Malware 101: Prävention

Diese Serie hat einen großen Teil dessen behandelt, was ein Angreifer mit Malware erreichen kann. Aber wenn Sie nicht vorhaben, selbst Cyberkrimineller zu werden, ist es wahrscheinlich auch wichtig zu wissen, wie Sie sich gegen Malware verteidigen können. Die gebräuchlichste Abwehrstrategie gegen Malware ist die Prävention – d. h. zu verhindern, dass sie die Systeme erreicht (Perimeterschutz) bzw. dort ausgeführt wird (Endgeräteschutz).

Netzwerk-Firewalls und Perimeterschutz

Beim Perimeterschutz geht es darum, so viele Angriffe wie möglich vom eigenen Netzwerk fernzuhalten. Da es viele Eintrittspunkte gibt, sind viele Arten von Schutzmaßnahmen erforderlich, um das Perimeter abzusichern. E-Mail ist bei weitem die am weitesten verbreitete Methode zur Verbreitung von Schadsoftware. Daher leistet ein E-Mail-Schutz, der Malware erkennen und blockieren kann, einen großen Beitrag zum Schutz des Perimeters. Es kommt auch häufig vor, dass E-Mails anstelle von Anhängen Links zu Malware enthalten. Im Allgemeinen kann der Schutz des Internetverkehrs zusätzlich zur Erkennung von Browser-Exploits und der Blockierung schädlicher Seiten ebenfalls hilfreich sein.

Netzwerk-Firewalls sind eine allgemeinere Art des Perimeterschutzes, weshalb sie viele verschiedene Angriffsvektoren abdecken. Netzwerk-Firewalls kontrollieren und überwachen den Datenverkehr, der in ein Netzwerk eintritt und – bei einigen Modellen – auch wieder austritt. Sie können Systeme innerhalb des Netzwerks schützen, unabhängig davon, ob es sich um Arbeitsplatzsysteme, Datenbanken, interne Web-Applikationen oder ähnliches handelt. Sie können Angriffe auf ein Netzwerk blockieren, in einigen Fällen auch die Übertragung von Malware über das Netzwerk, wenn sie über Funktionen zur Erkennung von Malware verfügen.

Während E-Mail- und Web-Schutz nur vor den primären Payloads schützen kann, da diese über diese Protokolle bereitgestellt werden, sind Netzwerk-Firewalls in der Lage, zusätzliche Payloads zu erkennen, die Malware, die es über die anfängliche Abwehr schafft, herunterzuladen versucht. Sie erkennen auch Command-and-Control-Traffic, wie z. B. Bots, die Anweisungen erhalten, oder Verschlüsselungsschlüssel, die während eines Ransomware-Angriffs gesendet werden. Netzwerk-Firewalls haben zwar Zugriff auf E-Mail- und Web-Verkehr, bieten jedoch im Allgemeinen keinen so robusten Schutz vor diesen Bedrohungen, da der Datendurchsatz und die Rechenressourcen mit den Schutzfunktionen in Einklang gebracht werden müssen. Eine E-Mail, die für einen Malware-Scan um ein paar Minuten verzögert wird, stellt in der Regel kein Problem dar, aber das Aufhalten von Netzwerkpaketen für mehr als ein oder zwei Sekunden definitiv.

Wie Web Application Firewalls helfen

Vielleicht geht es weniger um den Schutz Ihrer eigenen Systeme und Ihres Netzwerks als um den Ihrer Kunden, aber Web Application Firewalls sind auch eine Form des Perimeterschutzes. Sie schützen nach außen gerichtete Web-Applikationen vor Angriffen, die dazu verwendet werden könnten, die geschützte Website zu verunstalten oder sie möglicherweise zum Hosten und Verteilen von Malware an andere (d. h. Ihre Kunden) zu nutzen.

Das Hosten von Malware ist für Angreifer oftmals problematisch, da es nicht so einfach ist, sich für ein Webhosting- oder File-Sharing-Konto anzumelden. Solche Dienste vermeiden es, am Hosten und Verbreiten von Malware beteiligt zu sein und sperren daher Konten, die schädliche Inhalte hosten. Außerdem müssen die Angreifer ihre Spuren verwischen, um zu verhindern, dass die Strafverfolgungsbehörden ihren Betrieb stoppen oder sie in vielen Ländern verhaften können. Es gibt Dienste, die Hosting für Angreifer anbieten – sogenannte kugelsichere Hosting-Anbieter –, die in Ländern mit laxeren Cybersicherheitsgesetzen operieren und sich weigern, mit den Strafverfolgungsbehörden zusammenzuarbeiten. Da diese Anbieter jedoch in der Regel in der Cybersecurity-Branche bekannt sind, ist es nicht ungewöhnlich, dass allein der Umstand, bei einem kugelsicheren Hosting-Anbieter gehostet zu werden, als Indikator ausreicht, um anzunehmen, dass der Datenverkehr bösartig ist und eine Blockierung rechtfertigt.

Um dies zu verhindern, müssen Sie Hosting-Optionen finden, die für die Schutzmaßnahmen unbedenklich erscheinen, zumindest so lange, bis genügend Malware für eine erfolgreiche Kampagne vorhanden ist. Da es nicht an Schwachstellen mangelt, die man ausnutzen kann, insbesondere in Content-Management-Systemen (CMS) wie WordPress, sind gehackte Websites ein sehr verbreitetes Mittel zum Hosten und Verbreiten von Malware. Hier kommt der Schutz von Web-Applikationen ins Spiel, um zu verhindern, dass die Website überhaupt erst gehackt wird.

Arten von Endgeräteschutz

Während der Schutz eines Perimeters sowohl wichtig als auch effektiv ist, gelangen Bedrohungen, wenn sie durch das Perimeter gelangen, auf die darin befindlichen Systeme. Die Software, die diese Systeme schützt, wird als Endgeräte- oder Endpunktschutz bezeichnet. Sie wird am häufigsten bei Benutzerarbeitsplätzen eingesetzt, aber viele Arten von Systemen, wie z. B. Server, nutzen solche Schutzmaßnahmen ebenfalls.

Den Endgeräteschutz gibt es in verschiedenen Formen und mit unterschiedlicher Ausgereiftheit. Die gebräuchlichste Art ist jedoch Antivirussoftware, die Signaturen für die Erkennung von Malware verwendet, die auf den Endpunkt gelangt. Für Unternehmen gibt es ausgefeiltere Anti-Malware-Lösungen, die fortschrittlichere Erkennungstechniken verwenden, wie z. B. eine ausgefeiltere statische Analyse. Bei dieser wird die Datei im Ist-Zustand auf bösartige Indikatoren untersucht. Alternativ kann eine dynamische Analyse verwendet werden, bei der die Datei in einer kontrollierten Umgebung ausgeführt wird, um ihr Verhalten zu analysieren. Der Schutz von Endgeräten kann sich auch hinsichtlich des analysierbaren Bereichs voneinander unterscheiden, von einfachen Dateien bis hin zur Untersuchung laufender Prozesse und Speicherabfälle.

Die Macht des Patchings

Perimeter- und Endgeräteschutz bietet unschätzbare Tools zur Abwehr von Malware und anderen Angriffen. Er hängt aber auch stark von den für die Sicherheit bereitgestellten Budgets ab, was und wie viel Schutz erworben werden kann. Unabhängig vom Umfang des vorhandenen Schutzes gibt es weitaus billigere und einfachere Möglichkeiten, sich vor Malware zu schützen.

Eine der einfachsten und kostengünstigsten Methoden für den Schutz vor Angriffen ist sicherzustellen, dass die Software auf dem neuesten Stand ist. Da das Ausnutzen von Softwareschwachstellen eine Schlüsselkomponente von Angriffen ist – sei es, um sich zunächst Zugang zu einem Netzwerk zu verschaffen oder um sich innerhalb des Netzwerks zu bewegen und einen privilegierteren Zugang zu erlangen –, stellt die rechtzeitige Aktualisierung von Software sicher, dass Schwachstellen gepatcht werden und sie nicht mehr ausgenutzt werden können. Es wird immer wieder Schwachstellen geben, aber zumindest die bekannten sind für Angreifer nicht mehr zugänglich. Und bekannte Schwachstellen werden am häufigsten als Exploits genutzt, da die Suche nach oder der Kauf von Zero-Day-Schwachstellen (d. h. Schwachstellen, die noch nicht gepatcht sind) sehr teuer ist.

Letzte Verteidigungslinie

Im Allgemeinen ist die größte Schwachstelle in jedem Unternehmen, unabhängig von der Anzahl der Sicherheitsvorkehrungen und -lösungen, diejenige, die am schwierigsten zu verhindern ist: der Mensch. Gleichzeitig bietet sich die Möglichkeit, innerhalb einer Organisation eine sicherheitsbewusste Kultur zu schaffen, die Malware und andere Angriffe äußerst effektiv verhindern und erkennen kann.

Da E-Mails der größte Verbreitungsweg für Malware sind, sollten Benutzer unbedingt wissen, wie man bösartige E-Mails erkennt und nicht auf Anhänge oder Links darin klicken, um sich vor Malware zu schützen. Leider ist es aus mehreren Gründen sehr schwierig, obwohl es zwar nicht unbedingt teuer ist, dies zu erreichen. Vielen Mitarbeitern fehlt es an Wissen und Fähigkeiten, um Angriffe zu erkennen, was in ein oder zwei Stunden Schulung pro Jahr unmöglich vermittelt werden kann. Außerdem fehlt es ihnen an persönlichem Engagement für die Sicherheit des Unternehmens, abgesehen von der Gefahr, ihren Job zu verlieren.

Es geht in dieser Hinsicht wirklich mehr darum, eine Kultur im Unternehmen zu fördern, in der Fähigkeiten und Motivation gefördert werden, ein aktiver Teil der Cybersecurity-Infrastruktur zu sein. Wenn Mitarbeitern die Bedeutung der Auswirkungen, die sie auf die Gesamtsicherheit eines Unternehmens haben können, bewusst wird, sind sie nicht nur bei ihren täglichen Aktivitäten aufmerksamer, sondern verinnerlichen auch Schulungsmaterial effektiver und messen der Schulung selbst einen höheren Wert bei, als wenn diese nur als eine Compliance-Formsache betrachtet wird. Menschen sind die letzte Verteidigungslinie gegen viele Cyberangriffe, und in einigen Fällen wie dem Vishing (Voice-Phishing, bei dem es sich um Phishing per Telefonanruf handelt) oder das Erkennen verdächtiger Aktivitäten an einer physischen Website, ist dies die einzige Verteidigungslinie.

Die anderen Artikel der Reihe Malware 101 finden Sie hier.