Was sind unbekannte Cyberbedrohungen?

Die meisten herkömmlichen Sicherheitsprodukte sind so konzipiert, dass sie auf der Grundlage bekannter Bedrohungen handeln. Sobald sie etwas sehen, von dem sie wissen, dass es bösartig ist, blockieren sie es. Um an Sicherheitsprodukten vorbeizukommen, die bekannte Bedrohungen erfolgreich abwehren, sind Angreifer gezwungen, etwas zu entwickeln, das noch nie zuvor gesehen wurde, was die Kosten für die Ausführung eines Angriffs erhöht. Wie machen sie das, und was können wir tun, um bekannte und unbekannte Bedrohungen zu verhindern?

Schauen wir uns einige Szenarien an:

 

Recycelte Bedrohungen

Wiederverwendete Bedrohungen gelten als die kosteneffektivste Angriffsmethode, weshalb Angreifer häufig bestehende Bedrohungen mit bereits bewährten Techniken wiederverwerten. Was diese recycelten Bedrohungen "unbekannt" macht, liegt am begrenzten Speicher der Sicherheitsprodukte. Alle Sicherheitsprodukte haben nur einen begrenzten Speicherplatz, und die Sicherheitsteams wählen die aktuellsten Bedrohungen zum Schutz aus, in der Hoffnung, dass sie die meisten eingehenden Angriffe blockieren. Wenn eine ältere Bedrohung, die vom Sicherheitsprodukt nicht erkannt wird, versucht, in das Netzwerk einzudringen, könnte sie das Sicherheitsprodukt umgehen, weil sie nicht als etwas zuvor Gesehenes eingestuft wird.

Um sich vor diesen "unbekannten", wiederverwerteten Bedrohungen zu schützen, ist es entscheidend, Zugang zu einem Threat Intelligence-Speicher zu haben, der oft in einer elastischen Cloud-Infrastruktur untergebracht ist, die in der Lage ist, das Volumen der Bedrohungsdaten zu skalieren. Für den Fall, dass ein Sicherheitsprodukt eine bestimmte Bedrohung nicht identifiziert und gespeichert hat, könnte der Zugriff auf die größere Wissensbasis von Threat Intelligence dabei helfen, festzustellen, ob etwas bösartig ist und das Sicherheitsprodukt in die Lage versetzen, es zu blockieren.

 

Geänderter bestehender Code

Diese Methode ist etwas teurer als das Recycling von Bedrohungen. Angreifer nehmen eine bestehende Bedrohung und nehmen leichte Änderungen am Code vor, entweder manuell oder automatisch, während sich die Bedrohung aktiv im Netzwerk bewegt. Das Ergebnis ist polymorphe Malware oder eine polymorphe URL. Wie ein Virus wandelt sich die Malware kontinuierlich und automatisch und verändert sich schnell. Wenn ein Sicherheitsprodukt die ursprüngliche Bedrohung als bekannt identifiziert und einen Schutz für diese Bedrohung erstellt, der nur auf einer Variante basiert, wird diese Bedrohung bei jeder kleinen Änderung des Codes zu einer unbekannten.

Einige Sicherheitsprodukte gleichen Bedrohungen mit Hilfe der Hash-Technologie ab, die auf der Grundlage einer Textfolge eine völlig eindeutige Zahl erzeugt, so dass es unmöglich ist, zwei identische Hashes zu erhalten. In diesem Zusammenhang stimmt der Hashwert nur mit einer Variante der Bedrohung überein, so dass jede neue Variante der Bedrohung als neu und unbekannt angesehen wird.

Um sich besser vor diesen Bedrohungen zu schützen, müssen Sicherheitsprodukte polymorphe Signaturen verwenden. Polymorphe Signaturen werden auf der Grundlage des Inhalts und der Muster des Datenverkehrs und der Dateien und nicht auf der Grundlage eines Hashs erstellt und können mehrere Varianten einer bekannten Bedrohung erkennen und davor schützen. Der Fokus auf das Verhalten und nicht auf das Aussehen einer festen Kodierung ermöglicht die Erkennung von Mustern in modifizierter Malware.

 

Neu entstandene Bedrohungen

Angreifer, die entschlossener und bereit sind, das Geld zu investieren, werden eine völlig neue Bedrohung mit einem völlig neuen Code schaffen. Alle Aspekte des Lebenszyklus eines Cyberangriffs müssen neu sein, damit ein Angriff wirklich als eine bisher unbekannte Bedrohung angesehen werden kann.

  • Fokus auf das Geschäftsverhalten
    Um sich vor diesen neuen Bedrohungen zu schützen, müssen Sie sich auf Ihr einzigartiges Geschäftsverhalten und Ihre Datenströme konzentrieren. Diese Informationen können dann in bewährte Verfahren der Cybersicherheit implementiert werden. So kann beispielsweise die Segmentierung mit User-ID und Anwendungs-ID dazu beitragen, die Ausbreitung neuer Bedrohungen in Ihrer Organisation zu verhindern und Downloads von neuen, unbekannten und nicht klassifizierten Websites zu blockieren.
  • Nutzen Sie kollektive Intelligenz
    Keine einzelne Organisation wird jemals alle neuen Bedrohungen erfahren. Deshalb ist es so wichtig, von kollektiver Threat Intelligence profitieren zu können. Gezielte Angriffe mit unbekannten, noch nie dagewesenen Bedrohungen können durch den globalen Informationsaustausch schnell bekannt werden. Wenn eine neue Bedrohung in einer Organisation analysiert und erkannt wird, können die neu erkannten Informationen über die Bedrohung in der gesamten Community verteilt werden, wobei Abhilfemaßnahmen frühzeitig bereitgestellt werden, um die Verbreitung und Wirksamkeit von Angriffen zu begrenzen.

Die Umwandlung unbekannter Bedrohungen in bekannte Bedrohungen und die aktive Vorbeugung gegen sie geschieht in einer kombinierten Umgebung. Zunächst müssen Sie den nächsten Angriffsschritt und den Ort vorhersagen. Zweitens müssen Sie in der Lage sein, einen Schutz zu entwickeln und schnell an den Durchsetzungspunkt zu bringen, um ihn zu stoppen.

Schutzmaßnahmen automatisieren

Wenn eine wirklich neue Bedrohung in Ihre Organisation eindringt, besteht die erste Verteidigungslinie darin, über bewährte Verfahren für die Cybersicherheit zu verfügen, die speziell auf Ihre Organisation zugeschnitten sind. Gleichzeitig sollten Sie auch unbekannte Dateien und URLs zur Analyse senden. Die Effektivität der Sandbox-Analyse hängt von der Zeit ab, die benötigt wird, um ein genaues Urteil über eine unbekannte Bedrohung abzugeben und Schutzmaßnahmen in der gesamten Organisation zu erstellen und zu implementieren, sowie davon, wie Ihre Sandbox-Umgebung mit ausweichenden Bedrohungen umgeht. Ihre Sicherheitsvorkehrungen müssen schnell genug geändert werden, um die Bedrohung abzuwehren, bevor sie sich weiterentwickeln kann - mit anderen Worten, so schnell wie möglich. Und um sicherzustellen, dass diese Bedrohung das Netzwerk nicht weiter durchdringt, müssen Bedrohungspräventionen erstellt und automatisch in allen Sicherheitsprodukten implementiert werden, und zwar schneller, als sich die Bedrohung ausbreiten kann.

Eine kürzlich durchgeführte SANS-Umfrage ergab, dass 40 Prozent der Angriffe bisher unbekannte Elemente enthalten. Die Fähigkeit, unbekannte Bedrohungen zu erkennen und erfolgreiche Angriffe zu verhindern, entscheidet über die Effektivität Ihrer Bereitstellung von Sicherheit. Eine echte Sicherheitsplattform der nächsten Generation ist agil und verwandelt unbekannte Bedrohungen schnell in bekannten Schutz und Prävention auf globaler Ebene. Automatischer Austausch neuer Bedrohungsdaten bei gleichzeitiger Ausweitung neuer Schutzmaßnahmen in der gesamten Organisation, um die Ausbreitung eines Angriffs zu stoppen.