Sourcefire mit Funktionen zur Rückverfolgung von Angriffen
Den Ablauf eines Malware-Befalls nachvollziehen
Sicherheitsspezialist Sourcefire stellt neue Funktionalität vor, um Unternehmen besser vor moderner, ausgefeilter Schadsoftware zu schützen (Advanced Malware Protection, AMP). Mit den Features Network File Trajectory und Device Trajectory können Sicherheitsverantwortliche laut Sourcefire das Ausmaß eines Malware-Befalls schnell erfassen und verdächtige Dateien durch das gesamte Netzwerk bis auf Systemebene zurückverfolgen, um Lücken zügig zu schließen.
Kaspersky: Infizierte Computer haben im Schnitt acht Sicherheitslücken
Verizon: Mobilgeräte als Einfallstore für Datendiebstahl überschätzt
Sourcefire: Malware-Schutz vor, während und nach einem Angriff
Sourcefire reagiert mit seinem neuen AMP-Feature-Set auf den Umstand, dass es im IT-Alltag praktisch unmöglich ist, Malware zu 100 Prozent aus dem Unternehmensetzwerk fernzuhalten. Deshalb bietet der Security-Ausrüster mit Network File Trajectory und Device Trajectory nun Funktionen, um bei Malware-Befall die Angriffsvektoren möglichst schnell nachzuvollziehen und die Auswirkungen einzudämmen.
Dies geht laut Sourcefire weit über bloße Malware-Mustererkennung hinaus: Der Administrator könne Schadcode nicht nur feststellen, sondern zudem dessen Weg durchs Netz wie bei der Auswertung eines Flugschreibers (Black Box) zurückverfolgen, sein Verhalten analysieren, die Eintrittspunkte und weitere befallene Systeme bereinigen sowie zu guter Letzt Reports über den Vorgang erstellen.
Damit, so der Sicherheitsanbieter, verfüge man über den einzigen Malware-Schutz auf dem Markt, der Malware kontinuierlich blockieren kann. Über die Konsole Firesight erhalte der Administator einen Überblick über alle Vorkommnisse, um möglichst schnell handeln zu können
Network File Trajectory verschafft dem Security-Administrator laut Sourcefire Details zu Eintrittspunkt, Verbreitungsweg, benutzten Protokollen sowie zu betroffenen Endgeräten und Anwendern. Erhältlich sind die neuen Funktionen im Rahmen des AMP-Software-Images für das hauseigene NGIPS (Next-Generation Intrusion Prevention System) Firepower, für die Next-Generation Firewall (NGFW), aber auch als dezidierte Appliance.
Während die netzwerkbasierte Analyse Sourcefires hauseigene Sniffer-Technik nutzt, fügt Device Trajectory diesem Datenbestand agentenbasiert Informationen über die Systeme im Netz hinzu. Dazu nutze man bereits verfügbare File-Trajectory-Funktionen für Endgeräte.
Device Trajectory untersuche Aktivitäten auf Systemebene, den Ursprung einer Datei sowie Beziehungen von Dateien untereinander. Dies ermögliche die forensische Angriffsanalyse. Device Trajectory ist als Bestandteil der Host-basierten Sicherheitslösung Fireamp für Endgeräte und virtualisierte Umgebungen erhältlich.
Erweitert hat Sourcefire die Fireamp-Lösungen nun um die beiden Funktionen Indicators of Compromise (IoC) und Device Flow Correlation. IoC dient der Korrelation von Daten zu Malware mit scheinbar harmlosen Vorgängen. Ziel ist es zu bestimmen, ob ein System eventuell befallen ist, um dem Administrator eine priorisierte Liste möglicherweise gefährdeter Geräte auszugeben. Device Flow Correlation wiederum gleicht Abläufe auf Endgeräten mit dem Netzwerkverkehr ab.
Mit den neuen Funktionen liefert Sourcefire damit eine Art „Mini-SIEM“ (Security-Information- and Event-Management), allerdings – anders als ausgewachsene SIEM-Lösungen – nur für die hauseigenen Geräte. Man arbeite aber mit den handelsüblichen SIEM-Tools zusammen, so Sourcefire.
Sourcefires AMP-Lösung erfordert laut Hersteller Bedienung durch geschultes Security-Fachpersonal. Kleineren Unternehmen sei daher zu raten, das Thema AMP besser an Managed-Security-Service-Provider (MSSPs) auszulagern.
Weitere Informationen finden sich unter www.sourcefire.com.
Lesen Sie mehr zum Thema
