In den Netzen herrscht ein Kampf mit ungleichen Waffen. Angreifer haben Zeit Malware zu entwickeln, zu testen, zu verbessern und sie erst einzusetzen, wenn alle Bedingungen optimal sind. Schlägt die Attacke trotzdem fehl, können Angreifer meist erneut versuchen ein System zu kompromittieren. Dabei genügt oft ein einziger erfolgreicher Versuch um die Ziele der Attacke zu erreichen. In diesem Beitrag lesen Sie wie Cisco AMP und das Firepower Management Center tragende Komponenten eines stetigen Security Prozesses sein können.

Jetzt Short Report über die aktuelle Bedrohungen der IT Sicherheit herunterladen.

Malware muss beispielsweise nicht einmal zwingend wissen, wo sensible Daten abgelegt werden. Ransomware wie z.B. der Verschlüsselungs-Trojaner Locky kann hier als gutes Demonstrationsobjekt dienen. Dateien und Ordner, die im Zugriff des Benutzers stehen, werden mit einem unbekannten Schlüssel verschlüsselt und der Besitzer der Daten damit erpresst.

Gegen eine Zahlung kann der Schlüssel erworben, und die Daten wieder zugänglich gemacht werden. Selbst Behörden, wie das Federal Bureau of Invenstigation, raten dazu den Erpressern nachzugeben und die geforderte Summe zu bezahlen (https://securityledger.com/2015/10/fbis-advice-on-cryptolocker-just-pay-the-ransom/).

SECURITY BRAUCHT KONTINUITÄT

Um diesem ungleichen Spiel etwas entgegensetzen zu können, muss Security ein stetiger Prozess sein, der immer und überall passiert. Angreifer haben heute eine Vielzahl von Angriffsmöglichkeiten: Veraltetete Browser, unsichere Plugins, Schwachstellen in Netzwerkprotokollen, neugierige oder ungeschulte Benutzer. Zusätzlich können Attacken über lange Zeit schleichend einhergehen, und einzelne dieser Kompromitterungsschritte können leicht unentdeckt bleiben. Um sich somit vor den heutigen Gefahren ausreichend schützen zu können, bedarf es einer Lösung die nicht nur am Rande des Netzwerks zum Einsatz kommt, sondern den Schutz auf möglichst viele Komponenten ausdehnt.

Wie der Security-Prozess selbst, müssen zusätzlich auch Sicherheitsprodukte, z.B. ob eine Datei Schadsoftware enthält, mit neuen Erkenntnissen abgeglichen und gegebenenfalls neu entschieden werden.

Zusätzlich müssen kontinuierlich, wie der Security-Prozess selbst, Sicherheitsprodukte ihre getroffenen Entscheidungen, z.B. ob eine Datei Schadsoftware enthält, mit neuen Erkenntnissen abgleichen und gegebenenfalls neu entscheiden. Darüber hinaus müssen die einzelnen Bausteine der Lösung ihre gesammelten Informationen und dedektierten Ereignisse mit einer zentralen Stelle teilen. Dies erst ermöglicht es nützliche Informationen aus den aufgezeichneten Daten eines Intrusion Detection Systems, einer Malware Protection Lösung, oder jeder anderen sicherheitsrelevanten Technik zu gewinnen und so die Security-Messlatte ständig anzuheben.

ENTERING CISCO AMP

Cisco AMP (Advanced Malware Protection) und das Firepower Management Center können tragende Komponenten in diesem Prozess sein. Cisco AMP bietet Visibility und Malware-Schutz auf einer Vielzahl an Komponenten – von den Next Generation Firewalls der ASA- und Firepower-Serie, über Email- und Websecurity-Gateways – bis hin zu Desktops und Mobiltelefonen. Mehrere Detektionsmechanismen ermöglichen es auch modifizierte Versionen von Malware zu entdecken. Dies wird z.B. durch den Vergleich mit Millionen bereits bekannter schadhafter und unschädlicher Dateien erreicht. Darüber hinaus können Dateien, in für Malware schwer erkennbaren virtuellen Umgebungen, zur Ausführung gebracht werden – was dazu dient, das Verhalten der Datei beurteilen zu können.

Cisco AMP sammelt mit all seinen Möglichkeiten aber nicht nur Daten über die vermeintlich schadhaften Dateien, sondern über jede Datei, die gescannt wird, egal wie gut- oder bösartig sie aktuell eingestuft wird. Schafft es ein Schadprogramm der Erkennung zu entrinnen, können so stetig die bereits gesammelten Informationen mit neuen Mustern abgeglichen und so die Schadsoftware aufgedeckt werden.

Ändert sich das Urteil über eine Datei, können sämtliche AMP-Clients darauf zugreifen und die infizierten Systeme bereinigen, oder zumindest die Malware an einer weiteren Ausbreitung hindern. Da die sogenannte Disposition, also das Urteil, ob eine Datei Schadcode enthält, über die AMP-Cloud breitgestellt wird, werden automatisch auch Benutzer außerhalb des Firmennetzwerks geschützt.

Selbst Systeme ohne Cisco AMP können von einem Deployment auf Netzwerkkomponenten profitieren. Versucht z.B. ein Angreifer ein Schadprogramm in Form eines Word-Macros via E-Mail zu versenden, und passiert diese Mail eine Cisco Email Security Appliance mit aktiviertem AMP-Schutz, wird der Anhang analysiert und gegebenenfalls dem Benutzer nicht zugestellt.

Die Installation am Endpoint bringt jedoch zusätzliche Vorteile wie z.B. die Sichtbarkeit von Prozessbeziehungen. Wird ein Programm gestartet, welches Malware nachlädt (Dropper), ist dies für sich eventuell schwer als schadhafte Handlung erkennbar. Ist jedoch die Prozessbeziehung bekannt, kann bei Erkennung der Malware auch der Dropper-Prozess gestoppt und somit eine erneute Infektion verhindert werden.

ZENTRALE INTELLIGENZ MIT DEM FIREPOWER MANAGEMENT CENTER

Gesammelt werden die Informationen der AMP-Clients zentral am Firepower Management Center (FMC). Nicht nur AMP berichtet seine Entdeckungen ans FMC, auch andere Komponenten wie Intrusion Detection / Prevention, Access Control melden Ereignisse an die zentrale Verwaltung. Dies ermöglicht die Verknüpfung von Events aus verschiedenen Quellen.

Decken Netzwerkkomponenten durch Daten aus der Security Intelligence, oder durch Regeln des IDS/IPS-Systems Kommunikation von einem Client zu einem Command & Control Server auf, und meldet auch AMP verdächtiges Verhalten auf dieser Maschine, dann werden die Informationen verknüpft und der Client mit einer sehr hohen Wahrscheinlichkeit als infiziert betrachtet.

Über Malware hinaus können jedoch für das FMC Richtlinien für jegliche Art von Dateien erstellt werden. Damit kann z.B. verhindert werden, dass Office-Dokumente via HTTP aus dem Firmennetz hochgeladen, oder ausführbare Dateien innerhalb des Netzwerks verbreitet werden.

Ein in das FMC eingebundener Sensor (jegliche Art von kompatibler Hard-/Software) mit AMP-Funktionalität sammelt stetig Informationen über die Dateien, welche er im Netzwerkstream erkennt. Dies führt zu einer detaillierten Auflistung von Dateien. Außerdem wird in der sogenannten File Trajectory dokumentiert, wer diese wo, wann und wohin versendet, verschoben oder kopiert hat.

Ein weiterer interessanter Ansatz von Cisco AMP ist eine Analyse darüber, wie oft eine Datei in einem Netzwerk erkannt wird. Die meisten Unternehmen installieren ihre Clients mit Hilfe eines universellen Abbilds (Golden Image) bzw. einer zentralen Softwareverteilung. Dies hat zur Folge, dass sich Clients auch auf Dateiebene sehr ähnlich sind. Wird nun eine Datei entdeckt, die nur auf einem einzelnen oder wenigen Clients vorhanden ist, kann dies als verdächtig angesehen werden. Neben offensichtlichen Ausnahmen wie der IT, R&D usw. ist dies ein gutes Indiz dafür, wo eventuell eine Infektion bereits geschehen ist.

 

FAZIT

Advanced Malware Protection und das Firepower Management Center bieten den Schutz, den Antivirus schon lange nicht mehr bieten kann. Ein verteiltes System an AMP-Clients, die kontinuierliche Analyse von Dateien und die Korrelation von gesammelten Informationen machen das System zu einem ernstzunehmenden Gegner für Malware.

Bei vertiefenden Fragen, bzw. für weiterführende Informationen, stehen Ihnen die NTS Security Experten gerne zur Verfügung.

Thomas Fellinger
Systems Engineer
am 24.06.2016

Zum Thema