Warum sich Unternehmen nicht mehr auf herkömmliche Antiviruslösungen verlassen können
©
Eine wachsende Angriffsfläche durch immer mehr vernetzte Endgeräte, professionalisierte Hackergruppen und nicht zuletzt die Entwicklung raffinierter Malware stellen die Sicherheitsverantwortlichen in Unternehmen vor große Herausforderungen und bringen traditionelle Sicherheitslösungen immer öfter an ihre Grenzen. Wie ernst die aktuelle Bedrohungslage von Unternehmen durch Malware ist, zeigen Studien und Reports, wie auch der aktuelle Enterprise Risk Index von SentinelOne.
Als besondere Bedrohung hebt der Risk Index dabei die zunehmende Verbreitung Speicher-basierter Angriffe hervor. So genannte In-Memory-Angriffe nutzen Schadprogramme, die lediglich im Speicher aktiv sind und dort von legitimer Software ausgeführt werden. Da keine Malware-Dateien auf der Festplatte zurückbleiben, sind Speicher-basierte Angriffe im Nachhinein nur sehr schwer nachweisbar. So kann etwa nach einem Systemneustart nichts mehr auf die vorangegangene Attacke hinweisen. Statische und auf die Erkennung von Dateien ausgerichtete Antiviruslösungen sind bei Angriffen dieser Art hilflos und deshalb so gut wie überflüssig. Während die Zahl der traditionellen .exe-basierten Attacken in der zweiten Jahreshälfte 2016 etwas abnahm und von 55 Prozent auf 48 Prozent abgefallen ist, hat sich die Zahl der dateilosen Angriffe in diesem Zeitraum mehr als verdoppelt. Wurden im August 2016 noch sieben Prozent der Schadprogramme im Speicher ausgeführt, waren es im November bereits 16 Prozent. Von einem weiteren Anstieg ist auszugehen. Dabei setzen vor allem Akteure in nationalstaatlichem Auftrag, etwa ausländische Geheimdienste, vermehrt auf derart verschleierte Angriffsmethoden, die keinerlei Artefakte auf dem Dateisystem hinterlassen und daher besonders hohe Infektionsraten aufweisen.
Dass herkömmliche Antivirus-Technologien von in-Memory-Schadprogrammen problemlos umgangen werden können, ist offensichtlich. Doch auch die Erkennung von signaturbasierter Malware wird für diese Sicherheitslösungen immer mehr zum Problem. Das liegt hauptsächlich an der schier endlosen Menge an neuen und modifizierten Programmen, die jeden Tag auf die Opfer losgelassen werden. Experten sprechen von bis zu 390.000 neuen Malware-Samples täglich. Anbieter von AV-Lösungen können ihre Produkte gar nicht so schnell updaten, wie Hacker neue Programme hochladen. Wie der Risk Index zeigt, existieren nur für 20 Prozent der Schadprogramme entsprechende Signaturen in bestehenden AV-Modulen. 80 Prozent der Malware kann demnach so gut wie ungehindert in das System seiner Opfer eindringen.
Unternehmen, die hochentwickelten und raffinierten Malware- und Ransomware-Angriffen den Kampf ansagen wollen, müssen in Sachen Cybersicherheit einen Schritt nach vorne machen und dabei insbesondere den Schutz ihrer Endpunkte in den Mittelpunkt stellen. Schließlich lassen sich fast dreiviertel aller Datenleaks mittlerweile auf Angriffe auf Endgeräte zurückführen. Dazu müssen sie Endpoint Protection-Lösungen einsetzten, die auf innovativen Ansätzen wie maschinellem Lernen, dynamischen Verhaltensanalyse-Techniken und intelligenter Automatisierung basieren. Technologien wie diese ermöglichen es, schadhaften Code anhand seines Laufzeitverhaltens zu identifizieren und helfen Unternehmen, auch neuartige und bisher vollkommen unbekannte Malware-Stämme abzuwehren und zu blockieren.
Als besondere Bedrohung hebt der Risk Index dabei die zunehmende Verbreitung Speicher-basierter Angriffe hervor. So genannte In-Memory-Angriffe nutzen Schadprogramme, die lediglich im Speicher aktiv sind und dort von legitimer Software ausgeführt werden. Da keine Malware-Dateien auf der Festplatte zurückbleiben, sind Speicher-basierte Angriffe im Nachhinein nur sehr schwer nachweisbar. So kann etwa nach einem Systemneustart nichts mehr auf die vorangegangene Attacke hinweisen. Statische und auf die Erkennung von Dateien ausgerichtete Antiviruslösungen sind bei Angriffen dieser Art hilflos und deshalb so gut wie überflüssig. Während die Zahl der traditionellen .exe-basierten Attacken in der zweiten Jahreshälfte 2016 etwas abnahm und von 55 Prozent auf 48 Prozent abgefallen ist, hat sich die Zahl der dateilosen Angriffe in diesem Zeitraum mehr als verdoppelt. Wurden im August 2016 noch sieben Prozent der Schadprogramme im Speicher ausgeführt, waren es im November bereits 16 Prozent. Von einem weiteren Anstieg ist auszugehen. Dabei setzen vor allem Akteure in nationalstaatlichem Auftrag, etwa ausländische Geheimdienste, vermehrt auf derart verschleierte Angriffsmethoden, die keinerlei Artefakte auf dem Dateisystem hinterlassen und daher besonders hohe Infektionsraten aufweisen.
Dass herkömmliche Antivirus-Technologien von in-Memory-Schadprogrammen problemlos umgangen werden können, ist offensichtlich. Doch auch die Erkennung von signaturbasierter Malware wird für diese Sicherheitslösungen immer mehr zum Problem. Das liegt hauptsächlich an der schier endlosen Menge an neuen und modifizierten Programmen, die jeden Tag auf die Opfer losgelassen werden. Experten sprechen von bis zu 390.000 neuen Malware-Samples täglich. Anbieter von AV-Lösungen können ihre Produkte gar nicht so schnell updaten, wie Hacker neue Programme hochladen. Wie der Risk Index zeigt, existieren nur für 20 Prozent der Schadprogramme entsprechende Signaturen in bestehenden AV-Modulen. 80 Prozent der Malware kann demnach so gut wie ungehindert in das System seiner Opfer eindringen.
Unternehmen, die hochentwickelten und raffinierten Malware- und Ransomware-Angriffen den Kampf ansagen wollen, müssen in Sachen Cybersicherheit einen Schritt nach vorne machen und dabei insbesondere den Schutz ihrer Endpunkte in den Mittelpunkt stellen. Schließlich lassen sich fast dreiviertel aller Datenleaks mittlerweile auf Angriffe auf Endgeräte zurückführen. Dazu müssen sie Endpoint Protection-Lösungen einsetzten, die auf innovativen Ansätzen wie maschinellem Lernen, dynamischen Verhaltensanalyse-Techniken und intelligenter Automatisierung basieren. Technologien wie diese ermöglichen es, schadhaften Code anhand seines Laufzeitverhaltens zu identifizieren und helfen Unternehmen, auch neuartige und bisher vollkommen unbekannte Malware-Stämme abzuwehren und zu blockieren.