Data/Bedrohungsinformationen

HuMachine™

Expertenanalyse

www.kaspersky.de

© 2017 Kaspersky Labs GmbH. Alle Rechte vorbehalten. Eingetragene Handelsmarken und Markenzeichen sind das Eigentum ihrer jeweiligen Rechtsinhaber.

Kaspersky Lab Enterprise Cybersecurity: www.kaspersky.de/enterpriseNeues über Cyberbedrohungen: www.viruslist.deIT-Sicherheitsnachrichten: https://www.kaspersky.de/blog/b2b/

#truecybersecurity#HuMachine