McAfee Data Exchange Layer - Whitepaper
Transcription
McAfee Data Exchange Layer - Whitepaper
Whitepaper Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System Der Echtzeit-Kontextaustausch ermöglicht frühe Angriffserkennung sowie adaptiven Bedrohungsschutz Whitepaper Inhalt Kurzfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Nachhaltiger Vorteil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Bausteine für adaptiven Bedrohungsschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 End-to-End-Immunisierung und Anpassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 McAfee Data Exchange Layer: Datenaustausch in Echtzeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 McAfee Threat Intelligence Exchange: Die Macht des Wissens nutzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Der Turbo für bestehenden Endgeräteschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Überprüfung umfangreicher Daten für mehr Klarheit und schnelle Reaktion . . . . . . . . . . . . . . . . . . . . . 7 Sofortiger Austausch von Bedrohungsdaten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Szenario 1: Reaktion basierend auf kollektiv erfassten Daten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Szenario 2: Einbindung von McAfee Advanced Threat Defense für tiefgehende Analyse. . . . . . . . . . 9 Szenario 3: Schnellere Angriffserkennung dank McAfee Enterprise Security Manager. . . . . . . . . . . 10 Neue Abwehrtaktiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System 2 Whitepaper Kurzfassung Zum zweiten Mal in Folge befragte McAfee, ein Geschäftsbereich von Intel Security, auf der Konferenz Black Hat Sicherheitsexperten zu den Herausforderungen in Bezug auf hochentwickelte Malware, die bei wenig verbreiteten und gezielten Angriffen zum Einsatz kommt. Trotz umfassender Investitionen in vermeintlich „todsichere“ Produkte stand die Malware-Erkennung weiterhin ganz oben auf der Liste der Probleme. Als erster Schritt zur Erkennung muss das Signal aus den unwichtigen Informationen herausgefiltert werden. Dabei gilt es jedoch, False-Positives zu vermeiden, was als zweithäufigstes Problem genannt wurde (von 25 Prozent der Befragten). Zudem verursachen der zeitnahe Schutz vor und die schnelle Reaktion auf solche Malware-Angriffe weiterhin häufig Frust. 35 35 % 36 % 2013 2014 28 25 % 20 % 21 22 % 17 % 13 % 11 % 14 9% 7 5% 3% 4% 0 Erkennung Schnelle Fehlerbehebung Verhältnis Schutz (Entfernung Reaktion zwischen (Blockierung der Malware (BenachSignal und in Echtzeit aus der unwichtigen oder zeitnah) richtigung über Kom- Umgebung) Informationen promittierung) (False-PositiveMinimierung) Andere Abbildung 1. Die Black Hat-Teilnehmer gaben an, dass sie nach wie vor Probleme bei der Abwehr hochentwickelter Malware haben. Diese Probleme sind die Folge unzureichender Integration zwischen den Sicherheitstechnologien zur Untersuchung, Datenerfassung, Analyse und Erzwingung, die zur Verhinderung, Erkennung, Reaktion und Verarbeitung von Zwischenfällen erforderlich sind. Durch die Integration verbessert sich die Effizienz, da der aktive Datenaustausch und die beschleunigte technologieübergreifende Verarbeitung es jeder Sicherheitskontrolle ermöglichen, die Stärken und Fähigkeiten der anderen Komponenten zu nutzen. Dieses adaptive Bedrohungsabwehrmodell ersetzt schnell herkömmliche separat agierende Architekturen, damit Sicherheitsteams einen nachhaltigen Vorteil gegenüber komplexen Bedrohungen erhalten. Beim adaptiven Bedrohungsschutzmodell werden einzelne Malware-Interaktionen nicht als separate Ereignisse behandelt, sondern dank einer effizienten Nachrichtenebene integriert erfasst und verarbeitet. Dies verbessert die Untersuchungen und Analysen, die von erweiterten Daten gespeist werden, und verbindet End-to-End-Komponenten, damit von jedem Kontakt und Prozess so viele umsetzbare Daten wie möglich erfasst und berücksichtigt werden können. Mit dem Wechsel zu adaptivem Bedrohungsschutz lassen sich die stark verbreiteten funktionalen Hürden überwinden, die die Erkennung von Bedrohungen, die Reaktion darauf sowie die Chancen auf verbesserte Vermeidung von Bedrohungen behindern. Separate Datenquellen und Kontrollmechanismen erschweren die Abläufe und erhöhen das Risiko. So werden beispielsweise die von den einzelnen Kontrollmechanismen generierten Daten sowie der jeweilige Situationskontext schlecht erfasst und nur selten ausgetauscht. Eine Firewall blockiert Schaddaten, die von einer nicht vertrauenswürdigen Domäne stammen, weil sie die Kommunikation mit dieser Quelle als schädlich einstuft. Da sie die Daten aber nicht als Malware erkennt, werden dieselben Daten ins Netzwerk gelassen, wenn sie von einer vertrauenswürdigen Domäne gesendet werden. Ebenso kann Malware-Schutz unbekannte Schaddaten blockieren, die von bekannten gefährlichen Adressen empfangen werden, wenn er nicht nur die eigentlichen Daten berücksichtigt oder bei der Analyse der erhaltenen Daten die IP-Adresse mit einbezieht. Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System 3 Whitepaper Mit solchen nicht miteinander vernetzten Sicherheitsfunktionen können Unternehmen lediglich Brandherde löschen, d. h. bei jeder Kompromittierung mit hohem Personalaufwand reagieren. Diese ineffiziente Vorgehensweise belastet jedoch nicht nur die wenigen für Untersuchungen verfügbaren Ressourcen, sondern verlängert auch den Zeitraum, in dem Daten und Netzwerk entschlossenen Angreifern ausgesetzt sind. Somit bieten diese nicht integrierten Sicherheitsprodukte, Daten und Prozesse raffinierten Angreifern viel Freiraum und Möglichkeiten, in Ihr Unternehmen einzudringen, sich zu verbergen und eine dauerhafte Präsenz aufzubauen. Nachhaltiger Vorteil Was ist ein Angriffsindikator? Ein Angriffsindikator ist ein einmaliges Geflecht aus unbekannten Attributen, Kompromittierungsindikatoren und Kontextinformationen, die Unternehmens- sowie Risikodaten umfassen und ein dynamisches Situationsabbild erzeugen, mit dem Sie Ihre weiteren Reaktionen planen können. Mit McAfee® Threat Intelligence Exchange und der McAfee Security Connected-Plattform steht Sicherheitsexperten jetzt ein Hochleistungssystem zur Verfügung, das Workflows und Daten bündelt, um voneinander getrennte Sicherheitsabläufe zusammenzuführen und ein flexibles sowie intelligentes Bedrohungsschutzmodell zu realisieren. Globale, lokale und Drittanbieter-Bedrohungsdaten sowie unternehmensinternes Wissen wird zusammengefasst, um bereits bei der Ausführung intelligentere Entscheidungen treffen zu können, während verdächtige Dateien gründlich analysiert werden. Durch den Versand kontextbezogener Angriffsdaten (Angriffsindikatoren) an Systeme zur vektorübergreifenden Erkennung, Eindämmung und Behebung erhalten Sicherheitsanalysten einen nachhaltigen Vorteil gegenüber hochentwickelten gezielten Bedrohungen. Dank der Nutzung von Echtzeitkommunikation und deren Integration in vorhandene McAfee- und Drittanbieter-Lösungen kann Ihr Unternehmen Kompromittierungen kostengünstig abwehren und die Schutzlücke zwischen Erkennung und Eindämmung schließen. Dieses Whitepaper stellt vier Szenarien für die Nutzung des Schutz- und Einsparpotenzials vor, die dieser hochmoderne Ansatz mit McAfee Threat Intelligence Exchange bietet: QQ QQ QQ QQ Verbesserung der Endgeräte-Effizienz durch aktive Bedrohungsdatenerfassung (dank Integration mit VirusScan® Enterprise und SiteAdvisor® Enterprise) Nutzung der VirusTotal-Integration zur Bewertung von Daten und Werten anderer MalwareSchutz-Anbieter, um bei einer potenziellen Bedrohung für Ihre eigene Umgebung die richtige Vorgehensweise zu bestimmen Verbesserte Erkennung und Reaktion auf hochentwickelte Malware durch zusätzliche Funktionen zur dynamischen Sandbox-Analyse sowie statischen Analyse sowie Verknüpfung mit Netzwerkkomponenten (dank Nutzung von McAfee Advanced Threat Defense und Gateway-Produkten) Einordnung kollektiver Bedrohungsdaten in den Kontext vergangener und aktueller Angriffsschritte, um sofort reagieren zu können durch Abwehr aktiver Angriffe, Untersuchung vergangener Zwischenfälle und Überwachung zukünftiger Ereignisse (dank McAfee Enterprise Security Manager) Bausteine für adaptiven Bedrohungsschutz McAfee Threat Intelligence Exchange greift auf den McAfee Data Exchange Layer zu. Diese bidirektionale Kommunikationsstruktur vereinfacht die Produktintegration sowie den Austausch von Kontextinformationen. Auf diese Weise kann sie Sicherheitsinformationen und adaptiven Schutz bereitstellen. McAfee Threat Intelligence Exchange erfasst sowie verteilt Reputationsdaten und trifft aus der Ferne in Echtzeit Schutzentscheidungen. Zu den Kernbestandteilen des Security ConnectedFrameworks gehörten stets Automatisierung und Integration. Dank dem Data Exchange Layer verändert McAfee Threat Intelligence Exchange die Bedrohungsabwehr: Die Lösung setzt erweiterte Bedrohungsdaten in den richtigen Kontext und verteilt diese in Echtzeit in der gesamten Umgebung. End-to-End-Immunisierung und Anpassung Die Sicherheitsteams in Unternehmen erhalten lokale Kontrolle über die Klassifizierung potenzieller Malware und Bedrohungen. Gleichzeitig tauschen die Sicherheitskomponenten ihre Datenanalysen sofort untereinander aus und passen ihre Schutzmaßnahmen entsprechend an. McAfee Threat Intelligence Exchange nutzt den Data Exchange Layer zur Verknüpfung von Endgeräteschutz, Gateways und weiteren Sicherheitskomponenten zu einem leistungsstarken und fortschrittlichen Schutzsystem Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System 4 Whitepaper zur Abwehr hochentwickelter Bedrohungen. Sie reduzieren das Risiko, optimieren und verbessern den Schutz vor zukünftigen Angriffen und minimieren die Betriebskosten sowie den Aufwand separater Schutzmaßnahmen für hochentwickelte gezielte Bedrohungen. SICHERHEITS-MANAGEMENT SCHUTZ FÜR INHALTE • McAfee Enterprise Security Manager (SIEM) • McAfee Email Gateway • ePolicy Orchestrator • McAfee Data Loss Prevention • McAfee Threat Intelligence Exchange • McAfee Vulnerability Manager NETZWERKSICHERHEIT • McAfee Web Gateway ENDGERÄTESICHERHEIT • McAfee Endpoint Security-Suites • McAfee Advanced Threat Defense • McAfee Data Center Security Suite • McAfee Network Security Platform (IPS) • McAfee Embedded Security • McAfee Next Generation Firewall • McAfee Device Control • McAfee Firewall Enterprise • McAfee Endpoint Encryption • Hardware-unterstützte Sicherheit Abbildung 2. McAfee Threat Intelligence Exchange und der McAfee Data Exchange Layer bilden ein dynamisches Framework zur nachhaltigen Nutzung der Security Connected-Plattform. Die McAfee Threat Intelligence Exchange-Komponenten agieren gemeinsam, um die relevanten Daten unverzüglich an Sicherheitslösungen für Netzwerk, Endgeräte, Anwendungen und weitere Komponenten weiterzugeben. Dadurch werden Sicherheitsinformationen bereitgestellt und adaptive Sicherheit implementiert. Somit verringert die Lösung die Schutzlücke zwischen der Erkennung und der Eindämmung hochentwickelter gezielter Angriffe von Tagen, Wochen oder Monaten auf wenige Millisekunden. McAfee Data Exchange Layer: Datenaustausch in Echtzeit Der Data Exchange Layer vereinfacht die Integration und senkt dadurch die Implementierungsund Betriebskosten. Anstelle der direkten Integration über Low-Level-APIs ermöglicht die Kommunikationsstruktur des Data Exchange Layer die Produktintegration über ein gemeinsames Informationsmodell, das verschiedenste Kommunikationsmethoden unterstützt. Dadurch können Produktkonfigurationen automatisch durchgeführt und somit Fehler vermieden sowie der Aufwand gesenkt werden. Der Data Exchange Layer stellt eine bidirektionale Echtzeit-Kommunikationsstruktur bereit, über die angebundene Komponenten permanent miteinander verbunden sind. Über eine Abstraktionsebene besteht eine Verbindung zwischen Endgeräteschutz, Gateways und anderen Sicherheitskomponenten, über die sie unabhängig von ihrem Standort in Echtzeit Bedrohungsinformationen austauschen können. Dieses Modell ermöglicht die Verteilung von Steuer- und Kontrollkommandos lokaler Sicherheitskontrollen an entfernte Nodes in anderen Niederlassungen, selbst wenn sich diese hinter NATGeräten (Network Address Translation), Firewalls und privaten Gateways befinden. Die Sicherheit der Kommunikation wird dadurch gewährleistet, dass der gesamte Datenverkehr per TLS (Transport Layer Security) auf Transportebene verschlüsselt wird. Diese Verschlüsselungsmethode wird für die zertifikatbasierte starke gemeinsame Authentifizierung aller Teilnehmer voraus- und von der Kommunikationsstruktur durchgesetzt. Dadurch kann gewährleistet werden, dass die Daten sicher sind und die Struktur selbst vor externen Angriffen oder Missbrauch geschützt ist. Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System 5 Whitepaper McAfee Global Threat Intelligence Bedrohungsdaten von Drittanbietern McAfee Threat Intelligence Exchange Server McAfee ePO McAfee Advanced Threat Defense McAfee Enterprise Security Manager PartnerProdukte McAfee Data Exchange Layer McAfee Threat Intelligence Exchange-Modul für VirusScan Enterprise McAfee Next Generation Firewall McAfee Network Security Platform McAfee Email Gateway Andere Produkte McAfee Web Gateway Abbildung 3. Der Data Exchange Layer stellt ein Framework zur Echtzeitkommunikation bereit, dank dem alle Sicherheitskomponenten als Einheit agieren können. McAfee Threat Intelligence Exchange: Die Macht des Wissens nutzen McAfee Threat Intelligence Exchange ermöglicht Administratoren die einfache Anpassung und Nutzung umfassender Bedrohungsinformationen aus weltweiten Datenquellen wie McAfee Global Threat Intelligence (McAfee GTI), VirusTotal und Feeds von Drittanbietern sowie lokalen Quellen wie Echtzeit- und Verlaufsereignissen von Endgeräteschutz, Gateways und weiteren Sicherheitskomponenten. Sie können die Informationen aus den Bedrohungsdatenquellen zusammenstellen, außer Kraft setzen, erweitern und an die eigene Umgebung anpassen. Mithilfe intelligenter Listen können Sie eigene Black- und Whitelists für Dateien und Zertifikate, für das Unternehmen ausgestellte Zertifikate uvm. implementieren. Durch die Aggregation und Nutzung lokaler Bedrohungsdaten kann McAfee Threat Intelligence Exchange jede Bedrohung im Kontext der Aktivitäten sowie der Betriebsumgebung jedes Unternehmens analysieren. Die von Endgeräteschutz, Gateways und Sicherheitskomponenten erfassten Metadaten werden kombiniert, sodass Sie einen Überblick über den Bedrohungsstatus Ihres Unternehmens erhalten und entsprechende Schutzmaßnahmen ergreifen können. Der Turbo für bestehenden Endgeräteschutz Während selbst erweiterte herkömmliche Forensiklösungen spezialisierte Tools und Schulungen sowie großen manuellen Aufwand erfordern, überführt McAfee Threat Intelligence Exchange Bedrohungsinformationen direkt in automatisierte Schutzmaßnahmen, die nach den Regeln der IT-Abteilung arbeiten. McAfee Threat Intelligence Exchange nutzt McAfee VirusScan Enterprise und ermöglicht dank genauer Entscheidungen zur lokalen, kontextbezogenen Dateiausführung herausragenden Endgeräteschutz. Wenn eine Datei ausgeführt werden soll, laufen folgende Vorgänge ab: QQ QQ QQ VirusScan Enterprise fragt die eigenen lokalen Signaturen ab. Wenn die Datei unbekannt ist, fragt das McAfee Threat Intelligence Exchange-Modul McAfee Threat Intelligence Exchange Server nach Metadaten zu der Datei ab. Wenn kein Datensatz zu dieser Datei gefunden wird, fragt McAfee Threat Intelligence Exchange Server das Cloud-basierte McAfee GTI-Netzwerk ab und gibt dem abfragenden Host die globale Reputation wieder. Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System 6 Whitepaper QQ Was möchten Sie gerne wissen? Wenn eine ursprünglich unbekannte Datei später von einer lokalen Quelle für Bedrohungsinformationen, einem Cloud-Dienst oder internen Untersuchungen als gefährlich eingestuft wird, kann McAfee Threat Intelligence Exchange Server umsetzbare Details zu schädlichem Verhalten liefern, mit denen Sicherheitsverantwortliche folgende Fragen beantworten können: QQ QQ QQ QQ QQ QQ QQ QQ QQ Befindet sich diese Datei auf einem meiner Endgeräte? (Verbreitung) Wurde sie ausgeführt? (wichtig für die Unterscheidung zwischen infizierten und nicht infizierten Endgeräten) Wo wurde sie ausgeführt? (zur Definition einer Prioritätenliste gefährdeter Systeme) Welches System wurde zuerst infiziert? (erstes Auftreten) Welche Computer sind wahrscheinlich kompromittiert, weil sie eine Datei ausführten, die jetzt als gefährlich eingestuft wurde? Wie verbreitet sich die Malware in meiner Umgebung? (Fortbewegung der Datei) Wo befinden sich die Dateien, die von anderen Sicherheitsprodukten nicht blockiert werden? Welche „grauen“ Dateien können in die Black- oder Whitelist aufgenommen werden? Wie ist die globale Reputation einer bestimmten Datei im Vergleich zur lokalen Reputation im Unternehmen? QQ QQ QQ QQ McAfee Threat Intelligence Exchange Server beantwortet die Abfrage mithilfe der gesammelten Metadaten, die er bereits zu dieser Datei besitzt. In der Antwort sind unternehmensspezifische Werte wie Reputation, Verbreitung und Alter enthalten. Das McAfee Threat Intelligence Exchange-Modul kombiniert anschließend basierend auf Regeln den lokal ermittelten Kontext (Datei-, Prozess- sowie Umgebungsattribute) mit den aktuell verfügbaren und kollektiv gesammelten Bedrohungsdaten, um eine Risikobewertung durchzuführen. Das Client-Modul wendet Ihre Richtlinien an, um eine Entscheidung für oder gegen die Ausführung der Datei zu treffen. McAfee Threat Intelligence Exchange Server protokolliert das Ereignis in seiner Knowledgebase-Datenbank. Falls sich eine unbekannte Datei später als böswillig herausstellt, kann VirusScan Enterprise angewiesen werden, den Host zu bereinigen, wodurch ein ausgeführter böswilliger Prozess gestoppt werden kann. Mithilfe von Richtlinien können Sie die Risikotoleranz für das Endgerät anpassen und verschiedene Ausführungsbedingungen definieren. Sie können beispielsweise eine strenge Nulltoleranz-Richtlinie für unbekannte oder „graue“ Dateien festlegen. Dies erfordert lediglich die Festlegung einer Richtlinie, wonach keine Datei ausgeführt werden darf, die nicht über eine bekannte und zulässige Reputation verfügt. Jedes Unternehmen hat unterschiedliche Vorstellungen davon, welches Risiko es beim Zulassen von Dateien bereit ist einzugehen bzw. wann Dateien isoliert oder gelöscht werden sollen. Diese Toleranz hängt meist von der Klasse und geschäftlichen Wichtigkeit der unterschiedlichen Systeme ab. Wenn der Administrator die Datei später als sicher kennzeichnet, kann er die blockierte Anwendung zu einer Whitelist hinzufügen oder aber festlegen, dass die Benutzer die Datei selbst nach einer entsprechenden Meldung zulassen können. Überprüfung umfangreicher Daten für mehr Klarheit und schnelle Reaktion Die kollektiven – weltweit, lokal, von Drittanbietern bereitgestellten und manuell generierten – Bedrohungsdaten, die auf McAfee Threat Intelligence Exchange Server gespeichert sind, ermöglichen eine ungehinderte Übersicht und beantworten wichtige Fragen auf Grundlage sofort verfügbarer, umsetzbarer Informationen. Diese Informationen können Ihnen die überzeugenden Nachweise liefern, dank derer Sie agieren und Ihr Unternehmen absichern können, anstatt auf die Meldung eines Drittanbieters warten zu müssen und das Unternehmen bis dahin ungeschützt zu lassen. Beispielsweise zeigen die Verbreitungsdaten für das Unternehmen jeden Computer, der eine bestimmte Datei angefordert hat. Die Liste betroffener Systeme hilft dabei, die Taktiken der Angreifer aufzudecken und – noch wichtiger – das ihnen zur Verfügung stehende Eindringungsfenster verkleinern. Gehören alle Computer, die diese Datei erhalten haben, zu einer einzelnen Arbeitsgruppe, z. B. Finanzabteilung oder SoftwareEntwicklung? Das würde darauf hinweisen, auf welche vertraulichen Daten die Angreifer es abgesehen haben. Haben die Systeme ein gemeinsames Anwendungsprofil, das auf Zero-Day-Schwachstellen hinweist? Sofortiger Austausch von Bedrohungsdaten McAfee Threat Intelligence Exchange unterstützt Unternehmen bei der Anpassung ihrer Schutzmaßnahmen und vollständigen Eindämmung der Bedrohung. Wenn ein McAfee Threat Intelligence Exchange-Client auf dem Host die Ausführung einer Datei blockiert oder zulässt, wird diese Entscheidung in den Datensätzen von McAfee Threat Intelligence Exchange Server vermerkt. Die Informationen zu jeder Entscheidung können auf mehrfache Weise angewendet werden. McAfee Threat Intelligence Exchange verteilt sofort die Reputationsinformationen sowie die Details zur Entscheidung an alle verbundenen Schutzsysteme im Unternehmen, einschließlich Endgeräteschutz und Gateways wie die McAfee Network Security Platform sowie Drittanbieterprodukte. Auf diese Weise werden alle Sicherheitsprodukte sofort aktualisiert und lernen voneinander, sodass sie einheitlichen und lokalen angepassten Schutz mit einer Geschwindigkeit bieten können, die kein Anbieter oder Drittunternehmen schlagen kann. Da bei einem typischen raffinierten Angriff nach verwundbaren Systemen gesucht wird, schützt diese fortschrittliche Informationsweitergabe innerhalb der Umgebung andere Hosts vor der Kompromittierung oder der Attacke durch eine bestimmte Angriffsvariante. Optional kann McAfee Threat Intelligence Exchange auch die neu erlangten lokalen Bedrohungsdaten an die McAfee GTI-Cloud weiterleiten, um andere Schutzsysteme bei der Abwehr ähnlicher Angriffe zu unterstützen. Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System 7 Whitepaper Was möchten Sie gerne wissen? (Fortsetzung) QQ QQ QQ QQ QQ Wie viele Dateien wurden in den letzten Stunden als böswillig identifiziert? Folgende Szenarien verdeutlichen, wie McAfee Threat Intelligence Exchange und der McAfee Data Exchange Layer die Funktionsweise des Bedrohungsschutzes verändern, umsetzbare Informationen liefern sowie den präventiven Schutz erweitern – von der Erkennung bis hin zur Isolierung. Szenario 1: Reaktion basierend auf kollektiv erfassten Daten Wie viele Dateien in meinen Umgebungen wurden der Black-, Whiteoder Graylist zugeordnet? Im ersten Szenario wird der Endgeräteschutz basierend auf lokal optimierten Bedrohungsdaten ermöglicht. Diese Anpassung hätte es im Jahr 2013 Händlern des VISA-Netzwerks erlaubt, schnell automatisierte Schutzmaßnahmen gegen die Hash-Werte zu implementieren, die von VISA für einen Speicher-Parser-Angriff veröffentlicht wurden.1 Welcher Anteil des gesamten Dateibestandes wird in der Black-, Whiteoder Graylist geführt, wenn nach Microsoft WindowsVersion unterschieden wird? Jetzt erhalten die Unternehmensadministratoren eine Mitteilung und tragen die neuen Hash-Dateien über die Verwaltungsoberfläche in McAfee Threat Intelligence Exchange ein. Wenn das Host-System anschließend die verdächtige Datei findet, verhindert McAfee Threat Intelligence Exchange deren Ausführung basierend auf der angepassten und durch die kollektive Bedrohungserfassung erhaltene Information („diese Hash-Werte sind gefährlich“). Welche Dateien kommen in meiner Umgebung am seltensten vor? (Einzelfälle, potenziell böswillige Dateien) Wird eine bestimmte Version des Betriebssystems Microsoft Windows besonders angegriffen? McAfee Global Threat Intelligence VISA Kernkomponenten McAfee ePO McAfee Threat Intelligence Exchange Server McAfee Data Exchange Layer McAfee Threat Intelligence Exchange-Modul für VirusScan Enterprise Abbildung 4. Drittanbieterdaten können wertvolle Informationen liefern. Von internen Teams erkannte Malware (oder verdächtige Dateien) können sofort blockiert werden, ohne dass ein Exemplar eingesendet und auf eine Aktualisierung der Virenschutzsignatur durch den Anbieter gewartet werden muss. Wenn ein anderes Endgerätesystem diese Datei erkennt, wird das im Verbreitungszähler von McAfee Threat Intelligence Exchange Server erfasst, wodurch Administratoren wertvolle Informationen dazu erhalten, ob das Unternehmen angegriffen wird. Der Nutzen für das Unternehmen besteht darin, dass ein Kompromittierungsindikator (in diesem Fall ein Datei-Hash-Wert) eine Vielzahl wertvoller Informationen liefern kann, die in Echtzeit weitergegeben werden können. McAfee Threat Intelligence Exchange kann zudem die Ausführung und nicht nur Lese- sowie Schreibprozesse einer Datei verhindern. Dieser Ausführungsschutz verhindert ungewöhnliches Verhalten und ermöglicht McAfee Threat Intelligence Exchange die Erfassung wertvoller Angriffsindikatoren, die sofort in der gesamten Umgebung verteilt werden können. Im Gegensatz zu Kompromittierungsindikatoren, die einzelne, als gefährlich bekannte statische Ereignisse beschreiben, beschreiben Angriffsindikatoren eine Situation aus Ihrer Sicht. Angriffsindikatoren sind ein einmaliges Geflecht aus unbekannten Attributen, Kompromittierungsindikatoren und Kontextinformationen, die Unternehmens- sowie Risikodaten umfassen und ein dynamisches Situationsabbild erzeugen, mit dem Sie Ihre weiteren Reaktionen planen können. McAfee Threat Intelligence Exchange erkennt und meldet neue sowie ungewöhnliche Ereignisse in der Umgebung, die möglicherweise noch nicht mit einer bekannten Bedrohung oder Kompromittierung in Zusammenhang gebracht werden. Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System 8 Whitepaper Szenario 2: Einbindung von McAfee Advanced Threat Defense für tiefgehende Analyse Ein Angreifer, der Ihre Unternehmensdaten stehlen möchte, greift auf subtile StealthProgrammiertechniken und Zero-Day-Exploits zurück. Die dabei eingesetzte Malware-Datei ist möglicherweise einmalig oder wird nur vereinzelt eingesetzt. Dieses seltene Vorkommen verhindert, dass diese Bedrohung von herkömmlichen Signatur- oder Reputations-basierten Gegenmaßnahmen zuverlässig erkannt wird. Wenn eine verdächtige Datei jedoch nicht durch vorhandene McAfee Threat Intelligence Exchange-Ressourcen überführt werden kann, wird dies durch die tiefgehende Analyse mit McAfee Advanced Threat Defense möglich. McAfee Advanced Threat Defense ergänzt die Erkennung hochentwickelter gezielter Angriffe um einen mehrstufigen Ansatz, der innovative Echtzeit-Dekonstruktion von Malware nutzt. Dies umfasst zum Beispiel starke Entpackfunktionen, die Verschleierungstechniken aushebeln, um den ursprünglichen ausführbaren Code sowie das damit beabsichtigte Verhalten ermitteln zu können. Wo andere Sandbox-Anbieter mit einfachen Malware-Kodierungstaktiken leicht getäuscht oder umgangen werden können, kombiniert McAfee Advanced Threat Defense mehrere Techniken zur branchenweit ersten Funktion zur Echtzeit-Dekonstruktion von statischem Code mit dynamischer Sandbox-Analyse, um die Verschleierungstaktiken der Angreifer auszuhebeln. Dies ergibt die stärkste sowie fortschrittlichste Malware-Schutztechnologie auf dem Markt und schafft ein Gleichgewicht zwischen der notwendigen Sicherheit und Leistungsfähigkeit. McAfee Global Threat Intelligence Bedrohungsdaten von Drittanbietern McAfee McAfee Threat Threat Intelligence Intelligence Exchange-Server Exchange Server JA NEIN McAfee ePO McAfee McAfee Threat Threat Intelligence Intelligence ExchangeExchangeModul Modul für für McAfee Endgeräteschutz VirusScan Abbildung 5. Daten- und Reputations-Synthese aus der Cloud, dem Netzwerk sowie von Endgeräten Bidirektionaler Informationsaustausch zwischen Endgeräten und Netzwerkkomponenten Durch den Einsatz von McAfee Threat Intelligence Exchange in Kombination mit McAfee Advanced Threat Defense wird der Schutz vor hochentwickelten gezielten Angriffen verstärkt. Sie erhalten einen zeitgemäßen und zuverlässigen Bedrohungsschutz, der Verhaltens-, Reputations- und Signatur-basierte Analysen für das Netzwerk und die Endgeräte kombiniert. McAfee-Endgeräte erhalten per Richtlinie die Aufforderung, Daten mit „unbekannter“ Reputation zu blockieren und anschließend zur genauen Untersuchung und Entscheidung über die Gefährlichkeit an McAfee Advanced Threat Defense zu senden. Wenn die Datei als gefährlich eingestuft wird, gibt das System diese Information mit einem Reputations-Update über den Data Exchange Layer an alle im Unternehmen verbundenen Schutzsysteme weiter. Dadurch können zum Beispiel von McAfee Threat Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System 9 Whitepaper Intelligence Exchange verwaltete Endgeräte sofort präventiv die Ausführung dieser Datei blockieren, während Netzwerk-Gateways verhindern, dass diese Datei in das Unternehmensnetzwerk gelangt. Erkennungen auf den Netzwerk-Gateways werden durch diesen zentralen Analyseprozess verarbeitet, und die Erkenntnisse werden ebenfalls an die Endgeräte weitergegeben. Dieser Erkenntnis- und Reputationsaustausch verdeutlicht, wie Endgeräte und Netzwerk die einmalige Security Connected-Plattform dazu nutzen, Lücken durch die Out-of-Band-Übertragung von Schaddaten zu schließen. Durch die Verknüpfung der vektorübergreifenden McAfee-Sicherheitslösungen werden nicht nur das Anfälligkeitsfenster für neue Malware-Varianten erheblich verringert, sondern auch der Zeitaufwand für die Fehlerbehebung sowie der Bedarf an Netzwerkumgestaltungen reduziert. Durch die Nutzung der VirusTotal-Integration zur Bewertung von Daten und Werten anderer MalwareSchutz-Anbieter können Sie bei einer potenziellen Bedrohung für Ihre eigene Umgebung die richtige Vorgehensweise bestimmen. Szenario 3: Schnellere Angriffserkennung dank McAfee Enterprise Security Manager Nicht zuletzt möchten viele Unternehmen die von McAfee Enterprise Security Manager bereitgestellte Transparenz und Korrelation nutzen, um einen schnelleren und besseren Überblick über die Bedrohungen in ihrer Umgebung zu erhalten. Das SIEM-System (Sicherheitsinformations- und Ereignis-Management) McAfee Enterprise Security Manager kann umfangreiche Daten von McAfee Threat Intelligence Exchange und McAfee Advanced Threat Defense abrufen und mit seinem patentierten HochleistungsDatenbankmodul die Protokoll- und Ereignisdaten aus Hunderten Datenquellen korrelieren. Dank dieser erweiterten, detaillierten Daten können Sie bei der Untersuchung von und Reaktion auf Angriffe Fragen beantworten wie: „Welche Hosts zeigen Verhalten, das zu unseren neuen Erkenntnissen passt?“ Immer dann, wenn McAfee Threat Intelligence Exchange neue böswillige Ereignisse (ein „erstes Vorkommen“) erkennt und die Aufforderung zum Ausführen bzw. Blockieren an die Clients sendet, kann McAfee Enterprise Security Manager die Administratoren auf dieses Ereignis aufmerksam machen sowie Behebungsschritte wie Aktualisierungen der Endgeräterichtlinien fast in Echtzeit auslösen. Dank der engen Verknüpfung der Erkennung/Reaktion/Verhinderung können die McAfee Enterprise Security ManagerWorkflows und Watchlists dafür sorgen, dass die Erkenntnisse von McAfee Threat Intelligence Exchange und SIEM den Schutz sowie die Risikoverwaltung in Ihrem Unternehmen verbessern. Aus der Vergangenheit für die Zukunft lernen McAfee Enterprise Security Manager nutzt die von McAfee Advanced Threat Defense und McAfee Threat Intelligence Exchange bereitgestellten Elemente, um Ereignisse in den McAfee Enterprise Security Manager-Archiven zu finden und bei zukünftigen, damit zusammenhängenden Ereignissen Warnungen auszugeben. Das gibt Unternehmen die Möglichkeit, die Uhr zurückzudrehen und die aktuellen neuen Erkenntnisse zur Identifizierung früherer böswilliger Interaktionen zu nutzen, die zum Ausführungszeitpunkt unentdeckt blieben. So kann zum Beispiel der Hash-Wert einer als gefährlich erkannten Datei von McAfee Threat Intelligence Exchange oder McAfee Advanced Threat Defense in eine SIEM-Watchlist eingefügt werden. McAfee Enterprise Security Manager wiederum nutzt die in der Watchlist gespeicherten Informationen zum Vergleich mit älteren indexierten Daten bzw. neuen Echtzeitereignissen. Da Datei-Hash-Werte von vielen Produkten – nicht nur McAfee Advanced Threat Defense, sondern auch von Lösungen zur Dateiintegritätsüberwachung (McAfee Change Control) sowie von Netzwerk-Eindringungsschutzsystemen und Malware-Schutz-Web-Gateways – generiert werden, erhöht der veröffentlichte Datei-Hash-Wert die Sensibilität für Aktivitäten im gesamten Unternehmen. Wenn McAfee Threat Intelligence Exchange die Reputationsinformationen an diese Systeme sendet, um die Blockierung zu erzwingen, ermöglicht McAfee Enterprise Security Manager die Zusammensetzung der einzelnen Ereignisse, um ein vollständiges Gesamtbild der böswilligen Aktivitäten zu erhalten. Zusätzlich zu den Datei-Hash-Werten kann McAfee Enterprise Security Manager weitere Angriffsindikatoren nutzen, die von McAfee Advanced Threat Defense und McAfee Threat Intelligence Exchange generiert werden. Beide Lösungen stellen zusätzlich zu den Ergebnissen Details zu Dateienamen, IP-Informationen, Code-Hash-Werte, Verbreitung und Host-Name zur Verfügung. Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System 10 Whitepaper Die Berichte von McAfee Advanced Threat Defense umfassen zudem Informationen zu den Dateien, die mit dem Angriff in Zusammenhang stehen. Wenn in Ihrer Umgebung sowohl McAfee Advanced Threat Defense als auch McAfee Enterprise Security Manager eingesetzt werden, kann McAfee Enterprise Security Manager gefährliche Dateien filtern, die von McAfee Advanced Threat Defense entdeckt wurden, und dann Ereignisse nach diesen Dateien durchsuchen. Sobald die Dateien gefunden wurden, können die entsprechenden Daten im weiteren Verlauf anhand der IP-Adressen und Dateinamen gefiltert werden, die von McAfee Advanced Threat Defense zu diesen Daten erfasst wurden. McAfee Enterprise Security Manager dokumentiert alle mit diesen Attributen zusammenhängenden und von McAfee Advanced Threat Defense generierten Ergebnisse sowie überwacht die nachfolgenden Ereignisse. Da McAfee Enterprise Security Manager Ereignisse innerhalb eines Angriffs erkennt, kann die Lösung automatisch Maßnahmen zur Eindämmung, Behebung und Anpassung einleiten. So können zum Beispiel Hosts, die vom Angriff betroffen sind, ein sofortiges Richtlinien-Update erhalten oder isoliert bzw. gescannt werden. Neue Abwehrtaktiken Diese Szenarien zeigen Möglichkeiten auf, mit denen die besten, umfassendsten und relevantesten Informationen in Ihre Abwehr einfließen und für die automatische Umsetzung von Schutzmaßnahmen genutzt werden können. Sie können Erkennung, Analyse und Schutzfunktionen auf Daten- und WorkflowEbene miteinander verknüpfen, damit Ihre Sicherheitslösungen voneinander lernen und Ihr Unternehmen zuverlässig sowie in Echtzeit schützen. Zudem können Sie Bedrohungen effektiv und anhand aktuellster Informationen in Ihrer gesamten Umgebung erkennen, gezielt suchen sowie beseitigen. Das gilt sowohl für vergangene als auch zukünftige Ereignisse. Dank der adaptiven Bedrohungsinformationen und der Echtzeitkommunikation mit der Security ConnectedPlattform bietet McAfee eine neue Abwehrtaktik gegen hochentwickelte gezielte Angriffe. McAfee Threat Intelligence Exchange liefert Details zu Bedrohungsdaten, damit Angriffsindikatoren definiert und als Grundlage für Aktionen verwendet werden können, während die verschiedenen Komponenten der Security Connected-Plattform vom Data Exchange Layer mit Kontext ausgestattet werden. Mit McAfee Advanced Threat Defense und McAfee Enterprise Security Manager sowie den verschiedenen McAfee-Lösungen für Endgeräte- und Netzwerksicherheit erhalten Sie den branchenweit umfassendsten Bedrohungsschutz – in einem optimierten System zur nachhaltigen Abwehr hochentwickelter gezielter Angriffe. Weitere Informationen hierzu finden Sie unter: www.mcafee.com/de/solutions/incident-response/comprehensive-threat-protection.aspx www.mcafee.com/de/solutions/incident-response/index.aspx www.mcafee.com/de/products/threat-intelligence-exchange.aspx www.mcafee.com/de/products/advanced-threat-defense.aspx www.mcafee.com/de/products/siem/index.aspx Über Intel Security McAfee ist jetzt ein Geschäftsbereich von Intel Security. Durch die Security Connected-Strategie, einem innovativen Ansatz für Hardware-unterstützte Sicherheitslösungen sowie das Global Threat IntelligenceNetzwerk ist Intel Security voll und ganz darauf konzentriert, für die Sicherheit seiner Kunden zu sorgen. Dazu liefert Intel Security präventive, bewährte Lösungen und Dienste, mit denen Systeme, Netzwerke und Mobilgeräte von Privatanwendern und Unternehmen weltweit geschützt werden können. Intel Security verknüpft die Erfahrung und Fachkompetenz von McAfee mit der Innovation und bewährten Leistung von Intel, damit Sicherheit als essentieller Bestandteil jeder Architektur und Computerplattform eingebettet wird. Intel Security hat sich zum Ziel gesetzt, allen – Privatpersonen ebenso wie Unternehmen – die Möglichkeit zu geben, die digitale Welt absolut sicher nutzen zu können. www.intelsecurity.com 1. http://usa.visa.com/download/merchants/alert-prevent-grocer-malware-attacks-04112013.pdf McAfee. Part of Intel Security. Ohmstr. 1 85716 Unterschleißheim Deutschland +49 (0)89 37 07-0 www.intelsecurity.com Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee, das McAfee-Logo, ePolicy Orchestrator, McAfee ePO und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Die in diesem Dokument enthaltenen Produktpläne, Spezifikationen und Beschreibungen dienen lediglich Informationszwecken, können sich jederzeit ohne vorherige Ankündigung ändern und schließen alle ausdrücklichen oder stillschweigenden Garantien aus. Copyright © 2014 McAfee, Inc. 60945wp_it-takes-a-system_0214B