robsonphoto - stock.adobe.com

Zero Day: Der Schutz vor dem Unbekannten

Wie schützen sich Unternehmen vor Bedrohungen, die sie noch gar nicht kennen? Prävention und ein durchdachtes Konzept helfen dabei, Schäden zu verhindern oder zu begrenzen.

Unternehmen und deren Netzwerke sehen sich jeden Tag mit Angriffen und neuartigen Bedrohungen konfrontiert. Die Mitarbeiter der IT-Security müssen stets am Puls der Zeit bleiben, die Systeme stetig aktualisieren und überprüfen, während sie die Augen nach den neuesten Malware-Trends offen halten, um rechtzeitig reagieren zu können. Dabei können Techniken zur Umgehung von Malware, die so genannten Malware Evasion Techniques, sehr gut helfen. Wie aber reagiert man, wenn man die drohende Gefahr nicht kommen sehen kann?

Zero-Day-Exploits bezeichnet Angriffe auf Schwachstellen, die entweder beim Hersteller eines Systems noch nicht bekannt oder noch nicht geschlossen sind. Das Problem: Während die IT-Security nach Löchern in der eigenen digitalen Sicherheitsbarriere suchen, um diese zu stopfen, suchen Angreifer selbige, um sich illegalen Zugang zu verschaffen.

Ein Wettlauf um die Sicherheit der Daten und Zugänge des Unternehmens beginnt. Laut der gesammelten Informationen von Check Point ist von etwa 8.500 Bedrohungen durch Zero-Day-Exploits pro Tag auszugehen. Dabei ist es schwierig, sich als Unternehmen einen klaren Vorteil zu verschaffen. Allerdings kann man das System durch präventive Maßnahmen und durchdachte Konzeption zumindest so schützen, dass selbst bei einem Zero-Day-Exploit der Schaden verhindert wird oder in Grenzen bleibt.

Die üblichen Sicherheitsvorkehrungen

Sandboxes: Hierbei handelt es sich um erste Filterfunktionen, die das Verhalten von Dateien überprüfen. Leider sind sie anfällig für Verschleierungstaktiken und lassen von Natur aus auch verdächtige Inhalte zunächst einmal in das System, bevor sie diese vollständig überprüft haben. Das hat praktische Gründe, denn sonst würde es bis zu 20 Minuten dauern, bis neue Inhalte tatsächlich im System verfügbar wären, ist aber riskant.

Endpoint Security: Als letzte Verteidigungslinie dienen Lösungen wie EPPs (Endpoint Protection and Prevention) und EDRs (Endpoint Detection and Response), die eine riesige Anzahl von Endpunktaktivitäten und Verhaltensweisen inspizieren und bei verdächtigen Aktivitäten Warnmeldungen erzeugen.

Sie sind daher auf der Jagd nach virtuellen Bedrohungen und bei der Bedrohungsbehebung von großer Bedeutung. Allerdings können nicht alle Ressourcen mit einem Endpunkt-Agenten geschützt werden. Dazu gehören IoT-Geräte, wie Überwachungskameras, Aufzüge und HLK-Systeme (Heizung, Lüftung, Klimatechnik), für die das Netzwerksicherheits-Gateway normalerweise die einzige Verteidigung darstellt. Ebenso können Rechenzentren nicht mit Endpunktlösungen versehen werden, da sie aus Dutzenden – wenn nicht Hunderten – von Servern mit speziellen Betriebssystemen (Unix, Linux, Oracle), Appliances und anderen Geräten bestehen.

Incident Response: Manche Unternehmen stecken ihre Anstrengungen nicht mehr in präventive Maßnahmen, sondern fokussieren sich auf möglichst schnelle Reaktionszeiten gegen Bedrohungen. Ziel dabei ist es, nach einem erfolgreichen Angriff auf das System den angerichteten Schaden so minimal wie nur möglich zu halten.

Die Verantwortung hierfür liegt bei den internen SOC-Teams oder externen MSSP- oder MDR-Dienstleistern (Managed Security Service Provider). Das Problem hier: die Kosten der Herangehensweise. Ein Systemeinbruch kostet Unternehmen durchschnittlich etwa 960.000 US-Dollar. Zudem lässt sich der Schaden zwar eindämmen, aber nicht verhindern oder rückgängig machen.

Ein neues Konzept zum Schutz vor Zero Days

Um die Nachteile und Risiken der bisherigen Maßnahmen auszugleichen, sollten Unternehmen neue Schichten in ihr Sicherheitskonzept einbauen. Dabei sollte der Fokus klar auf mehr präventiven Maßnahmen liegen, als auf reaktiven.

Präventiver Anwenderschutz

Die Untersuchungsergebnisse der Firma Verizon zum Thema Data-Breaches offenbarte, dass 94 Prozent der beobachteten Angriffe per Mail durchgeführt werden. Ziel dabei ist es, einen der größten Unsicherheitsfaktoren auszunutzen: den Menschen.

Daher sollte das Ziel sein, mögliche Bedrohungen abzufangen, bevor sie den Anwender eines Systems erreichen. Das kann entweder durch Schadfiltersoftware geschehen, die Inhalte in Mails und angehängten Dateien säubert, also die enthaltene Schadsoftware entfernt oder mit der Hilfe von künstlicher Intelligenz. Diese neuen Technologien sind mitunter in der Lage, die Inhalte von E-Mails auf Textebene zu analysieren und so Phishing-Versuche selbstständig zu erkennen und zu verhindern.

Threat Intelligence in Echtzeit

Informationen rund um Bedrohungen und Angriffe werden zu jeder Sekunde gesammelt – von Sensoren in Netzwerken, Endgeräten und vielem mehr. Je besser diese Daten und Informationen genutzt und kommuniziert werden, desto besser kann man darauf reagieren.

Darum sollte ein breites Spektrum an Threat-Intelligence-Informationen für die Sicherheitslösungen bezogen und so effektiv wie nur möglich genutzt werden. Dadurch können Unternehmen neue Attacken auf Basis bekannter IoCs (Indikatoren für Kompromittierung) leichter identifizieren und somit verhindern.

Nutzung von künstlicher Intelligenz

Neben E-Mails kann manche künstliche Intelligenz sogar weitere mögliche Bedrohungsformate analysieren. Das reicht von der Identifikation einer Bedrohung, also welcher Art die Malware ist und zu welcher Familie von Schadsoftware sie gehört, über Bilderkennung hin zu der Analyse von Code auf verdächtige Muster. So kann die Sicherheit auf mehreren Ebenen gewährleistet werden. Je lernfähiger das System dabei ist, desto effektiver wird es mit der Zeit und desto weniger Fehlalarme wird es schlagen.

Christine Schoenig, Check Point

„Je breiter Firmen in präventive Maßnahmen investieren und ihre IT-Sicherheit vorausschauend optimieren, desto besser sind sie gegenüber neuen oder noch unbekannten Bedrohungen geschützt.“

Christine Schönig, Check Point

Prävention schützt Daten und spart Geld

Definitiv lässt sich zum Thema Zero Days feststellen: Je breiter Firmen in präventive Maßnahmen investieren und ihre IT-Sicherheit vorausschauend optimieren, desto besser sind sie gegenüber neuen oder noch unbekannten Bedrohungen geschützt, darunter die Abwehr der gefährlichen Zero-Day-Attacken.

Je vielschichtiger und vielseitiger die eigenen Sicherheitskonzepte somit werden, umso sicherer werden auch die dazugehörigen Systeme. Somit wird der Datendiebstahl erheblich erschwert und die möglichen Schäden stark reduziert – oder sogar komplett verhindert.

Nächste Schritte

So unterscheiden sich Zero-Day-Exploit und -Schwachstelle

Gratis-eBook: Das Patch-Management optimieren

Welche Vorfälle landen bei einem Incident-Response-Team

Erfahren Sie mehr über IT-Sicherheits-Management