McAfee Data Exchange Layer - Whitepaper

Transcription

McAfee Data Exchange Layer - Whitepaper
Whitepaper
Hochentwickelte gezielte
Bedrohungen –
Bekämpfung erfordert
ein integriertes System
Der Echtzeit-Kontextaustausch ermöglicht
frühe Angriffserkennung sowie adaptiven
Bedrohungsschutz
Whitepaper
Inhalt
Kurzfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Nachhaltiger Vorteil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Bausteine für adaptiven Bedrohungsschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
End-to-End-Immunisierung und Anpassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
McAfee Data Exchange Layer: Datenaustausch in Echtzeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
McAfee Threat Intelligence Exchange: Die Macht des Wissens nutzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Der Turbo für bestehenden Endgeräteschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Überprüfung umfangreicher Daten für mehr Klarheit und schnelle Reaktion . . . . . . . . . . . . . . . . . . . . . 7
Sofortiger Austausch von Bedrohungsdaten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Szenario 1: Reaktion basierend auf kollektiv erfassten Daten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Szenario 2: Einbindung von McAfee Advanced Threat Defense für tiefgehende Analyse. . . . . . . . . . 9
Szenario 3: Schnellere Angriffserkennung dank McAfee Enterprise Security Manager. . . . . . . . . . . 10
Neue Abwehrtaktiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System
2
Whitepaper
Kurzfassung
Zum zweiten Mal in Folge befragte McAfee, ein Geschäftsbereich von Intel Security, auf der Konferenz
Black Hat Sicherheitsexperten zu den Herausforderungen in Bezug auf hochentwickelte Malware, die
bei wenig verbreiteten und gezielten Angriffen zum Einsatz kommt. Trotz umfassender Investitionen
in vermeintlich „todsichere“ Produkte stand die Malware-Erkennung weiterhin ganz oben auf der Liste
der Probleme. Als erster Schritt zur Erkennung muss das Signal aus den unwichtigen Informationen
herausgefiltert werden. Dabei gilt es jedoch, False-Positives zu vermeiden, was als zweithäufigstes Problem
genannt wurde (von 25 Prozent der Befragten). Zudem verursachen der zeitnahe Schutz vor und die
schnelle Reaktion auf solche Malware-Angriffe weiterhin häufig Frust.
35
35 %
36 %
2013
2014
28
25 %
20 %
21
22 %
17 %
13 %
11 %
14
9%
7
5%
3%
4%
0
Erkennung
Schnelle Fehlerbehebung
Verhältnis
Schutz
(Entfernung
Reaktion
zwischen
(Blockierung
der Malware
(BenachSignal und
in Echtzeit
aus der
unwichtigen oder zeitnah) richtigung
über Kom- Umgebung)
Informationen
promittierung)
(False-PositiveMinimierung)
Andere
Abbildung 1. Die Black Hat-Teilnehmer gaben an, dass sie nach wie vor Probleme bei der Abwehr hochentwickelter Malware haben.
Diese Probleme sind die Folge unzureichender Integration zwischen den Sicherheitstechnologien zur
Untersuchung, Datenerfassung, Analyse und Erzwingung, die zur Verhinderung, Erkennung, Reaktion und
Verarbeitung von Zwischenfällen erforderlich sind.
Durch die Integration verbessert sich die Effizienz, da der aktive Datenaustausch und die beschleunigte
technologieübergreifende Verarbeitung es jeder Sicherheitskontrolle ermöglichen, die Stärken und
Fähigkeiten der anderen Komponenten zu nutzen. Dieses adaptive Bedrohungsabwehrmodell ersetzt
schnell herkömmliche separat agierende Architekturen, damit Sicherheitsteams einen nachhaltigen Vorteil
gegenüber komplexen Bedrohungen erhalten.
Beim adaptiven Bedrohungsschutzmodell werden einzelne Malware-Interaktionen nicht als separate
Ereignisse behandelt, sondern dank einer effizienten Nachrichtenebene integriert erfasst und verarbeitet.
Dies verbessert die Untersuchungen und Analysen, die von erweiterten Daten gespeist werden, und
verbindet End-to-End-Komponenten, damit von jedem Kontakt und Prozess so viele umsetzbare Daten
wie möglich erfasst und berücksichtigt werden können.
Mit dem Wechsel zu adaptivem Bedrohungsschutz lassen sich die stark verbreiteten funktionalen
Hürden überwinden, die die Erkennung von Bedrohungen, die Reaktion darauf sowie die Chancen auf
verbesserte Vermeidung von Bedrohungen behindern. Separate Datenquellen und Kontrollmechanismen
erschweren die Abläufe und erhöhen das Risiko. So werden beispielsweise die von den einzelnen
Kontrollmechanismen generierten Daten sowie der jeweilige Situationskontext schlecht erfasst und
nur selten ausgetauscht. Eine Firewall blockiert Schaddaten, die von einer nicht vertrauenswürdigen
Domäne stammen, weil sie die Kommunikation mit dieser Quelle als schädlich einstuft. Da sie die Daten
aber nicht als Malware erkennt, werden dieselben Daten ins Netzwerk gelassen, wenn sie von einer
vertrauenswürdigen Domäne gesendet werden. Ebenso kann Malware-Schutz unbekannte Schaddaten
blockieren, die von bekannten gefährlichen Adressen empfangen werden, wenn er nicht nur die
eigentlichen Daten berücksichtigt oder bei der Analyse der erhaltenen Daten die IP-Adresse mit einbezieht.
Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System
3
Whitepaper
Mit solchen nicht miteinander vernetzten Sicherheitsfunktionen können Unternehmen lediglich
Brandherde löschen, d. h. bei jeder Kompromittierung mit hohem Personalaufwand reagieren. Diese
ineffiziente Vorgehensweise belastet jedoch nicht nur die wenigen für Untersuchungen verfügbaren
Ressourcen, sondern verlängert auch den Zeitraum, in dem Daten und Netzwerk entschlossenen
Angreifern ausgesetzt sind. Somit bieten diese nicht integrierten Sicherheitsprodukte, Daten und
Prozesse raffinierten Angreifern viel Freiraum und Möglichkeiten, in Ihr Unternehmen einzudringen, sich
zu verbergen und eine dauerhafte Präsenz aufzubauen.
Nachhaltiger Vorteil
Was ist ein
Angriffsindikator?
Ein Angriffsindikator ist ein
einmaliges Geflecht aus
unbekannten Attributen,
Kompromittierungsindikatoren und
Kontextinformationen,
die Unternehmens- sowie
Risikodaten umfassen
und ein dynamisches
Situationsabbild erzeugen,
mit dem Sie Ihre weiteren
Reaktionen planen können.
Mit McAfee® Threat Intelligence Exchange und der McAfee Security Connected-Plattform steht
Sicherheitsexperten jetzt ein Hochleistungssystem zur Verfügung, das Workflows und Daten bündelt,
um voneinander getrennte Sicherheitsabläufe zusammenzuführen und ein flexibles sowie intelligentes
Bedrohungsschutzmodell zu realisieren. Globale, lokale und Drittanbieter-Bedrohungsdaten sowie
unternehmensinternes Wissen wird zusammengefasst, um bereits bei der Ausführung intelligentere
Entscheidungen treffen zu können, während verdächtige Dateien gründlich analysiert werden. Durch den
Versand kontextbezogener Angriffsdaten (Angriffsindikatoren) an Systeme zur vektorübergreifenden
Erkennung, Eindämmung und Behebung erhalten Sicherheitsanalysten einen nachhaltigen Vorteil
gegenüber hochentwickelten gezielten Bedrohungen.
Dank der Nutzung von Echtzeitkommunikation und deren Integration in vorhandene McAfee- und
Drittanbieter-Lösungen kann Ihr Unternehmen Kompromittierungen kostengünstig abwehren und die
Schutzlücke zwischen Erkennung und Eindämmung schließen. Dieses Whitepaper stellt vier Szenarien
für die Nutzung des Schutz- und Einsparpotenzials vor, die dieser hochmoderne Ansatz mit McAfee
Threat Intelligence Exchange bietet:
QQ
QQ
QQ
QQ
Verbesserung der Endgeräte-Effizienz durch aktive Bedrohungsdatenerfassung (dank
Integration mit VirusScan® Enterprise und SiteAdvisor® Enterprise)
Nutzung der VirusTotal-Integration zur Bewertung von Daten und Werten anderer MalwareSchutz-Anbieter, um bei einer potenziellen Bedrohung für Ihre eigene Umgebung die richtige
Vorgehensweise zu bestimmen
Verbesserte Erkennung und Reaktion auf hochentwickelte Malware durch zusätzliche
Funktionen zur dynamischen Sandbox-Analyse sowie statischen Analyse sowie Verknüpfung
mit Netzwerkkomponenten (dank Nutzung von McAfee Advanced Threat Defense und
Gateway-Produkten)
Einordnung kollektiver Bedrohungsdaten in den Kontext vergangener und aktueller
Angriffsschritte, um sofort reagieren zu können durch Abwehr aktiver Angriffe, Untersuchung
vergangener Zwischenfälle und Überwachung zukünftiger Ereignisse (dank McAfee
Enterprise Security Manager)
Bausteine für adaptiven Bedrohungsschutz
McAfee Threat Intelligence Exchange greift auf den McAfee Data Exchange Layer zu. Diese
bidirektionale Kommunikationsstruktur vereinfacht die Produktintegration sowie den Austausch von
Kontextinformationen. Auf diese Weise kann sie Sicherheitsinformationen und adaptiven Schutz
bereitstellen. McAfee Threat Intelligence Exchange erfasst sowie verteilt Reputationsdaten und trifft
aus der Ferne in Echtzeit Schutzentscheidungen. Zu den Kernbestandteilen des Security ConnectedFrameworks gehörten stets Automatisierung und Integration. Dank dem Data Exchange Layer
verändert McAfee Threat Intelligence Exchange die Bedrohungsabwehr: Die Lösung setzt erweiterte
Bedrohungsdaten in den richtigen Kontext und verteilt diese in Echtzeit in der gesamten Umgebung.
End-to-End-Immunisierung und Anpassung
Die Sicherheitsteams in Unternehmen erhalten lokale Kontrolle über die Klassifizierung potenzieller
Malware und Bedrohungen. Gleichzeitig tauschen die Sicherheitskomponenten ihre Datenanalysen
sofort untereinander aus und passen ihre Schutzmaßnahmen entsprechend an. McAfee Threat
Intelligence Exchange nutzt den Data Exchange Layer zur Verknüpfung von Endgeräteschutz, Gateways
und weiteren Sicherheitskomponenten zu einem leistungsstarken und fortschrittlichen Schutzsystem
Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System
4
Whitepaper
zur Abwehr hochentwickelter Bedrohungen. Sie reduzieren das Risiko, optimieren und verbessern den
Schutz vor zukünftigen Angriffen und minimieren die Betriebskosten sowie den Aufwand separater
Schutzmaßnahmen für hochentwickelte gezielte Bedrohungen.
SICHERHEITS-MANAGEMENT
SCHUTZ FÜR INHALTE
• McAfee Enterprise Security
Manager (SIEM)
• McAfee Email Gateway
• ePolicy Orchestrator
• McAfee Data Loss Prevention
• McAfee Threat Intelligence
Exchange
• McAfee Vulnerability Manager
NETZWERKSICHERHEIT
• McAfee Web Gateway
ENDGERÄTESICHERHEIT
• McAfee Endpoint Security-Suites
• McAfee Advanced Threat Defense
• McAfee Data Center Security Suite
• McAfee Network Security Platform (IPS)
• McAfee Embedded Security
• McAfee Next Generation Firewall
• McAfee Device Control
• McAfee Firewall Enterprise
• McAfee Endpoint Encryption
• Hardware-unterstützte Sicherheit
Abbildung 2. McAfee Threat Intelligence Exchange und der McAfee Data Exchange Layer bilden ein dynamisches Framework zur
nachhaltigen Nutzung der Security Connected-Plattform.
Die McAfee Threat Intelligence Exchange-Komponenten agieren gemeinsam, um die relevanten Daten
unverzüglich an Sicherheitslösungen für Netzwerk, Endgeräte, Anwendungen und weitere Komponenten
weiterzugeben. Dadurch werden Sicherheitsinformationen bereitgestellt und adaptive Sicherheit
implementiert. Somit verringert die Lösung die Schutzlücke zwischen der Erkennung und der Eindämmung
hochentwickelter gezielter Angriffe von Tagen, Wochen oder Monaten auf wenige Millisekunden.
McAfee Data Exchange Layer: Datenaustausch in Echtzeit
Der Data Exchange Layer vereinfacht die Integration und senkt dadurch die Implementierungsund Betriebskosten. Anstelle der direkten Integration über Low-Level-APIs ermöglicht die
Kommunikationsstruktur des Data Exchange Layer die Produktintegration über ein gemeinsames
Informationsmodell, das verschiedenste Kommunikationsmethoden unterstützt. Dadurch können
Produktkonfigurationen automatisch durchgeführt und somit Fehler vermieden sowie der Aufwand
gesenkt werden.
Der Data Exchange Layer stellt eine bidirektionale Echtzeit-Kommunikationsstruktur bereit, über die
angebundene Komponenten permanent miteinander verbunden sind. Über eine Abstraktionsebene
besteht eine Verbindung zwischen Endgeräteschutz, Gateways und anderen Sicherheitskomponenten,
über die sie unabhängig von ihrem Standort in Echtzeit Bedrohungsinformationen austauschen
können. Dieses Modell ermöglicht die Verteilung von Steuer- und Kontrollkommandos lokaler
Sicherheitskontrollen an entfernte Nodes in anderen Niederlassungen, selbst wenn sich diese hinter NATGeräten (Network Address Translation), Firewalls und privaten Gateways befinden.
Die Sicherheit der Kommunikation wird dadurch gewährleistet, dass der gesamte Datenverkehr per TLS
(Transport Layer Security) auf Transportebene verschlüsselt wird. Diese Verschlüsselungsmethode wird
für die zertifikatbasierte starke gemeinsame Authentifizierung aller Teilnehmer voraus- und von der
Kommunikationsstruktur durchgesetzt. Dadurch kann gewährleistet werden, dass die Daten sicher sind
und die Struktur selbst vor externen Angriffen oder Missbrauch geschützt ist.
Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System
5
Whitepaper
McAfee Global
Threat Intelligence
Bedrohungsdaten von Drittanbietern
McAfee Threat
Intelligence
Exchange Server
McAfee ePO
McAfee Advanced
Threat Defense
McAfee Enterprise
Security Manager
PartnerProdukte
McAfee Data Exchange Layer
McAfee Threat Intelligence
Exchange-Modul für
VirusScan Enterprise
McAfee Next
Generation Firewall
McAfee Network
Security Platform
McAfee Email
Gateway
Andere
Produkte
McAfee Web
Gateway
Abbildung 3. Der Data Exchange Layer stellt ein Framework zur Echtzeitkommunikation bereit, dank dem alle
Sicherheitskomponenten als Einheit agieren können.
McAfee Threat Intelligence Exchange: Die Macht des Wissens nutzen
McAfee Threat Intelligence Exchange ermöglicht Administratoren die einfache Anpassung und Nutzung
umfassender Bedrohungsinformationen aus weltweiten Datenquellen wie McAfee Global Threat
Intelligence (McAfee GTI), VirusTotal und Feeds von Drittanbietern sowie lokalen Quellen wie Echtzeit- und
Verlaufsereignissen von Endgeräteschutz, Gateways und weiteren Sicherheitskomponenten. Sie können
die Informationen aus den Bedrohungsdatenquellen zusammenstellen, außer Kraft setzen, erweitern und
an die eigene Umgebung anpassen. Mithilfe intelligenter Listen können Sie eigene Black- und Whitelists
für Dateien und Zertifikate, für das Unternehmen ausgestellte Zertifikate uvm. implementieren.
Durch die Aggregation und Nutzung lokaler Bedrohungsdaten kann McAfee Threat Intelligence Exchange
jede Bedrohung im Kontext der Aktivitäten sowie der Betriebsumgebung jedes Unternehmens analysieren.
Die von Endgeräteschutz, Gateways und Sicherheitskomponenten erfassten Metadaten werden
kombiniert, sodass Sie einen Überblick über den Bedrohungsstatus Ihres Unternehmens erhalten und
entsprechende Schutzmaßnahmen ergreifen können.
Der Turbo für bestehenden Endgeräteschutz
Während selbst erweiterte herkömmliche Forensiklösungen spezialisierte Tools und Schulungen
sowie großen manuellen Aufwand erfordern, überführt McAfee Threat Intelligence Exchange
Bedrohungsinformationen direkt in automatisierte Schutzmaßnahmen, die nach den Regeln der
IT-Abteilung arbeiten. McAfee Threat Intelligence Exchange nutzt McAfee VirusScan Enterprise
und ermöglicht dank genauer Entscheidungen zur lokalen, kontextbezogenen Dateiausführung
herausragenden Endgeräteschutz.
Wenn eine Datei ausgeführt werden soll, laufen folgende Vorgänge ab:
QQ
QQ
QQ
VirusScan Enterprise fragt die eigenen lokalen Signaturen ab.
Wenn die Datei unbekannt ist, fragt das McAfee Threat Intelligence Exchange-Modul
McAfee Threat Intelligence Exchange Server nach Metadaten zu der Datei ab.
Wenn kein Datensatz zu dieser Datei gefunden wird, fragt McAfee Threat Intelligence Exchange
Server das Cloud-basierte McAfee GTI-Netzwerk ab und gibt dem abfragenden Host die globale
Reputation wieder.
Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System
6
Whitepaper
QQ
Was möchten Sie
gerne wissen?
Wenn eine ursprünglich
unbekannte Datei später
von einer lokalen Quelle für
Bedrohungsinformationen,
einem Cloud-Dienst oder
internen Untersuchungen
als gefährlich eingestuft
wird, kann McAfee Threat
Intelligence Exchange
Server umsetzbare
Details zu schädlichem
Verhalten liefern, mit denen
Sicherheitsverantwortliche
folgende Fragen
beantworten können: QQ
QQ
QQ
QQ
QQ
QQ
QQ
QQ
QQ
Befindet sich diese
Datei auf einem meiner
Endgeräte? (Verbreitung)
Wurde sie ausgeführt?
(wichtig für die
Unterscheidung zwischen
infizierten und nicht
infizierten Endgeräten)
Wo wurde sie ausgeführt?
(zur Definition einer
Prioritätenliste gefährdeter
Systeme)
Welches System wurde
zuerst infiziert? (erstes
Auftreten)
Welche Computer
sind wahrscheinlich
kompromittiert, weil sie
eine Datei ausführten,
die jetzt als gefährlich
eingestuft wurde?
Wie verbreitet sich
die Malware in
meiner Umgebung?
(Fortbewegung der Datei)
Wo befinden sich die
Dateien, die von anderen
Sicherheitsprodukten nicht
blockiert werden?
Welche „grauen“ Dateien
können in die Black- oder
Whitelist aufgenommen
werden?
Wie ist die globale
Reputation einer
bestimmten Datei
im Vergleich zur
lokalen Reputation im
Unternehmen?
QQ
QQ
QQ
QQ
McAfee Threat Intelligence Exchange Server beantwortet die Abfrage mithilfe der
gesammelten Metadaten, die er bereits zu dieser Datei besitzt. In der Antwort sind
unternehmensspezifische Werte wie Reputation, Verbreitung und Alter enthalten.
Das McAfee Threat Intelligence Exchange-Modul kombiniert anschließend basierend auf
Regeln den lokal ermittelten Kontext (Datei-, Prozess- sowie Umgebungsattribute) mit den
aktuell verfügbaren und kollektiv gesammelten Bedrohungsdaten, um eine Risikobewertung
durchzuführen.
Das Client-Modul wendet Ihre Richtlinien an, um eine Entscheidung für oder gegen die
Ausführung der Datei zu treffen.
McAfee Threat Intelligence Exchange Server protokolliert das Ereignis in seiner
Knowledgebase-Datenbank.
Falls sich eine unbekannte Datei später als böswillig herausstellt, kann VirusScan Enterprise
angewiesen werden, den Host zu bereinigen, wodurch ein ausgeführter böswilliger Prozess
gestoppt werden kann.
Mithilfe von Richtlinien können Sie die Risikotoleranz für das Endgerät anpassen und verschiedene
Ausführungsbedingungen definieren. Sie können beispielsweise eine strenge Nulltoleranz-Richtlinie für
unbekannte oder „graue“ Dateien festlegen. Dies erfordert lediglich die Festlegung einer Richtlinie, wonach
keine Datei ausgeführt werden darf, die nicht über eine bekannte und zulässige Reputation verfügt.
Jedes Unternehmen hat unterschiedliche Vorstellungen davon, welches Risiko es beim Zulassen von
Dateien bereit ist einzugehen bzw. wann Dateien isoliert oder gelöscht werden sollen. Diese Toleranz
hängt meist von der Klasse und geschäftlichen Wichtigkeit der unterschiedlichen Systeme ab. Wenn
der Administrator die Datei später als sicher kennzeichnet, kann er die blockierte Anwendung zu einer
Whitelist hinzufügen oder aber festlegen, dass die Benutzer die Datei selbst nach einer entsprechenden
Meldung zulassen können.
Überprüfung umfangreicher Daten für mehr Klarheit und schnelle Reaktion
Die kollektiven – weltweit, lokal, von Drittanbietern bereitgestellten und manuell generierten –
Bedrohungsdaten, die auf McAfee Threat Intelligence Exchange Server gespeichert sind, ermöglichen eine
ungehinderte Übersicht und beantworten wichtige Fragen auf Grundlage sofort verfügbarer, umsetzbarer
Informationen. Diese Informationen können Ihnen die überzeugenden Nachweise liefern, dank derer Sie
agieren und Ihr Unternehmen absichern können, anstatt auf die Meldung eines Drittanbieters warten zu
müssen und das Unternehmen bis dahin ungeschützt zu lassen.
Beispielsweise zeigen die Verbreitungsdaten für das Unternehmen jeden Computer, der eine bestimmte
Datei angefordert hat. Die Liste betroffener Systeme hilft dabei, die Taktiken der Angreifer aufzudecken und –
noch wichtiger – das ihnen zur Verfügung stehende Eindringungsfenster verkleinern. Gehören alle Computer,
die diese Datei erhalten haben, zu einer einzelnen Arbeitsgruppe, z. B. Finanzabteilung oder SoftwareEntwicklung? Das würde darauf hinweisen, auf welche vertraulichen Daten die Angreifer es abgesehen
haben. Haben die Systeme ein gemeinsames Anwendungsprofil, das auf Zero-Day-Schwachstellen hinweist?
Sofortiger Austausch von Bedrohungsdaten
McAfee Threat Intelligence Exchange unterstützt Unternehmen bei der Anpassung ihrer
Schutzmaßnahmen und vollständigen Eindämmung der Bedrohung. Wenn ein McAfee Threat Intelligence
Exchange-Client auf dem Host die Ausführung einer Datei blockiert oder zulässt, wird diese Entscheidung
in den Datensätzen von McAfee Threat Intelligence Exchange Server vermerkt. Die Informationen zu jeder
Entscheidung können auf mehrfache Weise angewendet werden. McAfee Threat Intelligence Exchange
verteilt sofort die Reputationsinformationen sowie die Details zur Entscheidung an alle verbundenen
Schutzsysteme im Unternehmen, einschließlich Endgeräteschutz und Gateways wie die McAfee Network
Security Platform sowie Drittanbieterprodukte. Auf diese Weise werden alle Sicherheitsprodukte sofort
aktualisiert und lernen voneinander, sodass sie einheitlichen und lokalen angepassten Schutz mit einer
Geschwindigkeit bieten können, die kein Anbieter oder Drittunternehmen schlagen kann.
Da bei einem typischen raffinierten Angriff nach verwundbaren Systemen gesucht wird, schützt diese
fortschrittliche Informationsweitergabe innerhalb der Umgebung andere Hosts vor der Kompromittierung
oder der Attacke durch eine bestimmte Angriffsvariante. Optional kann McAfee Threat Intelligence
Exchange auch die neu erlangten lokalen Bedrohungsdaten an die McAfee GTI-Cloud weiterleiten, um
andere Schutzsysteme bei der Abwehr ähnlicher Angriffe zu unterstützen.
Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System
7
Whitepaper
Was möchten Sie gerne
wissen? (Fortsetzung)
QQ
QQ
QQ
QQ
QQ
Wie viele Dateien wurden
in den letzten Stunden als
böswillig identifiziert?
Folgende Szenarien verdeutlichen, wie McAfee Threat Intelligence Exchange und der McAfee Data
Exchange Layer die Funktionsweise des Bedrohungsschutzes verändern, umsetzbare Informationen liefern
sowie den präventiven Schutz erweitern – von der Erkennung bis hin zur Isolierung.
Szenario 1: Reaktion basierend auf kollektiv erfassten Daten
Wie viele Dateien in
meinen Umgebungen
wurden der Black-, Whiteoder Graylist zugeordnet?
Im ersten Szenario wird der Endgeräteschutz basierend auf lokal optimierten Bedrohungsdaten
ermöglicht. Diese Anpassung hätte es im Jahr 2013 Händlern des VISA-Netzwerks erlaubt, schnell
automatisierte Schutzmaßnahmen gegen die Hash-Werte zu implementieren, die von VISA für einen
Speicher-Parser-Angriff veröffentlicht wurden.1
Welcher Anteil des
gesamten Dateibestandes
wird in der Black-, Whiteoder Graylist geführt, wenn
nach Microsoft WindowsVersion unterschieden
wird?
Jetzt erhalten die Unternehmensadministratoren eine Mitteilung und tragen die neuen Hash-Dateien
über die Verwaltungsoberfläche in McAfee Threat Intelligence Exchange ein. Wenn das Host-System
anschließend die verdächtige Datei findet, verhindert McAfee Threat Intelligence Exchange deren
Ausführung basierend auf der angepassten und durch die kollektive Bedrohungserfassung erhaltene
Information („diese Hash-Werte sind gefährlich“).
Welche Dateien kommen
in meiner Umgebung am
seltensten vor? (Einzelfälle,
potenziell böswillige
Dateien)
Wird eine bestimmte
Version des
Betriebssystems Microsoft
Windows besonders
angegriffen?
McAfee Global
Threat Intelligence
VISA
Kernkomponenten
McAfee ePO
McAfee Threat
Intelligence
Exchange Server
McAfee Data Exchange Layer
McAfee Threat Intelligence
Exchange-Modul für
VirusScan Enterprise
Abbildung 4. Drittanbieterdaten können wertvolle Informationen liefern.
Von internen Teams erkannte Malware (oder verdächtige Dateien) können sofort blockiert werden,
ohne dass ein Exemplar eingesendet und auf eine Aktualisierung der Virenschutzsignatur durch den
Anbieter gewartet werden muss. Wenn ein anderes Endgerätesystem diese Datei erkennt, wird das im
Verbreitungszähler von McAfee Threat Intelligence Exchange Server erfasst, wodurch Administratoren
wertvolle Informationen dazu erhalten, ob das Unternehmen angegriffen wird. Der Nutzen für das
Unternehmen besteht darin, dass ein Kompromittierungsindikator (in diesem Fall ein Datei-Hash-Wert)
eine Vielzahl wertvoller Informationen liefern kann, die in Echtzeit weitergegeben werden können.
McAfee Threat Intelligence Exchange kann zudem die Ausführung und nicht nur Lese- sowie
Schreibprozesse einer Datei verhindern. Dieser Ausführungsschutz verhindert ungewöhnliches
Verhalten und ermöglicht McAfee Threat Intelligence Exchange die Erfassung wertvoller
Angriffsindikatoren, die sofort in der gesamten Umgebung verteilt werden können. Im Gegensatz zu
Kompromittierungsindikatoren, die einzelne, als gefährlich bekannte statische Ereignisse beschreiben,
beschreiben Angriffsindikatoren eine Situation aus Ihrer Sicht. Angriffsindikatoren sind ein einmaliges
Geflecht aus unbekannten Attributen, Kompromittierungsindikatoren und Kontextinformationen, die
Unternehmens- sowie Risikodaten umfassen und ein dynamisches Situationsabbild erzeugen, mit dem Sie
Ihre weiteren Reaktionen planen können. McAfee Threat Intelligence Exchange erkennt und meldet neue
sowie ungewöhnliche Ereignisse in der Umgebung, die möglicherweise noch nicht mit einer bekannten
Bedrohung oder Kompromittierung in Zusammenhang gebracht werden.
Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System
8
Whitepaper
Szenario 2: Einbindung von McAfee Advanced Threat Defense für tiefgehende Analyse
Ein Angreifer, der Ihre Unternehmensdaten stehlen möchte, greift auf subtile StealthProgrammiertechniken und Zero-Day-Exploits zurück. Die dabei eingesetzte Malware-Datei ist
möglicherweise einmalig oder wird nur vereinzelt eingesetzt. Dieses seltene Vorkommen verhindert,
dass diese Bedrohung von herkömmlichen Signatur- oder Reputations-basierten Gegenmaßnahmen
zuverlässig erkannt wird. Wenn eine verdächtige Datei jedoch nicht durch vorhandene McAfee Threat
Intelligence Exchange-Ressourcen überführt werden kann, wird dies durch die tiefgehende Analyse mit
McAfee Advanced Threat Defense möglich.
McAfee Advanced Threat Defense ergänzt die Erkennung hochentwickelter gezielter Angriffe um einen
mehrstufigen Ansatz, der innovative Echtzeit-Dekonstruktion von Malware nutzt. Dies umfasst zum
Beispiel starke Entpackfunktionen, die Verschleierungstechniken aushebeln, um den ursprünglichen
ausführbaren Code sowie das damit beabsichtigte Verhalten ermitteln zu können. Wo andere
Sandbox-Anbieter mit einfachen Malware-Kodierungstaktiken leicht getäuscht oder umgangen werden
können, kombiniert McAfee Advanced Threat Defense mehrere Techniken zur branchenweit ersten
Funktion zur Echtzeit-Dekonstruktion von statischem Code mit dynamischer Sandbox-Analyse, um
die Verschleierungstaktiken der Angreifer auszuhebeln. Dies ergibt die stärkste sowie fortschrittlichste
Malware-Schutztechnologie auf dem Markt und schafft ein Gleichgewicht zwischen der notwendigen
Sicherheit und Leistungsfähigkeit.
McAfee
Global Threat
Intelligence
Bedrohungsdaten von
Drittanbietern
McAfee
McAfee
Threat
Threat Intelligence
Intelligence
Exchange-Server Exchange Server
JA
NEIN
McAfee
ePO
McAfee
McAfee
Threat
Threat Intelligence
Intelligence
ExchangeExchangeModul
Modul für
für McAfee
Endgeräteschutz
VirusScan
Abbildung 5. Daten- und Reputations-Synthese aus der Cloud, dem Netzwerk sowie von Endgeräten
Bidirektionaler Informationsaustausch zwischen Endgeräten und Netzwerkkomponenten
Durch den Einsatz von McAfee Threat Intelligence Exchange in Kombination mit McAfee Advanced
Threat Defense wird der Schutz vor hochentwickelten gezielten Angriffen verstärkt. Sie erhalten einen
zeitgemäßen und zuverlässigen Bedrohungsschutz, der Verhaltens-, Reputations- und Signatur-basierte
Analysen für das Netzwerk und die Endgeräte kombiniert.
McAfee-Endgeräte erhalten per Richtlinie die Aufforderung, Daten mit „unbekannter“ Reputation zu
blockieren und anschließend zur genauen Untersuchung und Entscheidung über die Gefährlichkeit an
McAfee Advanced Threat Defense zu senden. Wenn die Datei als gefährlich eingestuft wird, gibt das
System diese Information mit einem Reputations-Update über den Data Exchange Layer an alle im
Unternehmen verbundenen Schutzsysteme weiter. Dadurch können zum Beispiel von McAfee Threat
Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System
9
Whitepaper
Intelligence Exchange verwaltete Endgeräte sofort präventiv die Ausführung dieser Datei blockieren,
während Netzwerk-Gateways verhindern, dass diese Datei in das Unternehmensnetzwerk gelangt.
Erkennungen auf den Netzwerk-Gateways werden durch diesen zentralen Analyseprozess verarbeitet, und
die Erkenntnisse werden ebenfalls an die Endgeräte weitergegeben.
Dieser Erkenntnis- und Reputationsaustausch verdeutlicht, wie Endgeräte und Netzwerk die einmalige
Security Connected-Plattform dazu nutzen, Lücken durch die Out-of-Band-Übertragung von Schaddaten
zu schließen. Durch die Verknüpfung der vektorübergreifenden McAfee-Sicherheitslösungen werden
nicht nur das Anfälligkeitsfenster für neue Malware-Varianten erheblich verringert, sondern auch der
Zeitaufwand für die Fehlerbehebung sowie der Bedarf an Netzwerkumgestaltungen reduziert.
Durch die Nutzung der VirusTotal-Integration zur Bewertung von Daten und Werten anderer MalwareSchutz-Anbieter können Sie bei einer potenziellen Bedrohung für Ihre eigene Umgebung die richtige
Vorgehensweise bestimmen.
Szenario 3: Schnellere Angriffserkennung dank McAfee Enterprise Security Manager
Nicht zuletzt möchten viele Unternehmen die von McAfee Enterprise Security Manager bereitgestellte
Transparenz und Korrelation nutzen, um einen schnelleren und besseren Überblick über die Bedrohungen
in ihrer Umgebung zu erhalten. Das SIEM-System (Sicherheitsinformations- und Ereignis-Management)
McAfee Enterprise Security Manager kann umfangreiche Daten von McAfee Threat Intelligence
Exchange und McAfee Advanced Threat Defense abrufen und mit seinem patentierten HochleistungsDatenbankmodul die Protokoll- und Ereignisdaten aus Hunderten Datenquellen korrelieren.
Dank dieser erweiterten, detaillierten Daten können Sie bei der Untersuchung von und Reaktion auf
Angriffe Fragen beantworten wie: „Welche Hosts zeigen Verhalten, das zu unseren neuen Erkenntnissen
passt?“ Immer dann, wenn McAfee Threat Intelligence Exchange neue böswillige Ereignisse (ein „erstes
Vorkommen“) erkennt und die Aufforderung zum Ausführen bzw. Blockieren an die Clients sendet, kann
McAfee Enterprise Security Manager die Administratoren auf dieses Ereignis aufmerksam machen sowie
Behebungsschritte wie Aktualisierungen der Endgeräterichtlinien fast in Echtzeit auslösen. Dank der engen
Verknüpfung der Erkennung/Reaktion/Verhinderung können die McAfee Enterprise Security ManagerWorkflows und Watchlists dafür sorgen, dass die Erkenntnisse von McAfee Threat Intelligence Exchange
und SIEM den Schutz sowie die Risikoverwaltung in Ihrem Unternehmen verbessern.
Aus der Vergangenheit für die Zukunft lernen
McAfee Enterprise Security Manager nutzt die von McAfee Advanced Threat Defense und McAfee
Threat Intelligence Exchange bereitgestellten Elemente, um Ereignisse in den McAfee Enterprise
Security Manager-Archiven zu finden und bei zukünftigen, damit zusammenhängenden Ereignissen
Warnungen auszugeben. Das gibt Unternehmen die Möglichkeit, die Uhr zurückzudrehen und die
aktuellen neuen Erkenntnisse zur Identifizierung früherer böswilliger Interaktionen zu nutzen, die zum
Ausführungszeitpunkt unentdeckt blieben.
So kann zum Beispiel der Hash-Wert einer als gefährlich erkannten Datei von McAfee Threat Intelligence
Exchange oder McAfee Advanced Threat Defense in eine SIEM-Watchlist eingefügt werden. McAfee
Enterprise Security Manager wiederum nutzt die in der Watchlist gespeicherten Informationen zum
Vergleich mit älteren indexierten Daten bzw. neuen Echtzeitereignissen. Da Datei-Hash-Werte von
vielen Produkten – nicht nur McAfee Advanced Threat Defense, sondern auch von Lösungen zur
Dateiintegritätsüberwachung (McAfee Change Control) sowie von Netzwerk-Eindringungsschutzsystemen
und Malware-Schutz-Web-Gateways – generiert werden, erhöht der veröffentlichte Datei-Hash-Wert
die Sensibilität für Aktivitäten im gesamten Unternehmen. Wenn McAfee Threat Intelligence Exchange
die Reputationsinformationen an diese Systeme sendet, um die Blockierung zu erzwingen, ermöglicht
McAfee Enterprise Security Manager die Zusammensetzung der einzelnen Ereignisse, um ein vollständiges
Gesamtbild der böswilligen Aktivitäten zu erhalten.
Zusätzlich zu den Datei-Hash-Werten kann McAfee Enterprise Security Manager weitere
Angriffsindikatoren nutzen, die von McAfee Advanced Threat Defense und McAfee Threat Intelligence
Exchange generiert werden. Beide Lösungen stellen zusätzlich zu den Ergebnissen Details zu Dateienamen,
IP-Informationen, Code-Hash-Werte, Verbreitung und Host-Name zur Verfügung.
Hochentwickelte gezielte Bedrohungen – Bekämpfung erfordert ein integriertes System
10
Whitepaper
Die Berichte von McAfee Advanced Threat Defense umfassen zudem Informationen zu den Dateien, die
mit dem Angriff in Zusammenhang stehen. Wenn in Ihrer Umgebung sowohl McAfee Advanced Threat
Defense als auch McAfee Enterprise Security Manager eingesetzt werden, kann McAfee Enterprise Security
Manager gefährliche Dateien filtern, die von McAfee Advanced Threat Defense entdeckt wurden, und
dann Ereignisse nach diesen Dateien durchsuchen. Sobald die Dateien gefunden wurden, können die
entsprechenden Daten im weiteren Verlauf anhand der IP-Adressen und Dateinamen gefiltert werden,
die von McAfee Advanced Threat Defense zu diesen Daten erfasst wurden. McAfee Enterprise Security
Manager dokumentiert alle mit diesen Attributen zusammenhängenden und von McAfee Advanced Threat
Defense generierten Ergebnisse sowie überwacht die nachfolgenden Ereignisse.
Da McAfee Enterprise Security Manager Ereignisse innerhalb eines Angriffs erkennt, kann die Lösung
automatisch Maßnahmen zur Eindämmung, Behebung und Anpassung einleiten. So können zum Beispiel
Hosts, die vom Angriff betroffen sind, ein sofortiges Richtlinien-Update erhalten oder isoliert bzw.
gescannt werden.
Neue Abwehrtaktiken
Diese Szenarien zeigen Möglichkeiten auf, mit denen die besten, umfassendsten und relevantesten
Informationen in Ihre Abwehr einfließen und für die automatische Umsetzung von Schutzmaßnahmen
genutzt werden können. Sie können Erkennung, Analyse und Schutzfunktionen auf Daten- und WorkflowEbene miteinander verknüpfen, damit Ihre Sicherheitslösungen voneinander lernen und Ihr Unternehmen
zuverlässig sowie in Echtzeit schützen. Zudem können Sie Bedrohungen effektiv und anhand aktuellster
Informationen in Ihrer gesamten Umgebung erkennen, gezielt suchen sowie beseitigen. Das gilt sowohl für
vergangene als auch zukünftige Ereignisse.
Dank der adaptiven Bedrohungsinformationen und der Echtzeitkommunikation mit der Security ConnectedPlattform bietet McAfee eine neue Abwehrtaktik gegen hochentwickelte gezielte Angriffe. McAfee Threat
Intelligence Exchange liefert Details zu Bedrohungsdaten, damit Angriffsindikatoren definiert und als
Grundlage für Aktionen verwendet werden können, während die verschiedenen Komponenten der Security
Connected-Plattform vom Data Exchange Layer mit Kontext ausgestattet werden. Mit McAfee Advanced
Threat Defense und McAfee Enterprise Security Manager sowie den verschiedenen McAfee-Lösungen für
Endgeräte- und Netzwerksicherheit erhalten Sie den branchenweit umfassendsten Bedrohungsschutz – in
einem optimierten System zur nachhaltigen Abwehr hochentwickelter gezielter Angriffe.
Weitere Informationen hierzu finden Sie unter:
www.mcafee.com/de/solutions/incident-response/comprehensive-threat-protection.aspx
www.mcafee.com/de/solutions/incident-response/index.aspx
www.mcafee.com/de/products/threat-intelligence-exchange.aspx
www.mcafee.com/de/products/advanced-threat-defense.aspx
www.mcafee.com/de/products/siem/index.aspx
Über Intel Security
McAfee ist jetzt ein Geschäftsbereich von Intel Security. Durch die Security Connected-Strategie, einem
innovativen Ansatz für Hardware-unterstützte Sicherheitslösungen sowie das Global Threat IntelligenceNetzwerk ist Intel Security voll und ganz darauf konzentriert, für die Sicherheit seiner Kunden zu sorgen.
Dazu liefert Intel Security präventive, bewährte Lösungen und Dienste, mit denen Systeme, Netzwerke und
Mobilgeräte von Privatanwendern und Unternehmen weltweit geschützt werden können. Intel Security
verknüpft die Erfahrung und Fachkompetenz von McAfee mit der Innovation und bewährten Leistung von
Intel, damit Sicherheit als essentieller Bestandteil jeder Architektur und Computerplattform eingebettet
wird. Intel Security hat sich zum Ziel gesetzt, allen – Privatpersonen ebenso wie Unternehmen – die
Möglichkeit zu geben, die digitale Welt absolut sicher nutzen zu können. www.intelsecurity.com
1. http://usa.visa.com/download/merchants/alert-prevent-grocer-malware-attacks-04112013.pdf
McAfee. Part of Intel Security.
Ohmstr. 1
85716 Unterschleißheim
Deutschland
+49 (0)89 37 07-0
www.intelsecurity.com
Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee, das McAfee-Logo, ePolicy
Orchestrator, McAfee ePO und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen Tochterunternehmen in den USA
und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Die in diesem Dokument enthaltenen Produktpläne,
Spezifikationen und Beschreibungen dienen lediglich Informationszwecken, können sich jederzeit ohne vorherige Ankündigung ändern und schließen
alle ausdrücklichen oder stillschweigenden Garantien aus. Copyright © 2014 McAfee, Inc. 60945wp_it-takes-a-system_0214B