Posts mit dem Label Cybersecurity werden angezeigt. Alle Posts anzeigen

https://www.spiegel.de/netzwelt/netzpolitik/gehackt-an-weihnachten-bsi-warnt-vor-besonderer-gefahr-an-den-feiertagen-a-a35eb9ba-f2af-48a5-90...


https://www.spiegel.de/netzwelt/netzpolitik/gehackt-an-weihnachten-bsi-warnt-vor-besonderer-gefahr-an-den-feiertagen-a-a35eb9ba-f2af-48a5-900d-ca2a8e0791f6

Sie finden uns in Halle 7, Stand 510. Wir freuen uns auf den persönlichen Austausch rund um das Thema Datensicherheit und der einfachen Anwe...

it-sa2021


Sie finden uns in Halle 7, Stand 510. Wir freuen uns auf den persönlichen Austausch rund um das Thema Datensicherheit und der einfachen Anwendung von Application Whitelisting.


Kaum zu glauben, aber wahr - sogar für die durch Corona an ihre Belastungsgrenzen gebrachten Krankenhäuser hat die Krise etwas Gutes: Ab sof...



Kaum zu glauben, aber wahr - sogar für die durch Corona an ihre Belastungsgrenzen gebrachten Krankenhäuser hat die Krise etwas Gutes: Ab sofort können deutsche Kliniken Gelder aus dem Krankenhauszukunftsgesetz beantragen. 


Dieses Gesetz hat das Bundesgesundheitsministerium verabschiedet, damit Kliniken finanziell möglichst unbeschadet durch die Pandemie kommen. Und warum schreiben wir nun darüber? Ganz einfach: Ein Kernbereich der Förderung ist die Erhöhung der IT-Sicherheit. 


Staat greift Kliniken kräftig unter die Arme

Klinikverantwortliche, die bislang aus finanziellen Gründen vor neuen Investitionen in IT-Security zurückgeschreckt sind, haben damit nun eine Ausrede weniger: Mit satten 70 Prozent beteiligt sich der Bund auf Grundlage des jüngst in Kraft getretenen Krankenhauszukunftsgesetzes (KHZG) an Investitionen, die der Digitalisierung von Krankenhäusern dienen. Den Rest steuern fallabhängig Länder und/oder Krankenhausträger bei. 


Ein Schwerpunkt liegt dabei auf Förderung der IT-Sicherheit. Krankenhäuser sind sogar verpflichtet, mindestens 15 Prozent des Zuschusses für IT-Sicherheits-Maßnahmen auszugeben, damit ihr Förderantrag Erfolg haben kann.


seculution bis zu 100 Prozent umsont - wann, wenn nicht jetzt?

Angesichts dieser Finanzspritze auf der einen und folgenschwerer Angriffe auf Krankenhäuser wie die Uniklinik Düsseldorf auf der anderen Seite (wir berichteten) finden wir: Vor einer Investition in eine garantiert lückenlose IT-Security-Lösung sollte nun wirklich keine Zeit mehr verstreichen!


  Die Hacker, die im September 30 Server der Universitätsklinik Düsseldorf lahmlegten, konnten sich bereits Anfang des Jahres unbemerkt eine...

 



Die Hacker, die im September 30 Server der Universitätsklinik Düsseldorf lahmlegten, konnten sich bereits Anfang des Jahres unbemerkt eine Sicherheitslücke zunutze machen. Für die Klinik, deren IT Stand heute weiterhin nicht voll einsatzfähig ist, ein Desaster. Dabei hätte die Katastrophe mit der richtigen Security-Lösung verhindert werden können. 


Dass die Klinik einer großen Universität, ein Hospital mit 1.200 Betten und rund 5.500 Mitarbeitern, alles daran setzt, ihre IT-Infrastruktur bestmöglich abzusichern, sollte außer Frage stehen. Doch dass auch noch so gute Virenscanner anfällig für Schwachstellen sind, ist ein systemimmanentes Problem des Blacklist-Prinzips. Dies offenbarte sich nach jetzigem Kenntnisstand auch in Düsseldorf: Ende Dezember 2019 warnte der die Uniklinik beliefernde US-Hersteller Citrix Systems vor einer Sicherheitslücke in seiner VPN-Software (CVE-2019-19781), die unter dem Namen “Shitrix” bekannt wurde. Laut Medienberichten sei das System der Uniklinik daraufhin überprüft worden, ohne dass eine Gefährdung durch die mittlerweile wieder geschlossene Sicherheitslücke festgestellt wurde

Schwachstelle blitzschnell ausgenutzt


Doch die kurze Existenz der Schwachstelle genügte den mutmaßlich aus Russland stammenden Hackern bereits: Einem Bericht des BSI zufolge schmuggelten sie einen Loader ins System der Klinik, der später die Ransomware DoppelPaymer zum Einsatz brachte. Es folgten die Verschlüsselung von 30 Servern und damit einhergehende, katastrophale Auswirkungen auf den administrativen und medizinischen Betrieb. 

Vor der Application Whitelist hätte DoppelPaymer kapituliert


Hätte das Desaster verhindert werden können? Die Antwort lautet grundsätzlich: Ja! Die entscheidende Frage ist: womit? Hier mögen dem Windows-Nutzer zunächst die ATP-Abwehrmechanismen von Microsoft in den Sinn kommen. Man mag sich gerne den entsprechenden Blogeintrag zu Gemüte führen und hoffen, dass einem danach nicht der Kopf raucht. Bedeutend einfacher - und mit Garantie - hätte SecuLution Application Whitelisting geschützt. Das Whitelisting-Prinzip bietet weder Ransomware wie DoppelPaymer noch anderen Schadprogrammen auch nur die geringste Chance, sich ins IT-System zu manövrieren. Es ist fatal genug, dass der Angriff in Düsseldorf überhaupt passieren konnte. Die Pflicht aller IT-Sicherheitsspezialisten in Bereichen Kritischer Infrastrukturen sollte jetzt darin bestehen, ihr Securitykonzept auf den Prüfstand zu stellen. Es gibt keinen Grund, nicht den bestmöglichen Schutz vor Schadsoftware einzusetzen. Und der ist unstrittig Application Whitelisting.

Am 12.11.2018 titelte heise.de noch im Artikel zu einer neuen Trojanerwelle mit "Antiviren-Software schützt kaum" ( zum Artikel...

Am 12.11.2018 titelte heise.de noch im Artikel zu einer neuen Trojanerwelle mit "Antiviren-Software schützt kaum" (zum Artikel), in der selben Woche muss sich das Klinikum Fürstenfeldbruck eine Schadsoftware aus der besagten Familie eingefangen haben. Auch hier berichtet heise.de heute: Fürstenfeldbruck - Malware legt Klinikums-IT komplett lahm


Seit einer Woche wird in Fürstenfeldbruck nun schon auf Hochtouren gearbeitet, um die Schäden zu beheben. langsam läuft der Betrieb wieder an, Notfälle können wieder in die Klinik gebracht werden. Immer wieder erreichen Fälle wie dieser die News. Immer wieder raten Experten zur Absicherung von Endpoints mit modernen Antivirenprodukten. Doch was sind moderne Antivirenprodukte?

Next Generation

Die breite Masse der IT-Verantwortlichen wird diesen Begriff kennen und sogar eines oder mehrere der so benannten Produkte zum Arsenal seiner Maßnahmen gegen Infektionen wie in der aktuellen Schadsoftwarewelle zählen. Künstliche Intelligenz, Machine Learning, Algorithmen aus der aktuellsten Forschung zu neuronalen Netzen sollen hier den Kampf gegen die Bedrohung wirkungsvoll aufnehmen.

Unterm Strich sind diese Lösungen jedoch immer nur so gut wie die Erkenntnisse, die hinter den Techniken stehen. Ist ein Verhaltensmuster oder eine Schadsoftware nicht als solche bekannt und verhält sich nicht gemäß der Vorgaben der Lösungen die als Next Generation beworben werden, passieren nach wie vor verhängnisvolle Fälle von Malware Infektionen die ganze Netzwerke komplett lahmlegen. Für Tage oder sogar Wochen.

Viele Firmen haben aus Ihren Erfahrungen oder den Meldungen der vergangenen Jahre gelernt und setzen bereits auf alternative Maßnahmen wie Application Whitelisting. All zu oft laufen die Ratschläge oder Empfehlungen der Verantwortlichen IT Mitarbeiter aber ins Leere. Budgetplanungen, Gleichgültigkeit oder Unwissenheit bei der Geschäftsführung sind hier häufig die Ursache. Viele Ratschläge der betriebseigenen Experten werden mit einer ablehnenden Haltung abgeschmettert oder auf die lange Bank geschoben. Getreu dem Motto: Wird schon nichts passieren.

Enge Budgets, taube Vorgesetzte, machtlose Fachleute

Buzzwords alleine sind noch keine effektive Absicherung von Endpoints und Netzwerken. Und doch erweisen sich die werbewirksamen Begriffe als probates Mittel, um über offensichtliche Schwächen der immer noch weit verbreiteten, auf Blacklisting basierenden Produkte, hinweg zu reden.
IT-Fachkräfte wissen prinzipiell um diese Schwächen, jedoch stoßen sie häufig auf ablehnende Haltungen in Bezug auf die Einführung neuer Sicherheitsmaßnahmen oder bei der Ablösung bestehender Lösungen. Zusätzlich merken außerhalb der IT-Abteilung kaum Mitarbeiter und Vorgesetzte was in modernen Netzwerken täglich an Wartungsaufwand entsteht. Nur auf Grund von kleineren aber erfolgreichen Angriffen werden IT Mitarbeiter oft stundenlang von ihrer Arbeit abgehalten. Man könnte sagen, die IT-Verantwortlichen arbeiten mit den zu Verfügung stehenden Mitteln zu gut, um Schwächen sichtbar zu machen. Das die Verantwortlichen aber nicht selten am Rande des Möglichen agieren bleibt dabei verborgen. Denn wer macht seinen Job schon gerne schlecht und zeigt so sein Unvermögen im Umgang mit fachbezogenen Aufgabenstellungen und Problemen?

Keine Besserung in Sicht?

Seit Jahren kann man in der Presse lesen, dass auch namhafte Unternehmen sich immer wieder der Übermacht von Angreifern ergeben müssen. Hier haben aber nicht unbedingt die Verantwortlichen in der IT versagt, sondern die eingesetzten Lösungen die auf Grund der oben angeführten Gründe oftmals noch eingesetzt werden. Die Mentalität "Never change a running system" und der Glaube auf etablierte Lösungen zu setzen reiche aus, hat in der Vergangenheit bereits bewiesen nicht immer die beste Wahl zu sein. Vielmehr ist der ständige Wandel und der Einsatz neuer und auch einfacher Methoden oft der Schlüssel zum Erfolgreichen Kampf gegen neue Bedrohungen.

Denn das Einzige was sich derzeit stetig wirklich entwickelt sind die Bedrohungen. Agiert man aber immer nur defensiv und verschafft sich nicht genügend Gehör ist man unweigerlich zum Scheitern verurteilt. Was nicht sein muss. Es gibt unterschiedliche Ansätze PCs und Netzwerke heute effektiv zu schützen, Virenscanner gehören einfach nicht mehr dazu. Eine Erkenntnis die (leider) oft zu spät kommt.

Recherchieren, testen, Erfahrungen sammeln

Auch wenn es im Alltag schwer fällt, Projekte abgeschlossen und Wartungsarbeiten durchgeführt werden müssen, wenn es um das Thema Sicherheit geht sollten Verantwortliche sich die Zeit nehmen den Markt nach Alternativen zu durchsuchen. Authentische Erfahrungsberichte zu Produkten lesen und auch den Kontakt zu den Herstellern suchen sind probate Mittel sich durch die Möglichen Lösungen zu wühlen. Viele Hersteller, darunter natürlich auch seculution, bieten kostenlose Teststellungen an. Support und persönliche Begleitung bei der Einrichtung, Inbetriebnahme und täglichen Arbeit stehen dabei fast ausnahmslos zur Verfügung.

Oft ist bereits ein kurzer Test der Ausschlag für eine Entscheidung zur Veränderung, denn Lösungen wie Application Whitelisting sind nicht nur vom Funktionsprinzip einfach und überschaubar, auch im Alltag sind diese Lösungen sehr schnell integriert und konzeptbedingt effektiver als ihre etablierten Vorgänger.

Ein sehr schöner und lesenswerter Anstoß für alle ist dieser Artikel (englisch): The Six Dumbest Ideas in Computer Security

Application Whitelisting ist nichts Neues. Wie der Name schon andeutet ist Whitelisting der umgekehrte Ansatz zu Blacklisting. Blackli...

Die 10 größten Vorurteile gegen Application Whitelisting


Application Whitelisting ist nichts Neues. Wie der Name schon andeutet ist Whitelisting der umgekehrte Ansatz zu Blacklisting. Blacklisting als Begriff ist weniger geläufig als die Produktgattung die sich auf dieses Prinzip stützt – Virenscanner.


Das Whitelisting von Anwendungen geht den umgekehrten Weg und verweigert standardmäßig die Ausführung von Anwendungen, die nicht explizit als "bekannt und vertrauenswürdig" auf der Whitelist bekannt sind. Dieser "Default Deny"-Ansatz bietet aus vielen Gründen ein wesentlich höheres Schutzniveau als der etablierte Blacklisting-Ansatz für Antivirus Produkte.
Hauptgrund für den Einsatz von Application Whitelisting (im folgenden nur noch als AWL abgekürzt) aber ist und bleibt, dass bösartiger Code, der noch nie zuvor gesehen wurde, verhindert werden kann. So genannte "Zero-Day"-Angriffe. Ein Virenscanner der eine Blacklist bereits bekannter Schädlinge oder Verhaltensweisen führt, kann diese neuen Schädlinge nicht identifizieren.

Jeder vernunftbegabte Mensch fragt sich jetzt: Wenn Whitelisting so viel sicherer ist als Blacklisting, warum ist es dann nicht so weit verbreitet wie Blacklisting-Lösungen, also Virenscanner?

Die Antwort ist einfach. Eine Blacklisting-Lösung lässt zwar Schadcode ungehindert ins Netzwerk wenn sie einen schlechten Job macht, aber blockiert niemals gutartigen, unbekannten Code. Beispielsweise Teile des Betriebssystems. Wenn ein Whitelisting Produkt einen schlechten Job macht, sind die Systeme vielleicht extrem sicher, aber es wird die Nutzbarkeit des Systems beeinträchtigen, indem es unbekannten aber vertrauenswürdigen Code blockiert. Die meisten Menschen haben daher die einfache Handhabung von Blacklisting gegenüber der unumstritten besseren Sicherheit von Whitelisting bevorzugt.

Ein weiterer Grund, warum AWL nicht sehr verbreitet ist, sind frühe AWL-Lösungen aus den 90er Jahren. Diese waren wie beschrieben oft eher ein Hindernis im Alltag und haben dem Prinzip Whitelisting einen bis heute schlechten Ruf eingebracht. Moderne AWL-Lösungen werden daher bis heute an der schlechten Leistung der Lösungen aus dem letzten Jahrtausend gemessen. Moderne Whitelisting Lösungen können aber wesentlich automatisierter operieren und verursachen im Alltag heute weder ungewollt blockierte Software noch den oft gefürchteten Mehraufwand. Dieser Artikel soll diese und andere Vorurteile sowie Missverständnisse widerlegen, die selbst von Sicherheitsexperten immer noch gegen die Technik vorgebracht werden. Beim Blacklisting wird jede neue Datei auf einem System überprüft. Erkennt der Virenscanner eine Datei als schädlich, wird die Ausführung verhindert.

Vorurteil Nummer 1:

Whitelisting Produkte von Drittanbietern sind überflüssig, da die Technik bereits in modernen Betriebssystemen kostenlos integriert ist.

Der wohl bekannteste integrierte Whitelisting Service ist der AppLocker von Microsoft. Mit einer Windows Server Lizenz können Sie auch stolzer Besitzer einer Application Whitelisting Lösung werden. Wenn Sie also keine andere "Default-Deny" Technik nutzen, die Teil Ihres Sicherheitskonzepts ist, dann können Sie dieses Tool in Betracht ziehen, um die Lücken zu schließen, die Virenscanner konzeptbedingt hinterlassen. Die Verwendung integrierter Lösungen ist aus Sicht des Gesamtkonzepts viel sinnvoller als diese Angebote einfach zu ignorieren.

Das Problem ist jedoch, dass diese Lösungen nur schwer zu handhaben und aktuell zu halten sind. Die Verwaltung dieser Tools erfordern oft, dass der IT-Administrator alle Programme identifiziert, die erlaubt sein sollten. Auf einem Standard Betriebssystem sind das Tausende von Dateien. Änderungen und Ergänzungen der Whitelist brauchen Zeit und sind nicht direkt verfügbar. Die manuelle Verwaltung der Liste von erwünschten und vertrauenswürdigen Anwendungen, kann eine Belastung darstellen, die den Zugewinn an Sicherheit obsolet macht. Kritiker von AWL führen diese Mankos integrierter Whitelisting Tools oft als Grund an, keine AWL-Lösungen zu verwenden.

Die Frage aber bleibt: Wenn moderne AWL Lösungen so viel besser sind, warum ignoriert die überwiegende Mehrheit der IT-Administratoren und Sicherheitsexperte sie und verwendet nur Blacklisting zur Absicherung der Systeme? 

Vorurteil Nummer 2:

Application Whitelisting ist kompliziert zu handhaben und zu zeitaufwändig

Zugegeben bei tausenden von Anwendungen für einen einzigen PC klingt das nachvollziehbar. ständig ändern Updates einzelne Anwendungen oder das gesamte Betriebssystem wird gepatcht. Genau das ist eines der Kernprobleme, die moderne AWL-Lösungen schon längst gelöst haben. Denn so aufwändig es klingt, es ist ein sehr gut lösbares Problem. Moderne AWL-Produkte sind sehr geschickt darin, die relevanten Daten auf einem System zu identifizieren, Änderungen automatisch zu genehmigen und die Whitelist-Datenbank entsprechend aktuell zu halten. In einer ordentlichen AWL-Lösung ist es selten nötig einzelne Dateien der Whitelist manuell hinzuzufügen oder gar zu löschen. Änderungen, wie z.B. das Installieren eines neuen Softwarepakets bringen diese Lösungen nicht mehr dazu alles als unbekannt zu blockieren. Moderne AWL-Lösung macht das Management der Whitelist so automatisch und zeitsparend wie möglich.

Vorurteil Nummer 3:

Application Whitelisting setzt jeden Nutzer der Gnade der Administratoren aus.

Einige AWL-Lösungen folgen dem Ansatz, dass alle Entscheidungen über das, was erlaubt oder verweigert werden soll, ausschließlich in den Händen von IT-Administratoren oder Sicherheitsexperten liegen. Jedoch ist das nur in sehr statischen Umgebungen oder für PCs mit festem Anwendungsumfang überhaupt umsetzbar.

Die meisten Whitelisting Produkte ermöglichen heute, dass Aktionen die ein Nutzer ausführt sich auch mit AWL vereinbaren lassen. Dabei wird nicht dem Nutzer vertraut, sondern sogenannten Reputationsservices. Führt ein Nutzer also eine unbekanntes Programm aus, so blockiert die Whitelist die Ausführung nicht direkt, sondern versucht anhand von Informationen z.B. aus der Cloud, zu erkennen ob diese Anwendung tatsächlich schon als schädlich oder gutartig bekannt ist. In den meisten Fällen können nämlich für neue Anwendungen automatisch Freigaben erteilt werden, ohne dass der Nutzer dies mitbekommt oder in seiner Arbeit gehindert wird. Sind keine entsprechenden Erkenntnisse vorhanden oder handelt es sich tatsächlich um Schadcode wird die Software natürlich trotzdem blockiert.
Der Administrator der AWL-Lösung ist bei der Vorkonfiguration aber auch immer in der Lage, bestimmte vertrauenswürdige Anwendungen von vornherein von diesem Prozess auszuschließen. Auch wenn diese prinzipiell vertrauenswürdig sind. Spiele und andere unerwünschte Software kann so vom automatischen Lernen ausgeschlossen werden. Versucht der Endbenutzer so verbotene Software zu installieren, wird ihm das nicht gelingen, auch wenn die Software gutartig ist. Dies alles kann unter Beibehaltung der standardmäßigen "Default-Deny" Schutzfunktionen, die das gesamte System schützt, durchgeführt werden.

Vorurteil Nummer 4:

Entwickler können ihrer Arbeit nicht mehr nachgehen

Der Großteil der Dateien, die Nutzer im Rahmen ihrer Arbeit erstellen und bearbeiten, sind lediglich Daten die nicht ausführbar sind. Entwickler jedoch erstellen ausführbaren Code als Teil ihrer täglichen Arbeit. Unbekannter ausführbarer Code ist aber genau das, was AWL-Lösungen blockieren. Die vorher genannten Reputationsdienste nützen hier nichts, denn woher soll die gerade erstellte Software dort bekannt sein? Bei richtiger Vorgehensweise können auch Entwickler AWL zum Schutz ihrer Systeme verwenden, ohne ihre normale Arbeit zu beeinträchtigen.

Der einfachste Weg, Entwickler zu integrieren, ist den generierten Code zu signieren. Wenn ein Entwickler zum Beispiel Visual Studio für die Entwicklung verwendet, bedeutet das Vertrauen in Signatur mit der Visual Studio jedem kompilierten Code unterschreibt, dass jeder so signierte und ausführbare Code automatisch zur Whitelist-Datenbank hinzugefügt und zur Ausführung freigegeben werden kann.

Andere Lösungsansätze sind sogenannte Lernbenutzer. Das Anstarten einer unbekannten Software wird statt mit dem angemeldeten Nutzer einfach mit einem speziell berechtigten AD Nutzer durchgeführt. Alles was im Nutzerkontext dieses Lernbenutzers ausgeführt wird darf auch auf die Whitelist aufgenommen werden.

Eine komplett andere Möglichkeiten bietet die physische Trennung von Entwicklungsumgebungen vom Rest des Netzes. In einer DMZ braucht man keinen Schutz durch die AWL Lösung.

Vorurteil Nummer 5:

Application Whitelisting verlangt die komplette Konzipierung eines Netzwerks zu ändern.

Auch bei diesem Vorurteil kann nur wiederholt werden: für eine schlechte AWL Lösung mag das zutreffen. Ein gutes Whitelisting Produkt arbeitet nahtlos mit der bestehenden Netzwerk- und Hardwarearchitektur zusammen und integriert sowohl Softwareverteilung als auch Systemmanagement. Denn eine Whitelisting Lösung muss lediglich mit den verwendeten Tools bekannt gemacht werden, alles andere geschieht dann automatisch.

Vorurteil Nummer 6:

Application Whitelisting und bestehende Antivirus Lösungen können nicht parallel betrieben werden. 

Es gibt keinen Grund, warum Whitelisting und das Blacklisting von Virenscannern nicht parallel arbeiten sollten. Es wird sogar häufig die Empfehlung ausgesprochen beide zur gleichen Zeit zu verwenden. AWL schützt proaktiv vor Zero-Day-Angriffen, die Virenscanner andernfalls durchlassen würden. Der Virenscanner kann von der Whitelist blockierte Schadsoftware schließlich von den Endpoints entfernen, ohne dass irgendjemand dafür einen Finger rühren muss. Aus technischer Sicht sollten alle AWL-Lösungen neben allen Blacklist-Lösungen gut funktionieren. Ob es tatsächlich sinnvoll ist beide parallel zu betreiben ist wahrscheinlich eine Frage der Einstellung und der finanziellen Mittel. Der Schutz den Whitelisting bietet macht den Virenscanner überflüssig.

Vorurteil Nummer 7:

Application Whitelisting kann durch Skripte leicht umgangen werden.

Das ist einfach nur falsch. Jedes moderne AWL Produkt wird die Fähigkeit beinhalten, bestimmte Programme (Interpreter) in der Nutzung zu beschränken. Diese Option wird Application Control genannt. Nur bestimmte User wie Administratoren beispielsweise sind über Application Control in der Lage einen Interpreter wie PowerShell überhaupt auszuführen. Alle anderen User können das für das Skript notwendige Programm erst gar nicht ausführen. Es gibt sogar Lösungen die sämtliche Skripte verweigern können, jedoch wird diese Option nur in den seltensten Fällen überhaupt aktiviert, da das Blockieren von Skripten mit unter zu Problemen führt, die vorher nicht abzusehen sind. Skripte stellen überdies auch keine permanente Bedrohung für einen Endpoint dar, sobald der betroffene PC auf dem ein schadhaftes Skript läuft neu gestartet wird, ist auch das Skript wieder inaktiv.

Vorurteil Nummer 8:

Anwendungen die bereits auf der Whitelist stehen können genutzt werden um das Whitelisting zu umgehen.

Ähnlich wie bei der potenziellen Bedrohung durch Skripte würden ernstzunehmende Hersteller einen so offensichtlichen Weg die eigene Sicherheitslösung zu umgehen nicht in ihre Produkte einbauen. Obwohl Betriebssystemkomponenten natürlich ausgeführt werden dürfen, so sind diese oft nur für den Start eines Angriffs in Verwendung. Der Code der den tatsächlichen Angriff dann ausführen soll, kann wiederum nicht gestartet werden da er unbekannt ist.

Vorurteil Nummer 9:

Application Whitelisting kann während Änderungen an Systemen umgangen werden.

Dieses Vorurteil ist auf die Funktionsweise früherer AWL-Lösungen zurückzuführen. Wenn der Administrator eine genehmigte Systemänderung vornimmt, wie z.B. die Installation eines neuen Softwarepakets, wurden die Schutzvorkehrungen vorübergehend aufgehoben, so dass die Änderungen erlernbar werden. Während dieses genehmigten Lernprozesses könnten schädliche Programme die auf die Whitelist angelernt wurden gemäß der aktualisierten Whitelist ausgeführt werden. Moderne AWL-Lösungen aber lernen nur noch die Änderungen die durch die neuen Bestandteile des Updates angefragt werden und prüfen diese gleichzeitig. Parallel ausgeführte Schadprogramme werden als unbekannt oder als bekannt und schädlich blockiert.

Vorurteil Nummer 10:

Application Whitelisting benötigt sehr viel Performance.

Diese Behauptung ist bei keiner AWL-Lösung zutreffend. Dies gilt insbesondere im Vergleich zum Overhead, der bei Blacklist-Lösungen anfällt. Damit ein Virenscanner eine Datei überprüfen kann, um diese zuzulassen oder zu blockieren, muss im einfachsten Fall der gesamten Dateiinhalt mit einer Signaturdatenbank für jede jemals identifizierte Malware-Variante abgeglichen werden. Das ist keine leichte Aufgabe und es ist das, was die CPU auf jedem System wo der Virenscanner läuft tun muss, um eine Schutzfunktion zu gewährleisten.
Damit ist noch nicht auf wesentlich aufwändigere Prüfmethoden wie Sandboxing, heuristische Analysen oder Deep Learning eingegangen worden. Zudem muss der Virenscanner immer alle Dateitypen prüfen, Sie geben also immer einen Vollzugriff auf alle Ihre Daten.

Bei AWL muss das Binary einer ausführbaren Datei nur einmalig durch durch einen Algorithmus in einen Hash umgewandelt werden. Diese Methode ermöglicht die eindeutige Identifizierung des Programms, weil jedes Programm einen anderen Hash ergibt. Man kann sich das ganze vereinfacht wie eine Quersumme vorstellen bzw. wird oft vom elektronischen Fingerabdruck des Programms gesprochen. Dieser Hash wird dann einfach an die Whitelist Datenbank gesendet und abgeglichen. Wenn der Hash nicht auf der Whitelist ist, wird das Programm welches diesen Hash erzeugt blockiert. Dieser Vorgang dauert weder lange (ca. 30ms) noch benötigt das Erzeugen des Hashs viel Performance.

Fazit

Dieser Ausschnitt an Vorurteilen beleuchtet nur die am meisten genannten im Zusammenhang mit Application Whitelisting Lösungen im Allgemeinen und seculution im speziellen. Anhand dieser 10 Vorurteile kann man allerdings sehr gut klar machen, dass diese entweder nicht mehr zutreffend oder komplett aus der Luft gegriffen sind. Inzwischen wird Whitelisting sogar als primäre Antivirus Lösung noch vor Virenscannern empfohlen, da die Bedrohungslage heutzutage eine andere Herangehensweise in der IT-Sicherheit benötigt.

SecuLution auf der it-sa 2018: Neues Release mit Höchstmaß an Virenschutz Werl/Nürnberg, 4. September 2018 – SecuLution, ein führender ...


SecuLution auf der it-sa 2018: Neues Release mit Höchstmaß an Virenschutz

Werl/Nürnberg, 4. September 2018 – SecuLution, ein führender Anbieter für Application-Whitelisting-Lösungen, präsentiert auf der diesjährigen it-sa (9. bis 11. Oktober 2018) in Nürnberg die neue Version seiner patentierten Endpoint-Security- und Antivirus-Software „SecuLution“. Das aktuelle Release punktet gleich in zweifacher Hinsicht: Der Administrationsaufwand geht gegen Null, und es liefert gleichzeitig ein besseres Schutzniveau, als es sämtliche Virenscanner bieten.

Zur Pressemitteilung

Entdeckt in einem Tweet. Zahl der Woche: "Durchschnittlich 180 Tage vergehen durchschnittlich bis eine Schadsoftware im Netzwerk ent...

Entdeckt in einem Tweet. Zahl der Woche: "Durchschnittlich 180 Tage vergehen durchschnittlich bis eine Schadsoftware im Netzwerk entdeckt wird." Twitterte ein deutscher Virenscanner Hersteller. Das sind Zahlen die FireEye in seinem aktuellen M-Trends Report für 2017 der EMEA Region bescheinigt. 

Jetzt fragen wir uns doch ernsthaft: Warum sollte man so ein Ergebnis veröffentlichen wollen, wo doch überall die Virenscanner sich gegenseitig mit Erkennungsraten übertrumpfen und in den vergangenen drei Jahren allen Nutzern glaubhaft versicherten alles im Griff zu haben.
Nun aber zu diesem Report. Man kann das Ganze hübsch aufbereitet hier einsehen oder herunterladen. Auch ohne die Angabe seiner Kontaktdaten.

Lediglich in Amerika sind die Tage von der Attacke bis zur Erkennung weniger geworden im Vergleich zum Vorjahr (99 Tage 2016 vs. 75,5 Tage 2017, Abb. 1). Von den APAC Ländern gar nicht zu reden (172 Tage 2016 vs. 498 Tage 2017, Abb. 1). Interessant werden diese Zahlen wenn man sich die Datenquellen anschaut, denn wir wissen ja man soll keiner Statistik glaube, die man nicht selbst manipuliert hat. Wir haben uns dann mal diesen Report näher angeschaut, weil uns das zusammen mit allen Marketing Versprechen und den hoch angepriesenen Next Generation IT-Security Lösungen doch sehr gegenläufig erscheint.

Abbildung 1 | Quelle´: FireEye M-Trends 2018

Eine Player aus der scheinbar unendlichen Reihe der Sicherheits Software Hersteller attestiert allen Produkten in diesem Report quasi die Unfähigkeit. Die untersuchten Unternehmen können nur sehr träge auf Sicherheitsrelevante Vorfälle reagieren. Scheinbar der Beleg dafür, dass sie den Marketing-Gags der Hersteller von IT-Security Produkten auf den Leim gegangen sind. Nicht genug damit, die Unternehmen können "durchschnittlich 180 Tage" nicht sagen dass in Ihrem Netzwerk eine Schadsoftware ihr Unwesen treibt.
Ebenfalls wichtig in diesem Zusammenhang, wie viele Datenpunkte werden zur Bildung dieser Ergebnisse herangezogen (Abb. 2)?

Abbildung 2 | Quelle´: FireEye M-Trends 2018


Es werden insgesamt 8 Industriezweige untersucht, plus ein nicht weiter definierter Datenpunkt, der mit "Other" betitelt ist, allerdings mit 15% einen sehr großen Umfang innerhalb der insgesamt 9 Quellen einnimmt.
Weiterhin lässt sich aus der Aufschlüsselung der Industriezweige jeweils einen sehr abweichende Zahl der beobachteten Regionen erkennen (Abb. 3).
Ein Beispiel, der Finanzsektor. In Nord und Süd- Amerika (Americas) nimmt dieser Sektor 17% des Datenpunktes ein. In den APAC Staaten sind es 39% und in der EMEA Region 24%, also irgendwo zwischen den anderen beiden.
Die krasseste Abweichung zeigt der Gesundheitssektor mit 12% Americas, und lediglich 2% in den Regionen APAC und EMEA. Alleine diese Tatsache verfälscht die Ergebnisse in eine Richtung die weniger aussagekräftig ist als man von einer solchen Untersuchung erwarten würde. Aber manchmal hat man eben aus bestimmten Branchen mehr Daten als aus anderen. Immerhin kann man sich als denkender Mensch diese Zahlen hier ansehen und sich dann selbst überlegen was man davon hält.

Abbildung 3 | Quelle´: FireEye M-Trends 2018

Nun weiß man wie viel Prozent in welchem Industriezweig denn vermehrt beobachtet wird und auch in das Reporting als Datensatz eingeflossen ist. Man findet aber an keinem einzigen Punkt im Bericht die absolute Größe der Datenpunkte, also die Menge der Unternehmen die hier untersucht werden. Woher weiß man zum Beispiel, dass die Zahlen für Nord- und Südamerika nicht wesentlich größeren absoluten Mengen von Unternehmen entsprechen und somit größere Ausreißer hier nicht so ins Gewicht des Gesamtergebnisses fallen?
Da FireEye eine amerikanische Firma ist, wird sie dem durchführenden Tochteruntenehmen Mandiant vermehrt Zugriff zu Daten der Region verschaffen können. Entsprechend kann man für die Regionen EMEA und APAC mutmaßlich nur auf wesentlich dünner besetzte Datenpunkte schauen. Das alleine führt dazu, dass eine Region (Americas) im Vergleich zu anderen Regionen vergleichsweise gut abschneidet.

Insgesamt sagt dies aber rein gar nichts über die nachträglich auch noch angezeigte Zeit für die globale Reaktion in Unternehmen beim Entdecken von Schädlingen aus. Hier wird exakt das gleiche getan wie bereits bei den extrem unterschiedlich repräsentierten Datenpunkten der drei Regionen.

Die Bandbreite der Reaktionszeiten wird stumpf aufaddiert und dann durch drei geteilt. Tadaaaa! Weltweit ist die Zeit von der Infektion bis zum Entdecken eines Angriffs seit 2016 "nur" um zwei Tage gestiegen. Auf 101 Tage (Abb. 4). Wo ist die Nachricht die es Wert wäre verbreitet zu werden?

101 Tage weltweiter Durchschnitt vom Angriff bis zur Erkennung? Ernsthaft?

Abbildung 4 | Quelle´: FireEye M-Trends 2018


Das sind über drei Monate, 14 Wochen, OHNE Erkennung. Ausreißer wie die APAC Daten (498 Tage oder über 16 Monate) mal außen vorgelassen und die recht bescheidene Gesamtgrundlage ebenfalls.

Aber jetzt kommt das Beste. Die Art der Erkennung wird jetzt noch aufgeschlüsselt (Abb. 5). In "Interne Erkennung", "Externe Benachrichtigung" und "Alle Benachrichtigungen". Denn hier liegt endlich der "große Erfolg". Die internen mittlere Erkennungszeit liegt nämlich gegen den Trend um 80 Tage unter der des Vorjahres. Ob das stimmt, muss man sich allerdings selber heraussuchen, die Vergleichszahlen werden in diesem Report nämlich erst gar nicht aufgeführt. Es wird lediglich im Fazit darauf hingewiesen.

Abbildung 5 | Quelle´: FireEye M-Trends 2018


Also weiß man jetzt, dass eigentlich weltweit neue Schädlinge generell schlechter erkannt werden, aber die interne Erkennungsrate sich zum Glück wesentlich verbessert hat. Was im Umkehrschluss nur heißt, wir erhalten viel weniger Informationen über Angriffe von Extern und erkennen intern inzwischen besser dass etwas verkehrt ist. Unterm Strich aber ist 2017 weltweit wieder schlechter bei der Erkennungsrate (Abb. 6). Was ein Ergebnis.


Abbildung 6 | Quelle´: FireEye M-Trends 2018


Weiterführende Links:
How to tell when statistics are bullshit – https://www.vice.com/en_us/article/5g9evx/statistics-more-or-less-tim-harford

FireEye M-Trends Report 2018 – https://www.fireeye.com/current-threats/annual-threat-report/mtrends.html






Bild: allcore.ca Unternehmen in Deutschland verlieren zunehmend die Übersicht in einem Bereich in dem sie traditionell schon nich...




Bild: allcore.ca


Unternehmen in Deutschland verlieren zunehmend die Übersicht in einem Bereich in dem sie traditionell schon nicht gut aufgestellt sind. Die Rede ist von IT-Sicherheit. Aber was ist überhaupt IT-Sicherheit im Jahr 2017?


Es gibt nicht die eine IT-Sicherheit. Bereits seit Jahren ist IT-Sicherheit in Unternehmen ein Bereich der Expertenwissen erfordert. Kleinere Unternehmen leisten sich jedoch aus wirtschaftlichen Gründen "Allrounder", so schwer kann das doch nicht sein. Dieses Denken ist allerdings so überholt wie das Funktionsprinzip des Virenscanners. Viele IT-Verantwortliche wissen um diesen Mangel und kämpfen täglich für mehr und besser spezialisiertes Personal in ihrer Abteilung, jedoch kapitulieren viele in diesem aussichtslosen Kampf da sie kein Gehör finden.

Unternehmen suchen immer noch Full-Service


Full-Service hört sich nach einem genialen Modell an, gerade was die Kosten-Nutzen Seite angeht. Von der Werbeagentur bis hin zum Angestellten. Wer viele Kompetenzen in Personalunion vereint, der kann dem Unternehmen nur nutzen. Rein rechnerisch mag das bis zu einem gewissen Punkt auch gelten.

Schaut man sich die durchschnittliche EDV eines deutschen Mittelständlers an, stellt man oft genug fest, dass absolut solide und sinnvolle Arbeit geleistet wird. Die Abteilungen sind durch die oft traditionell bescheidenen Personalschlüssel und knappen Budgets so hocheffektiv, dass niemandem auffällt das es ein Problem gibt. Es funktioniert schließlich alles.

Alles heißt zum Beispiel die Administration und Anlage von Benutzerkonten, Verteilung, Wartung und Support von Fachanwendungen, Konfiguration von Routern damit das geliebte Internet auch sicher funktioniert, bis hin zur Betreuung der Hardware, denn die muss einwandfrei laufen. Das alles funktioniert tadellos.

IT-Mitarbeiter sind oft mit Aufgaben überfrachtet
andertoons.com

Full-Service gleich IT-Sicherheit?


Das alles ist aber nicht IT-Sicherheit, das ist wie Luft zum atmen oder Füße zum laufen. Auch wenn ich mich wiederhole, das eben Beschriebene lastet EDV-Abteilungen – die oft aus maximal 4 Mitarbeitern bestehen (und das ist viel) – bis an ihre Grenzen aus.

Und was ist jetzt mit der IT-Sicherheit? Die meisten IT-Kräfte kennen Grundlagen wie die Verschlüsselung von Kommunikation, Rechteverwaltung und wissen, dass IT-Sicherheit mehr ist als Passwörter zu vergeben. Tiefgreifendes Wissen ist aber etwas anderes.

Der geneigte Leser versteht: das ist das Problem.

Viele Mitarbeiter der EDV-Abteilung, sind keine Experten in IT-Sicherheit. Das war in der Zeit der Ausbildung der meisten Mitarbeiter auch überhaupt nicht notwendig. Digitalisierung hieß eben eine funktionierende IT-Infrastruktur zum Laufen zu bringen und diese am Laufen zu halten. Die Sicherung der Systeme kam immer Stück für Stück hinzu und auf einmal sind Experten gefragt, die funktionierende Konzepte entwickeln und umsetzen sollten. Diese Aufgabe wird nach wie vor erfüllt, jedoch benötigt es ein wenig mehr um ein Netzwerk abzusichern. Eine gute Infrastruktur ist da nur die Grundlage. Das Konzept sollte immer davon ausgehen, dass etwas schief gehen könnte was nicht durch Fehler in der Administration verursacht wurde, sondern durch die Aktionen von Dritten. Netzwerke sollten also von Anfang an mit dem Fokus auf Sicherheit entworfen und aufgebaut werden. Die Realität zeigt aber, dass in gewachsenen Strukturen umgebaut und optimiert werden muss. Denn es muss ja immer möglich sein für alle Mitarbeiter und Prozesse produktiv zu arbeiten. Die berühmte Tabula Rasa auf der ein komplett neues Netz entworfen und konzipiert werden kann ist daher die Ausnahme.

Wer macht denn nun was?


Was macht die IT-Abteilung den nun? “Die machen eben die IT.” Wofür genau die Mitarbeiter dieser Abteilung zuständig sind weiß aber niemand genau. Bestenfalls wäre die Antwort dann so etwas wie „Die sind eben dafür zuständig, dass unsere PCs, Server und alles was da dran hängt funktioniert und dass alle vernünftig arbeiten können“.

Den Betrieb aufrecht erhalten und auch mal etwas hinzuzufügen oder altes zu ersetzen, das macht die IT-Abteilung. Genau das war auch zu Beginn der Digitalisierung die Aufgabe. Wöchentlich neue Schadsoftware, von der keiner weiß was sie als nächstes tut gab es damals nicht. Inzwischen ist das aber die Realität und es ist auch mehr als klar, dass es diese Schadsoftware die EDV betrifft. Und wer ist dafür zuständig? Die IT-Abteilung.

Wenn diese IT-Abteilung jedoch in der Vergangenheit darum kämpfte dem Bereich der IT-Sicherheit mehr Raum zu geben war das Ergebnis oft ernüchternd. Lehrgänge, Schulungen und die ein oder andere Neuanschaffung im Bereich Firewall oder Antivirus Software. Als als eigenständige Disziplin kann man das wohl kaum angesichts der aktuellen Bedrohungslage bezeichnen. Bestenfalls sind die Mitarbeiter der IT nur noch mehr ausgelastet bzw. belastet. Da es lediglich mehr Arbeit für immer noch die selben Personen gibt. Nur allzu oft folgten daraus spektakuläre Sicherheitsvorfälle die so niemand antizipieren konnte, schlicht und ergreifend weil die Personalkompetenz fehlte.

Jeder sollte heute verstehen, dass es Verluste bedeutet, wenn durch Schadsoftware oder ausgefallene Hardware keine Rechnungen verschickt oder Produkte hergestellt werden können. Betriebswissen oder Geschäftsgeheimnisse sind aber bereits eine Indirektionsstufe höher angesiedelt. Wer will denn unser Firmenwissen schon haben. Die “Das haben wir aber schon immer so gemacht” Mentalität ist immer noch allgegenwärtig – auch in der IT.
Zusammen sind wir stärker

Das Problem: Sicherheit braucht Zeit und eine Mitarbeiterschaft, die auch unbequeme Maßnahmen mitträgt. Wenn die IT-Abteilung an der Belastungsgrenze ist, wird zuerst das nach hinten gestellt was am meisten Zeit beansprucht und gleichzeitig am wenigsten kritisch für die Aufrechterhaltung des Betriebes ist. Sicherheitsmaßnahmen also. Administratoren können oft schon dann kein Gehör mehr finden, wenn entweder Angestellte oder gar der Geschäftsführer sich durch beschriebene Maßnahmen zur Steigerung der Unternehmenssicherheit behindert oder eingeschränkt fühlen.

Neben den beschriebenen Aufgaben wachsen die Anforderungen an die Sicherheit aber beständig. Sicherheit ist aber spätestens seit Locky kein Nebenschauplatz in der IT. Man kann das Thema Sicherheit nicht nebenbei im Full-Service betreuen. Experten wie der Netzwerkadministrator es für alle Komponenten und Fragen der Betriebskontinuität ist müssen her. Die werden aber nicht eingestellt, weil aus Sicht der Geschäftsführung IT-Sicherheit eben auch einfach von der IT-Abteilung mitgemacht werden kann.

Geschäftsführer haben also die Möglichkeit Experten einzustellen, eigene Mitarbeiter durch entsprechende Ausbildung zu Experten zu machen und gleichzeitig von ihren bisherigen Aufgaben zu befreien oder den Sicherheitsexperten als Dienstleistung von Extern einzukaufen. Gerade die letzte Option kann für kleine Betriebe sinnvoll sein, die schlicht und ergreifend keine Mittel für eine eigene Stelle des Sicherheits-Experten haben.

Wenn die Geschäftsführung bei diesen Maßnahmen mit an Bord ist, wird es auch der IT-Abteilung leichter fallen entsprechende Maßnahmen zu ergreifen und auch gegen Widerstand aus der Mitarbeiterschaft durchzusetzen.

Was folgt daraus?


IT-Sicherheit soll unter keinen Umständen vernachlässigt werden. Die meisten Unternehmen haben jedoch auf Grund Ihrer eigentlichen Geschäftsfelder ihre Kernkompetenz naturgemäß nicht im Bereich IT-Sicherheit. Einfach zu bedienende und effektivere Lösungen können das bereits vorhandene Personal erheblich entlasten, aber auch externe Dienstleister die speziell mit der Betreuung der IT-Sicherheit beauftragt werden, können hier bereits helfen die Sicherheit zu steigern. Denn in Zukunft werden die Anforderungen an die IT und damit auch an die IT-Sicherheit nicht weniger werden, eher im Gegenteil.

Statt Full-Service sollten also auch zunehmend Spezialisten und moderne Sicherungslösungen in den Blick der Betriebe und Dienstleister rücken wenn es um Personalentscheidungen geht. Die Belastung des Budgets kann heute also kein Grund mehr dafür sein, kein tragfähiges IT-Sicherheitskonzept mit den entsprechenden Mitarbeitern vorweisen zu können. Vielmehr sollten mögliche Folgekosten von Sicherheitsrelevanten Vorfällen die treibende Kraft für die Entscheidung sein, Expertenwissen und moderne Schutzmechanismen im Unternehmen zu integrieren.

Klassische Antivirus Lösungen sind zunehmend in der Kritik und neue Meldungen über erfolgreiche Angriffe auch auf namhafte Unternehmen wie...

Klassische Antivirus Lösungen sind zunehmend in der Kritik und neue Meldungen über erfolgreiche Angriffe auch auf namhafte Unternehmen wie Daimler und Reckitt Benckiser reißen nicht ab. Trotzdem werden 100% der IT Verantwortlichen die Frage "Wie sichern Sie ihre Endpoints?" antworten, dass sie eine aktuelle Virenscanner Lösung verwenden.
100% der Hersteller dieser Lösungen haben bereits nach den ersten Angriffswellen durch die Ransomware Locky versprochen ihre Lösungen so weiter zu entwickeln, dass diese vor erneuten Angriffen schützen werden. Das die Hersteller diese Versprechen nicht einhalten konnten, ist seitdem regelmäßig in den Nachrichten zu verfolgen.


AKTION #BYOM – Bring Your Own Malware
SecuLution startet nun auf der Cloud Security Expo ab dem 28.11.2017 in Frankfurt den Gegenbeweis, nämlich dass man sich sehr wohl effektiv schützen kann. Erfahren Sie mehr in der Pressemitteilung:

Zur Pressemitteilung

In letzter Zeit werden wir immer wieder von besorgten Kunden, aber auch Interessenten und vor allem von Messebesuchern auf das Thema Fi...


In letzter Zeit werden wir immer wieder von besorgten Kunden, aber auch Interessenten und vor allem von Messebesuchern auf das Thema Fileless Malware angesprochen. Zuletzt erst auf der it-sa 2017. Daher hier ein kleiner Beitrag dazu.


Vorab:
Keine Sorge, SecuLution schützt Sie!

Damit dies aber nicht wie ein reines Marketing-Versprechen wirkt, müssen wir technisch etwas ausholen:

Prinzipiell kann keine Sicherheitslösung grundsätzlich die Ausführung von Schadcode verhindern, wenn dieser Schadcode durch Ausnutzung einer Sicherheitslücke in einer erlaubten Software nur im Speicher dieser Software ausgeführt wird, ohne eine Datei auf Platte zu speichern. Eine derartige "dateilose Infektion" war also schon immer möglich und wird auch zukünftig immer möglich sein, da die x86 und die x64 Architektur (und damit Windows) nun mal so designt sind. Aber diese Angriffe benötigen (bis heute) immer Tools wie z.B. Powershell, deren Ausführung durch SecuLution beschränkt wird, sodass im Endeffekt SecuLution auch Schutz vor allen bisher bekannten dateilosen Infektionen bietet.

SecuLution schützt Sie nach wie vor bestens.

Aber wie groß ist die Bedrohung denn überhaupt, sagen wir mal für Ihren PC Zuhause?
Gerade weil eine solche "dateilose Infektion" keine Datei auf dem Rechner ablegt, ist ein erfolgreicher Angriff immer nur bis zum nächsten Reboot aktiv, somit also temporär. Genau das kann ein Angreifer aber nicht gebrauchen, denn wenn der Rechner neu gestartet wird, ist der Angriff zunichte gemacht. Daher ist die dateilose Infektion bisher eher ein akademisches Forschungsfeld als eine realistische Bedrohung. Denn der Angreifer muss darauf trauen, dass der Anwender seinen Rechner oder die ausgenutzte Anwendung (z.B. Browser) nie neu startet. Es gibt (so gut wie) keine dokumentierten Vorfälle von erfolgreichen Angriffen mittels einer dateilosen Infektion. Einzig ein gezielter Angriff auf einige Banken, die ihre Rechner nie neu gestartet hatten, ist bekannt.
Und dieser Angriff wäre von SecuLution verhindert worden, wenn die Banken SecuLution eingesetzt hätten.

Was können Sie heute tun, um gegen eventuellen Angriffen gewappnet zu sein?
Mit SecuLution sind Sie bereits optimal geschützt, denn SecuLution bietet Ihnen als Whitelisting Lösung nicht nur den Schutz, dass sämtliche unbekannte Programme nicht gestartet werden können, sondern sorgt auch dafür, dass Angriffe, die die PowerShell verwenden, scheitern.

Zitat:
"Diese Payload startete die Powershell, die dann über WinAPI-Aufrufe Speicher reservierte und diesen mit Tools wie Meterpreter und Mimikatz bestückte."


Das alles kann unter SecuLution nicht passieren, wenn Sie unserer Empfehlung folgen und die Ausführung der Powershell per Application Control auf Administratoren beschränken: PowerShell mit Application Control einschränken

Auch wenn jetzt immer noch Zweifel bestehen, rufen wir Sie hiermit auf unsere Aussagen bezüglich der Sicherheit von SecuLution selbst nach zu prüfen. Testen Sie unsere Lösung in Ihrem Netzwerk 8 Wochen lang kostenlos und probieren Sie eigene Angriffe aus.

Wir gehen noch einen Schritt weiter. Besuchen Sie uns am 28. und 29. November auf der Cloud Security Expo in Frankfurt und bringen uns Ihre Malware auf einem USB Stick mit. Sie dürfen diese selber an einem durch SecuLution geschützten PC starten. 

Für kostenlose Eintrittskarten inkl. eines Snacks und weiterer Vorteile registrieren Sie sich bitte hier: www.cloudexpoeurope.de/seculution

SecuLution auf der Coud Security Expo 2017 in Frankfurt

Die Anforderungen an Industrie 4.0 sind von Branche zu Branche unterschiedlich. Allen gemein ist die Herausforderung die immer dichter v...


Die Anforderungen an Industrie 4.0 sind von Branche zu Branche unterschiedlich. Allen gemein ist die Herausforderung die immer dichter vernetzten Dienste effektiv gegen Angriffe zu schützen. Das Whitelisting von Applikationen bietet dieses Potenzial.

In einem unserer letzten Beitrag haben wir uns auf eine Reaktion der jüngsten Ereignisse im Mai, ausgelöst durch WannaCry, beschränkt. Fast ...

In einem unserer letzten Beitrag haben wir uns auf eine Reaktion der jüngsten Ereignisse im Mai, ausgelöst durch WannaCry, beschränkt. Fast zwei Monate später haben sich lediglich die Namen der Schädlinge geändert. Prominente Opfer wie Milka oder Metabo, deren Produktionen tagelang still standen und deren übrige Infrastruktur bis hin zur Telekommunikation ebenfalls über Tage gestört war, sind nur die Spitze des Eisberges.

Wenn Unternehmen dieser Größe sich nicht sinnvoll gegen solche Angriffe schützen können, was kann dann unsere eigene Regierung mit ihrem Staatstrojaner auf allen möglichen Geräten anstellen?

Grundsätzlich gilt hier wieder, wer auf eine moderne Endpoint Sicherheitslösung wie z.B. Application Whitelisting setzt, ist per se schon besser geschützt. Wiederholt hat sich gezeigt, dass die immer noch zu nahezu 100% eingesetzten Virenscanner in keinster Weise verhindern, dass Schadsoftware egal welcher Art, Systeme komplett infiltriert und Betriebe über Tage und Wochen handlungsunfähig macht.

Ein Artikel zum Thema Staatstrojaner vom IT-Security Experten Adrian Janotta des gleichnamigen Unternehmens Janotta & Partner führt das Whitelisten von Software ebenfalls als einzig wirkungsvollen Schutz nicht nur vor dem Staatstrojaner an. Der komplette Beitrag ist hier zu finden: https://janotta-partner.at/blog.Staatstrojanern.html

Aber nicht nur Sicherheitsexperten sind sich hier einig, zunehmend etabliert sich Whitelisting auch in kleinen und mittelständische Unternehmen (KMU) die eine solche Attacke nur schwer oder mit erheblichen Auswirkungen auf die folgenden Jahre überleben würden.

Wer mehr zum Thema Whitelisting erfahrne möchte kann sich zudem in der aktuellen Ausgabe der über verschiedene Ansätze dieser Technik informieren. Im Themenspecial "Malware: Trends und Abwehr" widmet die Redaktion mehrere Beiträge diesem Thema, unter anderem in einem Beitrag über Application Whitelisting. Hier gehts zum Heft: https://www.kes.info/aktuelles/kes/

Was für eine Messe, was für ein super Publikum, was für eine beeindruckende Location. Doch wie unbekannt Application Whitelisting auch...



Was für eine Messe, was für ein super Publikum, was für eine beeindruckende Location.

Doch wie unbekannt Application Whitelisting auch im internationalen Business noch ist, bestärkt uns weiter unermüdlich auf Fachmessen und Vorträgen Aufmerksamkeit für SecuLution und unsere gleichnamige Application Whitelisting Software zu wecken.

Die Londoner Olympia Hall aus dem späten 19. Jahrhundert liegt im Westen von Londons Zentrum, genauer gesagt zwischen Hammersmith und Kensington. Bereits am ersten Tag war der Besucheransturm überwältigend, trotz typischem Londoner Regenwetter.

SecuLution war dieses Jahr das erste mal als New Exhibitor auf der Galerie der beeindruckenden Halle mit dabei. Unser Eckplatz, in der Nähe der Treppen hat natürlich geholfen interessierte Besucher mit unserer Application Whitelisting Lösung vertraut zu machen. Dennoch waren wir überwältigt vom Besucheransturm und den sehr gut vorbereiteten Besuchern an diesem ersten Tag, ebenso wie an den Folgetagen.

Unsere Tech Showcases auf einer der vielen Bühnen, waren ebenfalls oft Stein des Anstoßes für Interessenten, sich unsere Lösungen genauer anzuschauen. Ein Video hierzu folgt in den nächsten tagen ebenfalls.

Wir konnten viele neue Kontakte knüpfen und hatten eine großartige Woche in London. Die Info Security Europe wird auch 2018 eines unserer Ziele sein. Bis dahin haben wir eine Menge zu tun, freuen uns aber trotzdem das Thema Applicaion Whitelisting auch an unsere internationalen Interessenten und Kunden heran tragen zu können.

Eigentlich sind wir gerade dabei unseren nächsten Messeauftritt in London vom 6. bis 8. Juni vorzubereiten. Gestern Abend am 12. Mai erre...


Eigentlich sind wir gerade dabei unseren nächsten Messeauftritt in London vom 6. bis 8. Juni vorzubereiten. Gestern Abend am 12. Mai erreichten uns jedoch erste Berichte aus England, es seien einige Krankenhäuser wegen eines Ransomware-Befalls nicht mehr in der Lage den Betrieb aufrecht zu erhalten. Soweit heutzutage nichts ungewöhnliches. Leider.

Am Morgen des 13.Mai jedoch sahen die Meldungen schon ganz anders aus. Nicht nur England und Krankenhäuser dort sind betroffen. Ganze Großkonzerne wie die Deutsche Bahn sind befallen und zwar von ein und derselben Ransomware mit dem passenden Namen #WannaCry (Abwandlungen wie  #WanaCrypt0r und #wannacryptor bezeichnen ebenfalls diese Malware).

Warum ist das so fragen sich Reisende, Patienten und Arbeitnehmer? Hat nicht die Ransomwarewelle 2016 die Unternehmen und Betreiber öffentlicher und kritischer IT Infrastrukturen zu einem Umdenken bewogen und es werden Maßnahmen ergriffen die ein erneutes Szenario dieser Größenordnung verhindern?

Die Antwort ist schlicht und ergreifend: Nein.

Warum ist das so? Vor allem liegt es daran, dass immer noch der Satz gilt: Geld regiert die Welt. Sicherheit kostet Geld und verdient, auf den ersten Blick, kein Geld. Also wird nicht, oder nur halbherzig "etwas getan" damit alle sich wieder dem zuwenden können was wirklich zählt. Geld verdienen. Es wird uns schon nicht treffen.

Das ist sehr verallgemeinert, zugegeben. Allerdings ist das unserer Meinung nach der Kern des Problems. Nicht Antiviren-Software Hersteller sind Schuld weil sie es nicht schaffen, einem Prinzip das so alt ist wie der Computer selbst, die Erkennung von unzähligen Schadsoftware Varianten beizubringen. Auch nicht das Marketing dieser Hersteller, das genau das tut was alle tun. Richtig Geld verdienen, indem Neues mit tollen Versprechen gezeigt und pompös verkauft wird.

Punchline "Ihr Computer ist geschützt"

Diese Hersteller tun das, weil alle, die gerade massenhaft Geld und Vertrauen verlieren, nur eines wollen: Sparen wo es geht.
Neue Sicherheitskonzepte oder gar etwas effektiveres als einen Virenscanner einführen? Zu teuer, zu aufwändig, brauchen wir nicht. Getreu dem Motto, "Das haben wir schon immer so gemacht." Uns wird es schon nicht treffen und wenn doch, dann wird es schon nicht so schlimm sein, ist eben ein kalkuliertes Risiko heutzutage.

Gelernt haben weder Finanzmärkte nach einer Krise, noch lernen Unternehmen heute wenn es um ihre Netzwerke und deren Sicherheit geht. Doch ist das wirklich überall so?

Wir als Hersteller einer effektiven Lösung gegen Ransomware und Co. sehen auch das Gegenteil. Das Umdenken in Unternehmen und bei Betreibern kritischer Infrastrukturen. 2016 war ein tolles Jahr für uns und unsere Kunden. Und ja, natürlich haben wir Geld verdient. Wir investieren dieses Geld und unseren neuen Erfahrungen aus immer mehr Netzwerken in eine Sicherheitslösung die sich ständig weiterentwickelt und am Puls der Zeit bleibt. Wir haben Unternehmen wirklich geholfen zu sparen, und das nicht auf Kosten Ihrer Mitarbeiter und Kunden. Es wird neben Geld was nicht für Betriebsausfälle, Datenwiederherstellung und für überarbeitete Administratoren ausgegeben wird auch Stress eingespart. Durch die real geschaffene Sicherheit und auch die damit verbundene gesteigerte Produktivität, wird sogar das getan was alle am liebsten machen. Geld verdienen!

Zugegeben, wir retten die Welt nicht. Aber wir haben 2016 bewiesen, dass Ransomware gegen SecuLution keine Chance hatte und es 2017 auch nicht haben wird. Dafür tun wir alles.


Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lös...

Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lösungen in Krankenhäusern und Gesundheitseinrichtungen, ist nach 2016 der Bereich Netzwerksicherheit und Endpoint-Protection verstärkt in den Fokus der Unternehmen im Gesundheitssektor gerückt.


Nicht nur für Mediziner und Verwalter bot die conhIT also interessante Lösungen, auch die zahlreichen Mitarbeiter der IT-Abteilungen kamen voll auf ihre Kosten. Unter anderem an unserem Stand in Halle 3.2, wo sich Interessenten, Vertriebspartner, aber auch Studenten und Mitbewerber über Application Whitelisting zur Absicherung gegen unerwünschte Schadsoftware informierten.

Doch der Reihe nach. Bereits 2016 war SecuLution als Mitaussteller auf der conhIT. Nach den durchweg positiven Reaktionen und vielen Neukunden im vergangenen Jahr, haben wir unser Engagement auf der conhIT erweitert. 2017 ist SecuLution mit einem komplett neu gestalteten, eigenen Messestand vertreten.


Interessierte Besucher konnten an zwei Demo-Points die SecuLution Application Whitelisting Suite in Aktion erleben und bekamen ihre Fragen von unserem Messeteam rund um Geschäftsführer Torsten Valentin beantwortet. Hier haben sich vor allem die zahlreichen Studenten der Studienrichtungen eHealth IT, medizinische Informatik und Bioinformatik intensiv mit dem Ansatz des Application Whitelisting auseinandergesetzt. Kritische Fragen zu Schwachstellen und immer wieder bereits bekannte Gesichter mit neuen Fragen kamen zu uns.

"Sind Hash-Kollisionen wie die jüngst gefundenen bei SHA1 und natürlich auch MD5 nicht ein sicherheitsrelevantes Risiko wenn ihre Software nur anhand von Hashwerten ein Programm prüft?"
"Was passiert denn wenn ich als Angreifer den Server mit der Whitelist ausschalte oder in irgendeiner Form vom Netzwerk isoliere? Dann wären die Clients doch schutzlos weil nichts mit der Whitelist geprüft werden kann, oder?"
"Ich habe da nochmal drüber nachgedacht, wie sieht das eigentlich aus wenn ich Schadsoftware mit USB Sticks direkt ins Netzwerk bringe?"

Diese und andere Fragen zeigen, dass die zukünftigen Mitarbeiter sich intensiv mit der Materie auseinandersetzen. Die Branche kann stolz sein auf die kommende Generation von IT Spezialisten.

Doch nicht nur Studenten zeigten besonderes Interesse. Auch die gut besuchte Messeführung, die am ersten Tag bei uns Station machte und Geschäftsführer Torsten Valentin gebannt zuhörte, brachte zahlreiche Interessenten zu uns. Einer der Teilnehmer berichtete sogar, er habe IT-Sicherheit gar nicht auf seiner Agenda für die conhIT und wurde durch unsere Lösung positiv überrascht.


Alles in allem hatten wir eine großartige Woche und haben viele neue Kontakte knüpfen können. Freuen uns andererseits natürlich immer, bereits bekannte Gesichter und treue Kunden auf der Messe wieder einmal persönlich zu treffen und uns auszutauschen.

Application Whitelisting hat trotz aller positiven Resonanz noch einen weiten Weg vor sich, um als echte Alternative zu bekannten Sicherungsmethoden wahrgenommen zu werden. Das zeigt vor allem die immer noch bestehende Unbekanntheit und die vielen Vorurteile die diesem Prinzip vorauseilen.
Die conhIT 2017 war für SecuLution daher auch ein weiterer Schritt auf dem Weg, mit immer wieder angeführten Vorurteilen gegenüber Application Whiltelisting, aufzuräumen.
  • Whitelisting kann nicht nur in statischen Netzwerken eingesetzt werden, tägliche Updates und Patches stellen keine Hindernisse für die Funktionsweise dar.
  • Große Teile der Software erledigen automatisiert ihre Aufgaben, der Administrationsaufwand reduziert sich dadurch erheblich.
  • Administratoren haben wieder Kontrolle über die im Netzwerk genutzte Software.
  • Ausfallzeiten und Schäden durch unerwünschte Software gehören mit Whitelisting der Vergangenheit an. 
uvm.
Diese und andere Punkte werden wir auch zukünftig unermüdlich für den Einsatz von Whitelisting anführen. Wir bedanken uns bei den Organisatoren der Messe Berlin, uns für diese Mission wieder einmal eine großartige Plattform aufgestellt zu haben. Die conhIT 2017 war bestimmt nicht unsere letzte.

Hier noch einige Eindrücke von der conhIT 2017: 


Ende Februar 2017 verkündete eine Gruppe Forschern von Google und dem CWI Institut Amsterdam, den 1995 von der NSA freigegebenen SHA...

Hash Collision is not relevant for Software Whitelisting
Ende Februar 2017 verkündete eine Gruppe Forschern von Google und dem CWI Institut Amsterdam, den 1995 von der NSA freigegebenen SHA-1 Algorithmus in Bezug auf Kollisionsresistenz gebrochen zu haben.

Bisher galt SHA1 als sicher.

Ist das jetzt nicht mehr so?
Und was hat das alles mit dem älteren Bruder MD5 zu tun?

Unser Application Whitelisting beispielsweise nutzt das MD5 Verfahren, um z.B. eine ausführbare Datei anhand des resultierenden MD5 Hashes eindeutig zu identifizieren. Man kann das Verfahren mit einem elektronischen Fingerabdruck vergleichen. In letzter Zeit häufen sich Bedenken, dass jeder mit frei erhältlichen Programmen eine Hash Kollision zweier unterschiedlicher Datensätze erzeugen und somit das Prinzip, auf dem unsere Sicherheitslösung aufbaut, überlisten könne.
Wir möchten in diesem Beitrag erklären, warum MD5 und auch SHA-1 zwar in Bezug auf ihre Kollisionsresistenz kryptografisch gebrochen sind, aber dennoch vollkommen sicher im Bezug auf unsere Verwendung für die eindeutige Identifizierung von Computer Software sind. Der Beitrag ist keine wissenschaftliche Abhandlung über Kryptografie.

Kryptographie und Identifizierung

Eines der bekanntesten Beispiele für die kryptografische Verschlüsselung von Nachrichten aus dem letzten Jahrhundert ist sicherlich die Enigma. Es handelt sich hierbei um eine eine Rotor-Schlüsselmaschine, die im Zweiten Weltkrieg zur Verschlüsselung des Nachrichtenverkehrs des deutschen Militärs verwendet wurde. Das zugrunde liegende Verfahren wies jedoch eine Schwachstelle auf (fixpunktfreie Permutation). In der Konsequenz konnten die Alliierten alle Nachrichten über Positionen und Verlegungen der Flotten der deutschen Marine entschlüsseln, was schlussendlich zu einem der Hauptfaktoren für den Ausgang des Krieges wurde.
Prinzipiell ist jeder in der Praxis verwendete kryptographische Algorithmus “knackbar”, die Frage ist nur, ob es realistisch möglich ist, dies mit der aktuell zur Verfügung stehenden Technik tatsächlich zu bewerkstelligen. Heute gilt jedes Verschlüsselungsverfahren als gebrochen, wenn es tatsächlich durchführbar ist, den verschlüsselten Nachrichteninhalt in den Klartext zurück zu wandeln, ohne den Schlüssel zu kennen. Ein Hash Verfahren wie MD5 oder SHA-1 wird als gebrochen bezeichnet, wenn es praktisch möglich ist, Kollisionen zu erzeugen.
Genau dies ist den Forschern nun für SHA-1 gelungen. Durch Nutzung einer mathematischen Abkürzung und immer noch enormer Rechenpower, die von Google bereitgestellt wurde.
Der Angriff erforderte über 9.223.372.036.854.775.808 SHA-1 Berechnungen, die äquivalente Rechenleistung wie 6.500 Jahre Single-CPU-Berechnungen oder 110 Jahre Single-GPU-Berechnungen. Man könnte vermuten, nach Einsatz derartiger Rechenpower sei nun ein Ergebnis gefunden, das künftige Kollisionen leichter macht. Doch genau das ist nicht der Fall, durch diese Berechnungen wurde genau eine Kollision erzeugt. Jede neue Kollision von SHA-1 Hashes würde wieder den selben Aufwand nach sich ziehen.
Um eine derartige Rechenleistung zur Verfügung zu haben, benötigt man Zugriff auf Rechenzentren, wie Google, Amazon oder die NSA sie mutmaßlich betreiben. Das für diesen Angriff notwendige Brutforcing lässt sich leicht parallelisieren. So kann die theoretische Rechenzeit von 6.500 Single-CPU Jahren auf nur 110 Jahre mit Single-GPUs verteilt werden, oder einem Jahr mit 110 GPUs oder ein Monat mit 1.320 GPUs. Somit ist die Frage, ob ein Verfahren sicher ist, oder als gebrochen gelten muss, abhängig davon, ob und für wen es machbar ist, eine derartige Rechenleistung bereit zu stellen, um im Ergebnis genau einen Schlüssel zu knacken. Es mag auf den ersten Blick nach viel klingen, wenn man sagt, man müsse tausend Jahre rechnen, um einen Schlüssel zu knacken. Dennoch gibt es Organisationen, für die es nicht außer Reichweite ist, 1.300 Prozessoren einen Monat auf das Knacken eines Schlüssels zu investieren. Teuer, aber eben nicht unmachbar. 

Kollisionsresistenz und Pre-image Angriffe

Für den Anwendungszweck des Application Whitelisting wie SecuLution es bietet, trifft dies alles aber nicht zu. Wir nutzen die Eigenschaft eines Hashes, eine bestimmte Version einer Software eindeutig in einer recht kurzen Kette von Buchstaben und Zahlen eindeutig und fälschungssicher zu identifizieren. Es wird also lediglich die Masse aller verfügbaren Hashes genutzt, um eine eindeutige Identifikation zu ermöglichen. Es soll nichts verschlüsselt und entschlüsselt werden.
Um einen Angriff auf diese Technik durchzuführen, hilft dem Angreifer eine Kollision nicht. Wir erinnern uns, dass eine Kollision lediglich zwei identische Hashes erzeugt die wir darüber hinaus nicht beeinflussen können. Der Angreifer müsste aber zwingend eine Datei erzeugen, die im Ergebnis einen Hash hat, der in der Application Whitelist bereits als vertrauenswürdig eingestuft ist. Es ist also der Hash vorgegeben (Pre-Image) und der Angreifer muss eine Datei erstellen, die genau diesen Hash erzeugt. Man nennt das einen Pre-Image Angriff.
 SHA-1 und auch MD5 sind im Bezug auf ihre Kollisionsresistenz gebrochen, im Bezug auf Pre-Image Angriffe aber stehen diese Algorithmen auch heute wie ein Fels in der Brandung. Es ist nach wie vor nicht möglich Eingabedaten (z.B. Schadsoftware) zu erzeugen, die einen vorgegebenen Hash (z.B. MD5 von calc.exe) haben wird.
Pre-Image und Kollision sind zwei unterschiedliche Angriffe auf Hashes: Eine Kollision ermöglicht es, aus zwei Anwendungen unterschiedlicher Funktion einen identischen Hashwert zu generieren, aber auf den im Ergebnis erzeugten Hash kann dabei kein Einfluss genommen werden. 

Die Magie der großen Zahlen

Um diese Unmöglichkeit der Durchführung eines Pre-Image Angriffs auf MD5 besser veranschaulichen zu können, kann man folgendes tun:
Die Aufgabenstellung des Angreifers ist, eine Schadsoftware zu erzeugen, die im selben MD5 Hash resultieren soll, wie das Programm calc.exe. Es ist also der Hash von calc.exe vorgegeben. Im Falle von MD5 mit einer Länge von 128 Bit, wäre man mit Brute-Force nach 2 hoch 128 Versuchen garantiert erfolgreich.
Wählen Sie in Gedanken eine Zahl zwischen 1 und 10, und Ihr Gegenüber ist nach garantiert maximal 10 Versuchen erfolgreich, Ihre Zahl erraten zu haben. Im Durchschnitt würde er aber nur 5 Versuche benötigen.
 Analog dazu ist die durchschnittliche Anzahl von Bruteforce Versuchen auf einen MD5 Pre-Image Angriff 2 hoch 64 Versuche. 2 hoch 64 ist eine unvorstellbar große Zahl. Was uns zu dem Problem führt, dass Zahlen wie 2 hoch 64 für viele Menschen zu abstrakt sind, es fehlt uns eine Bezugsgröße, um sie besser in uns geläufige Zeiträume einordnen zu können. Als Vergleich wird daher oft die Rechenzeit angegeben, die eine aktuelle GPU zum „Durchprobieren“ dieser Zahlenmenge benötigen würde.
Die beste GPU in 2017 kann rund 2.000.000 = 2 × 10 hoch 6 MD5 Varianten einer Schadsoftware pro Sekunde erzeugen und deren Hash berechnen.* 
Um 2 hoch 64  (=1,84 × 10 hoch 19 ) Berechnungen durchzuführen benötigt die aktuell modernste GPU damit 9.223372 × 10 hoch 12 Sekunden oder, als Referenzwert für uns besser geeignet, 292.471 Jahre Rechenzeit. 
Das bedeutet, 292.471 GPUs rechnen ein Jahr oder 3.509.654 GPUs rechnen einen Monat. Diese Größenordnung wird gemeinhin als nicht durchführbar betrachtet, deshalb gilt dieses Verfahren im Bezug auf Pre-Image Angriffe weiterhin als ungebrochen.


* Diese GPU kann 25.000.000 Rechenoperationen/Sekunde durchführen, allerdings verringert sich diese Zahl für den beschrieben Fall immens, da immer auch die Schadsoftware mit in die Hash Berechnung einbezogen werden muss.