Sicherheitsanbieter vervollständigen ihr Portfolio
Security-Spezialisten: Lücken dicht machen
Das Geschäft der Cyberkriminellen mit der Datenausbeute aus zielgerichteten Angriffen boomt. Als Reaktion verstärken die Sicherheitshersteller ihre Abwehrangebote und vervollständigen diese zunehmend durch Technikzukäufe.
Für den Schutz vor zielgerichteten Angriffen reichen herkömmliche Sicherheitsmechanismen allein nicht mehr aus. Eine mehrschichtige Verteidigung ist gefragt, bestehend aus der Kombination von netzwerkbasierenden Lösungen und solchen für den Endpunkt mit Techniken wie heuristisches Scanning, Sandboxing und forensischen Analyse-Tools. Immer mehr Sicherheitshersteller wollen an diesem wachsenden Markt teilhaben. Deshalb ergänzen sie ihre mehr oder weniger vollständigen Lösungen mit Akquisitionen der fehlenden Technik – statt wie bisher über Partnerschaften die Lücken zu schließen.
Fireeye war der erste Anbieter, der eine speziell für den Schutz vor zielgerichteten Angriffen über Mail und das Web auf den Markt brachte. Die Lösung setzt auf die Technik des Sandboxings (oder „Virtual Execution“, wie es im Firmenjargon heißt) und umfasst eigene Appliances, die jeweils auf verschiedene Angriffsvektoren ausgerichtet sind: Die NX-Appliance-Serie ist auf das Aufspüren von Web-basierenden Angriffen etwa über Drive-by-Downloads spezialisiert, die EX-Serie dient dem Schutz von E-Mail mit bösartigen Anhängen oder Links, während die FX-Appliances auf die Sicherheit von Inhalten spezialisiert sind.
In jeder Appliance läuft die Sandboxing-Technik Multi-Vector Virtual Execution (MVX) Engine für die Analyse verdächtiger Daten mit. Die Engine führt die mehrfache Datenverkehrs-Analysen durch, um den Kontext einer gezielten mehrstufigen Attacke zu verstehen.
In der Vergangenheit musste der Anbieter über strategische Partnerschaften die eigene Threat-Prevention-Plattform mit Schutzmaßnahmen anderer Anbieter ergänzen. Doch in diesem Jahr hat Fireeye damit begonnen, seine Lösung durch Zukäufe zu vervollständigen. Bereits Anfang des Jahres kam Mandiant hinzu. Die mit der zugekauften Technik entstandene HX-Serie erweitert die netzwerkbasierenden Appliances um den Schutz der Endpunkte. Mandiants Stärken liegen zudem im Bereich des Security Incident Response, wobei dort das Produkt seine eigene Erkennungstechnik nutzt, um festzustellen, woher der Angriff kam und welche Hosts im Netzwerk betroffen sind.
Jetzt will Fireeye eine weitere Lücke im eigenen Angebot schließen. Nachdem Mandiant die Host-basierende forensische Analyse liefern kann, folgt nun durch den Zukauf von Npulse die netzwerkbasierende Forensik. Die eben angekündigte PX-Serie (ehemals Npulse Capture Probe Engine) übernimmt an strategisch wichtigen Eintrittspunkten ins Netzwerk das Full Packet Capture.
Die kontinuierliche Aufzeichnung des gesamten Datenverkehrs erfolgt mit bis zu 20 GByte/s parallel zur Arbeit der anderen Appliances. Bei Verdacht auf einen gezielten Angriff lassen sich aus diesen Daten die für die potenzielle Attacke wichtigen herausfiltern und gezielt analysieren. Mit dem ebenfalls neuen Investigation Analysis System (IA-Serie) sollen die Metadaten aus der PX-Appliance konsolidiert und mithilfe grafischer Dashboards dargestellt und bei Bedarf die Suche ausgeweitet werden.
Auch Palo Alto, der wohl bekannteste Anbieter von Next Generation Firewalls, musste bislang die Endpunktesicherheit über Partnerschaften abdecken. Die Stärken des Anbieters beim netzwerkbasierenden Schutz gegen gezielte Angriffe liegen in der Applikations- anstelle der Port-Kontrolle am Perimeter und am Eingang zum Rechenzentrum. Die Sandboxing-Funktionalität der Cloud-basierenden Wildfire-Lösung dient dabei der Ausführung und Analyse aller gängigen Dateitypen, einschließlich PDF-Dateien, Office-Dokumente, Java und APKs. Informationen für die Remediation nach einem Angriff kamen über eine Partnerschaft mit Bit9 oder auch mit Mandiant.
Kürzlich hat Palo Alto mit der Ankündigung des Abo-Dienstes „Traps“ (Targeted Remote Attack Prevention System) aus der Übernahme der israelischen Firma Cyvera die eigene Sicherheitslösung um den Schutz der Endpunkte auch vor unbekannten Zero-Day-Angriffen ergänzt. Traps soll mit den wichtigsten Angriffsvektoren wie Korrumpieren des Hauptspeicher, Änderungen der Registry-Settings und persistenter Malware umgehen können, ohne vorher die Schadsoftware selbst zu kennen.
Dafür nutzt die Software ein eigenes Verfahren, das nicht auf Signaturerkennung oder Verhaltensanalyse beruht, sondern darauf, dass die meisten Angriffe mithilfe einer bestimmten Anzahl von Methoden (komplexes Set von 23 Techniken) stattfinden, die mehr oder minder gleich bleiben. Das Programm kennt diese Methoden und blockt die Ausführung, sobald eine dieser Techniken zur Anwendung kommt. Traps läuft in der Palo Alto Threat Intelligence Cloud, sodass der Netzwerk- und Endpunkteschutz in derselben Architektur bereitgestellt werden. Nicht nur könne man damit das Eindringen jeder Malware ins Netzwerk verhindern, auch die Remediation-Funktionalität werde überflüssig, so der Anbieter.
Vorhandene Partnerschaften mit SIEM-Anbietern wie LogRhythm und anderen sollen aber weitergeführt werden, um die eigenen Methoden über detaillierte Log-Analysen verbessern zu können, so der Hersteller.
Um mehr als nur eine Erweiterung geht es bei der Ankündigung Ciscos: Ein Jahr, nachdem der Netzwerkriese Sourcefire gekauft hatte, integriert er nun die Firewall der Cisco-ASA-5500-Serie und die Sourcefire-Lösungen für die Anwendungskontrolle sowie Intrusion Prevention-Systemen (IPS) und die netzwerkbasierende Advanced Malware Protection (AMP) als Services in der Appliance. Cisco spricht von einem „Angriffskontinuum“: Vor dem Angriff sollen die Firewalls schützen, IPS während des Angriffs und AMP nach einem Angriff, wenn die Infektion stattgefunden hat.
Mit den AMP-Services geht Cisco über die Next Generation Firewall-Funktionalität der Nutzer- und Anwenderkontrolle hinaus und fügt mehrere Engines hinzu, die Dateitypen, die gegen die Policy-Regeln verstoßen, erkennen können oder mithilfe von statischen Analysen und der Korrelation mit anderen Quellen Schadsoftware aufspüren. Die Cloud-basierenden Sandboxing-Services von Thread Grid sollten zusätzlich Sicherheitsintelligenz angereichert mit historischen und weltweiten Kontextdaten zu den Analysen liefern. Diesen Dienstleister hat Cisco ebenfalls übernommen und will künftig die Sandbox-Technik auch onpremise anbieten.
Mittlerweile konzentriert sich auch IBM mehr auf diesen Markt und präsentiert unter dem Namen Threat Protection System die Zusammenführung der Akquisitionen der letzten Jahre. Im Mittelpunkt steht dabei die von Q1 Labs stammende Qradar SIEM(Security Information Event Management)-Familie. Big Blue setzt mit der Sicherheitsplattform darauf, soviele Angriffe wie möglich zu verhindern, und falls dennoch einer stattfindet, diesen frühzeitig zu erkennen und darauf zu reagieren.
Den Schutz vor Angriffen übernimmt auf den Endpunkten Trusteer Apex, seit einem guten Jahr bei IBM. Die Malware-Prevention-Appliance nutzt Agenten für Windows und Apple Macs und kennt die üblichen Systemaufrufe der Anwendungen wie Browser, Office oder andere. Entdeckt sie ungewöhnliche Aktivitäten, so blockt sie den entsprechenden Prozess. Auf Netzwerkebene soll die IPS Network Protection Appliance den benötigten Schutz bieten, seit neuestem auch über Monitoring von verschlüsseltem Verkehr und mithilfe von IP-Reputationtechnik.
IBM liefert keine vollständige Lösung. Sie umfasst beispielsweise keine eigene Sandox-Technik. Die Zusammenarbeit mit Partnern wie Fireeye oder Trend Micro wird IBM zufolge gerade erweitert, sodass die Ergebnisse deren Sandbox-Analysen an Qradar weitergegeben werden oder auch deren Systeme bei Bedarf Gegenmaßnahmen auslösen können.
Die weiter entwickelte Qradar-Security-Intelligence-Plattform ist für das Erkennen von Angriffen zuständig und liefert Log- und Event-Management sowie Verhaltensanalyse und Reporting. Schließlich steht für die aktive Gegenwehr die Security Qradar Incident Forensics zur Verfügung, mit Full Packet Capture- und Netflow-Deep-Packet-Inspection-Funktionalität, um bei einem Alarm den damit in Zusammenhang stehenden Datenverkehr nachvollziehen zu können. Schließlich dient die Management-Oberfläche des SIEMs der Kommunikation der einzelnen Abwehrelemente untereinander und bietet eine Übersicht über die Bedrohungslage.
Lesen Sie mehr zum Thema
