Welche Verhaltensweisen deuten auf bösartige Aktivitäten hin?

Ungewöhnliche Zeitpunkte von Ereignissen, unnormale Aktionssequenzen oder vermehrte Datenverschiebungen sind nur einige Hinweise auf böswillige Aktivitäten in einer Umgebung. Im Folgenden finden Sie einige konkrete Beispiele für ungewöhnliche Verhaltensweisen, die zur Erkennung eines laufenden Angriffs führen können.

• Ein Link in einer scheinbar legitimen Datei wird in den Arbeitsspeicher geladen. Anschließend wird ein Skript remote geladen, um vertrauliche Daten abzugreifen und sie zurück an den Angreifer zu senden.
  
  
• Schadcode wird in bereits installierte Anwendungen wie Microsoft Word, Flash, Adobe PDF Reader, einen Webbrowser oder JavaScript eingeschleust, um Schwachstellen auszunutzen und ihn dann auszuführen.
  
  
• Native Systemtools wie Microsoft Windows Management Instrumentation (WMI) und Microsoft PowerShell-Skriptsprachen gelten in der Regel als äußerst vertrauenswürdig. Sie werden ins Visier genommen, um Skripts remote auszuführen.

Branchenberichte: Verhaltensanalysen sind nun ein Muss

Bereits Anfang 2016 erkannte das SANS Institute die Bedeutung von Verhaltensanalysen in seinem White Paper „Using Analytics to Predict Future Attacks and Breaches“. Der Autor stellt in der Schlussbemerkung Folgendes fest: „Fortschrittlichere Datenanalyseplattformen zum Verarbeiten umfassenderer Datenmengen und verschiedener Datenarten, verbesserte Transparenz bei Netzwerkbedrohungen sowie automatisierte Erkennungs- und Reaktionsmaßnahmen unterstützen Sicherheitsteams heute und in Zukunft dabei, sich weiterzuentwickeln und diese Herausforderungen zu bewältigen.“

Nun, die Zukunft ist jetzt und im Jahr 2018 sind Verhaltensanalysen im Wesentlichen eine Grundvoraussetzung für moderne Endpunktsicherheit. Tatsächlich sieht Gartner in seinem Magic Quadrant-Report zu Endpunktschutzplattformen maschinelles Lernen und Verhaltensüberwachung als Stärken von Visionären und Marktführern an. Im Report heißt es außerdem: „2018 und 2019 werden diejenigen zu den visionären und führenden Anbietern gehören, die mithilfe der aus [Endpunkterkennung und -reaktion] erfassten Daten umsetzbare, maßgeschneiderte Empfehlungen für ihre Kunden bereitstellen.“

17% der Sicherheitsverletzungen im Jahr 2017 wurden durch menschliches Versagen verursacht (im Gegensatz zu vorsätzlichen böswilligen Absichten).

Die Lösung: Cloud-Umstieg

Um das Potenzial von Verhaltensanalysen vollständig auszuschöpfen, müssen sich Unternehmen die Cloud und ihre immense Rechenleistung, unbegrenzte Skalierbarkeit sowie ihr einfaches Management zunutze machen. Die Cloud bietet einen proaktiven Ansatz, der Big Data mit leistungsstarken Analysefunktionen kombiniert, um die neuesten und bedrohlichsten Angriffe abzuwehren.

Beispielsweise unterstützt die Cloud Streaming-Analysen, mit denen sich normale und ungewöhnliche Endpunktaktivitäten überwachen und mit ungefilterten historischen Endpunktdaten vergleichen lassen. Durch die Analyse dieser Ereignisströme und den Vergleich mit normalen Aktivitäten erstellt die Cloud ein globales Bedrohungsüberwachungssystem, das nicht nur Angriffe erkennt, sondern zudem auch noch nie dagewesene Attacken prognostiziert.

Dieser leistungsstarke Ansatz ist im Rahmen herkömmlicher, signaturbasierter AV-Lösungen einfach nicht realisierbar, mit NGAV-Software (Next-Generation Antivirus) jedoch schon.

NGAV in der Cloud bietet eine bidirektionale Kommunikation mit Endpunkten, sodass alle ungefilterten Endpunktdaten überwacht und in prädiktive Analysefunktionen umgewandelt werden können, die Unternehmen proaktiv vor raffinierten Angriffen schützen.

Darüber hinaus umfasst die Cloud die Infrastrukturvorteile, die die meisten Unternehmen bereits mit anderer Enterprise-Software erzielen: vereinfachter, kostengünstigerer Betrieb, schnellere Bereitstellungen sowie die neueste und innovativste Technologie.