Inhaltsverzeichnis
Threats

3 Wege, um ausweichende Bedrohungen zu verhindern

Inhaltsverzeichnis

Angreifer verwenden ständig wieder, modifizieren oder erstellen völlig neue Malware, was dazu führt, dass große Mengen an Malware auf Organisationen abzielen. Dies ermöglicht es den Angreifern, sich auf die Entwicklung von Bedrohungen mit höherer Ausweichfähigkeit zu konzentrieren, die darauf ausgelegt sind, Malware-Analyseumgebungen zu erkennen und bösartige Aktivitäten zu stoppen, bis sie nicht mehr analysiert werden. In der Zwischenzeit haben Organisationen Mühe, mit der großen Menge an Malware Schritt zu halten und ausgefeilte Angriffe zu erkennen und zu verhindern.

Die Erkennung von ausweichenden Bedrohungen birgt mehrere Herausforderungen. Ausweichende Bedrohungen suchen nach Indikatoren für gültige Benutzeraktivitäten und Virtualisierungstechnologien und unterbrechen bösartige Aktivitäten, bis sie nicht mehr Gefahr laufen, identifiziert zu werden. Sie nutzen bekannte Schwachstellen in Open-Source-Software aus und suchen nach Erkennungstechniken, die von gängigen Hypervisoren verwendet werden. Das hat zur Folge, dass sie immer mehr zur Massenware werden und daher immer häufiger verwendet werden.

Es ist wichtig, die Taktik zur Erkennung dieser modernen Art von Malware zu überdenken. Im Folgenden finden Sie drei wichtige Punkte, die Sicherheitstools erfüllen müssen, um ausweichende Bedrohungen zu erkennen und letztlich zu verhindern.

 

1. Verwenden Sie speziell angefertigte virtuelle Analysen

Um hochgradig ausweichende Malware aufzuspüren, verwenden Sie eine speziell entwickelte virtuelle Analyseumgebung mit einem einzigartigen Hypervisor und Emulator, der nicht auf Open Source oder proprietärer Software basiert. Diese Umgebung sollte keine Merkmale aufweisen, die dem Angreifer verraten würden, dass er entdeckt wurde oder das Verhalten der Malware beobachtet wird.

 

2. Bare Metal Analyse verwenden

Die Verwendung einer virtuellen Umgebung für die Malware-Analyse ist unumgänglich. Proben, die Umgehungstechniken in einer virtuellen Umgebung zeigen, sollten jedoch auch auf realen Hardwaresystemen, auch bekannt als Bare-Metal-Analyseumgebungen, zur Explosion gebracht werden. Um bei Angreifern keinen Verdacht zu erregen, sollten die verdächtigen Dateien dynamisch und ohne menschliches Zutun in die Bare-Metal-Umgebung gelenkt werden.

 

3. Threat Intelligence einbeziehen

Um den Anstieg der hochgradig ausweichenden Bedrohungen in der Untergrundwirtschaftzu bekämpfen, sollten Organisationen hochgradig kontextbezogene und umsetzbare Threat Intelligence in ihre Sicherheitsabwehr einbauen.

Threat Intelligence sollte aus verschiedenen Quellen stammen und für den notwendigen Kontext korreliert und validiert werden. Ohne den richtigen Kontext trägt Threat Intelligence lediglich dazu bei, das Rauschen mit einer überwältigenden Menge von Gefahrenindikatoren zu verstärken. Das Ergebnis ist eine Zunahme von False Positives und Negatives, so dass Sicherheitspersonal benötigt wird, um überhaupt reagieren zu können. Darüber hinaus ermöglicht die Integration von Threat Intelligence mit virtuellen Analyseumgebungen eine schnelle, automatisierte Bedrohungsprävention, die den Bedarf an zusätzlichem Fachpersonal minimiert.

 

Anti-Evasion-Analyse und kontextbezogene Threat Intelligence auf einer Plattform

Die Palo Alto Networks Next-Generation Security Platform erkennt und verhindert selbst die ausweichendsten Bedrohungen automatisch im Netzwerk, in der Cloud und am Endpunkt. Ein integraler Bestandteil der Plattform ist der WildFire® Bedrohungsanalysedienst, der mehrere Techniken für die umgehungsresistente Malware-Analyse und die automatische Bedrohungsprävention umfasst - statische Analyse, dynamische Analyse über eine speziell entwickelte virtuelle Analyseumgebung, maschinelles Lernen und eine Bare-Metal-Umgebung für die vollständige Ausführung auf echter Hardware.

Ein weiterer Bestandteil der Plattform ist der kontextbezogene Threat Intelligence-Service AutoFocus, der die notwendigen Informationen liefert, um zu verstehen, warum, wo und wie sich ein Angriff auf ein Netzwerk auswirken wird. Sie beantwortet Fragen wie "Wer greift an?". "Welche Tools verwenden sie?" und "Wie wird sich dies auf das Netzwerk auswirken?" und priorisiert automatisch die gezielten Angriffe. Das Ergebnis ist eine schnellere Analyse, eine einfachere Korrelation und eine schnelle Reaktion auf Vorfälle, was letztlich den Bedarf an zusätzlichen, auf Sicherheit spezialisierten IT-Ressourcen reduziert.

Wenn Sie mehr über die Verteidigung gegen ausweichende Angriffe erfahren möchten, lesen Sie das Whitepaper Rethink Your Strategie to Defeat Evasive Attacks .

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen