Breach Remediation: Automatische Threat-Entfernung

Breach Remediation ist wichtiger Bestandteil von effektiven Sicherheitslösungen im Netzwerk. Zusammen mit anderen Funktionen aus Malwarebytes Incident Response und Endpoint Protection kann Breach Remediation dafür sorgen, dass Angreifer schnellstmöglich erkannt und entfernt werden.

Um die Sicherheit von Netzwerken zu gewährleisten, reicht es in den meisten Fällen nicht einfach aus, interne Firewalls zu betreiben oder einen Virenschutz zu installieren. Viele Bedrohungen sind mittlerweile auf diesem Weg nicht mehr zu beseitigen.

Dazu gehören Rootkits, aber auch andere Malware, die großen Schaden im Netzwerk verursacht. Auch Ransomware verursacht umso mehr Schaden, je länger der Schädling im Netzwerk aktiv ist. Es ist also wichtig, dass die Sicherheitslösungen im Unternehmen Angriffe schnell erkennen und genauso schnell beseitigen.

Malware wird außerdem immer intelligenter und nutzt Sicherheitslücken in Betriebssystemen oder Software immer effizienter aus. Moderne Angreifer und Malware lassen sich dadurch kaum mehr von herkömmlichen Virenscannern aufhalten. Das IT-Sicherheitsunternehmen Malwarebytes hat im ersten Quartal international eine Zunahme von Malware von über 500 Prozent im Vergleich zum Vorjahr festgestellt. In Deutschland wurde ein Anstieg von über 900 Prozent gemessen. Dieser Trend hält leider an. Unternehmen müssen mit diesen Anforderungen Schritt halten und die internen Sicherheitssysteme in die Lage versetzen, diese Bedrohungen effizient zu bekämpfen.

Die Sicherheitsbedrohungen betreffen natürlich nicht nur große Netzwerke, sondern auch kleine Unternehmen, in denen keine Sicherheitsexperten vor Ort sind, die Angriffe frühzeitig erkennen, verhindern und bekämpfen. Hier müssen also Lösungen gefunden werden, mit denen kleine Niederlassungen und Unternehmen genauso zuverlässig geschützt werden können, wie große Netzwerke.

Reaktive Tätigkeiten zur Unternehmenssicherheit sind gefährlich

Incident Response Teams sind heutzutage stark damit beschäftigt Alarmmeldungen nachzugehen, die durch interne Sicherheitssysteme ausgelöst werden. Auch Meldungen von Virenscannern, dass bestimmte Schadsoftware nicht oder nur in Teilen entfernt werden kann, müssen die Teams nachgehen und oft manuell nacharbeiten. Das kostet Zeit, die an anderer Stelle fehlt und verringert die Sicherheit des Netzwerkes. Diese Tätigkeiten sind außerdem reaktiv, erfolgen also erst nach einem Angriff und sind häufig sehr zeitverzögert. Potentielle Angreifer können in der Zwischenzeit also nahezu ungehindert im Netzwerk agieren, Dateien manipulieren und Daten stehlen. Das ist gefährlich und beeinträchtigt deutlich die Sicherheit im Netzwerk. Dadurch leidet natürlich auch enorm der Ruf des Unternehmens. Um die Sicherheit von Netzwerken zu verbessern, sollten Unternehmen besser auf effektive automatisierte Anwendungen und Lösungen setzen, die aktiv Schädlinge bekämpfen, und zwar so schnell wie möglich.

Wenn eine Schadsoftware auf Endgeräten erkannt wurde und das Gerät zum Beispiel neu installiert werden muss, kann es mehrere Stunden dauern bis eine Bereinigung oder eine Neuinstallation erfolgt. Das belastet das IT-Personal und kostet Zeit, die anderer Stelle benötigt wird.  Viele Sicherheitsverletzungen, die durch Schadsoftware im Netzwerk erfolgen, bleiben häufig unentdeckt. Dadurch können weitere Sicherheitslücken entstehen, die erst nach und nach erkannt und beseitigt werden. Alles in allem kann festgehalten werden, dass reaktive Sicherheitslösungen nicht mehr ausreichen, um für genügend Sicherheit im Netzwerk zu sorgen. Moderne Systeme arbeiten mit Virenscannern, Firewalls und anderen Komponenten zusammen, um die Sicherheit im Netzwerk weiter zu verbessern, ohne Incident Response Teams mit ständigen Meldungen zu überlasten.

Mehr Sicherheit mit Malwarebytes Incident Response

Neben Datenschutz, Verschlüsselung, Überwachung der Apps und die Steuerung mobiler Endgeräte, müssen auch noch die Server, Endgeräte und Netzwerkkomponenten überwacht und abgesichert werden. Dazu kommt der Schutz des Internet- und E-Mail-Verkehrs sowie der IP-Telefonie. Aber auch die Analyse von Schwachstellen im Netzwerk sowie die Behebung von Sicherheitslücken, die Verwaltung von Patches und Updates und auch die Kontrolle der Lizenzen spielen für die Sicherheit eine wichtige Rolle.

Malwarebytes bietet mit  Incident Response und die darin enthaltene Breach Remediation eine erweiterte Plattform für die Erkennung und Beseitigung von Bedrohungen aller Art. Auf den Endpunkten sind keine Agenten notwendig. Alle Aufgaben werden über das Netzwerk vorgenommen.  Die Lösung kann Malware gleichzeitig erkennen und angreifen. Das funktioniert auch über das Netzwerk, ohne dass Administratoren beim jeweiligen Endpunkt vor Ort Aktionen durchführen müssen, um den Schädling zu entfernen. Breach Remediation erkennt Angreifer und deren Datenrückstände auf allen Endpunkten zuverlässig und kann die Reste oder sogenannte Artefakte des Angreifers auch auf allen anderen Endpunkten gleichzeitig entfernen. Diese Bereinigung erfolgt in sehr kurzer Zeit und stellt sicher, dass Reste von Angreifern oder Viren keine schädlichen Aktionen im Netzwerk durchführen können.

Malwarebytes Incident Response

Die neue Endpoint Protection von Malwarebytes bietet Schutz für Unternehmen vor Hackern und Schadsoftware. Die Lösung kannVirenscanner in Netzwerken komplett ersetzen . Die neue Plattform fasst die Lösungen Incident Response mit Breach Remediation und Endpoint Protection zusammen. Verwaltet wird die Umgebung mit einer cloudbasierten Managementlösung. Der starke Anstieg von Malware zeigt, dass Unternehmen dringend reagieren müssen und herkömmlichen Virenscanner kaum mehr ausreichen. Endpoint Protection geht beim Schutz von Netzwerken deutlich weiter als herkömmliche Virenscanner.

Die Malwarebytes Incident Response-Lösung ist direkt in der cloudbasierten Verwaltungsplattform integriert. Werden Angreifer erkannt, kann die Lösung schnell und einfach einschreiten und die Bedrohung eingrenzen, beseitigen und dadurch neutralisieren. Die Beseitigung erfolgt automatisiert und Verantwortliche oder Administratoren müssen sich keine Gedanken um aktuelle Definitionsdateien oder Virensignaturen machen. Auch wenn es sich bei der Lösung um eine Cloudplattform handelt, ist keine ständige Verbindung zur Cloud notwendig. Auch wenn die Verbindung zur Cloudlösung durch einen geschützten Rechner verloren geht, bleibt dieser geschützt. Die Anwender werden auch dann geschützt, wenn der Agent auf dem jeweiligen Rechner die Verbindung zu Endpoint Protection verliert.

Mit einer Lösung in der Cloud können auch lokale Netzwerke geschützt werden (Screenshot: Thomas Joos).Mit einer Lösung in der Cloud können auch lokale Netzwerke geschützt werden (Screenshot: Thomas Joos).

 

Mehr Sicherheit für kleine und große Netzwerke

Die Plattform ist für kleine Unternehmen genauso geeignet, wie für große Netzwerke. Die intelligente Scan-Engine ist auf Heuristiken und Definitionen gestützt. Die automatisierte dezentrale Erkennung und Beseitigung von Schadsoftware sowie die Zeitachsenansicht für forensische Ereignisse bietet einen Rundumschutz für das Netzwerk. Administratoren haben den Sicherheitsstatus des Netzwerks ständig im Blick, auch zusammen mit den anderen Technologien der Cloud-Lösung. Durch die Machine Learning-Funktionen und die signaturlose Erkennung von Angreifern kann Malwarebytes Endpoint Protection zum Beispiel Angreifer und Schadsoftware in Echtzeit erkennen und entsprechend reagieren.

Malwarebytes Incident Response und Breach Remediation können zentral im Netzwerk nach Sicherheitsproblemen, Angriffen und Schädlingen suchen. Administratoren müssen nicht jedes einzelne Endgerät untersuchen, sondern können zentral auf alle Bestandteile des Netzwerks, die Server, Arbeitsstationen und Notebooks zugreifen, um das Netzwerk zu schützen. Dabei soll Breach Remediation für sich alleine vorhandene Sicherheitslösungen nicht ersetzen, sondern in die verbesserte Sicherheit mit einbinden. Breach Remediation integriert sich in vorhandene Strukturen und sorgt für mehr Sicherheit durch wesentlich schnellere Beseitigung von Angreifern. Breach Remediation erkennt Angreifer und entfernt diese automatisch. Dadurch werden Bedrohungen zuverlässig und schnell beseitigt. Zusammen mit der Endpoint-Plattform können natürlich auch Virenscanner anderer Hersteller zuverlässig ersetzt werden.

Breach Remediation scannt Endpunkte im Netzwerk auf verdächtige Dateien und Anomalien sowie untypisches Verhalten. Anschließend kombiniert die Lösung alle Informationen der Bedrohung und löscht die infizierten Systembestandteile vollständig automatisch. Es bleiben also keinerlei Reste eines Angreifers im Netzwerk. Das verhindert, dass spätere Angriffe oder Lateral Movements von den verbliebenen Malware-Resten profitieren.

Endpoint-Cloud-Plattform von Malwarebytes bietet Schutz vor allen möglichen Schädlingen (Screenshot: Thomas Joos).Endpoint Protection von Malwarebytes bietet Schutz vor allen möglichen Schädlingen (Screenshot: Thomas Joos).

Verringerte Ausfallzeiten durch mehr Sicherheit

Sicherheitslücken und die damit verbundenen Bedrohungen und Angriffe resultieren in Ausfallzeiten für Computer oder Server. Durch eine verbesserte Sicherheit mit Breach Remediation wird die Ausfallzeit im Netzwerk deutlich reduziert und in den meisten Fällen verhindern. Administratoren müssen keine manuellen Reparaturen durchführen oder Rechner neu installieren, da die Software Gefahren erkennt und beseitigt. Dadurch werden die Endpunkte zuverlässig geschützt, zusammen mit anderen Produkten aus der Endpoint Protextion.

Aktive Jagd auf Schadsoftware

Breach Remediation jagt aktiv Schadsoftware im Netzwerk und wartet nicht darauf bis Dateien kompromittiert sind. Das System funktioniert ähnlich wie ein Sprinklersystem. Sicherheitsgefahren auf den Endpunkten werden breitflächig eliminiert, bevor sie sich zu einem Großbrand entwickeln, der erst durch viel Arbeit und manuelle Aktionen bekämpft werden muss. Die Lösung verhindert also großflächige Angriffe zuverlässig, in dem frühzeitig eingegriffen wird. Malwarebytes Breach Remediation erkennt dadurch nicht nur bekannte Schädlinge, sondern auch neue und von anderen Produkten (wie zum Beispiel Virenscanner) nicht erkannte Bedrohungen. Die Verhaltensregeln und Heuristik arbeitet mit Gefährdungsindikatoren (Indicators of Compromise, IOC), die auch von Tools und Repositories anderer Hersteller eingebunden werden können.

Analyse der Angriffe

Neben der Beseitigung von Angriffen, kann Breach Remediation auch Analysen des Angriffs erstellen. Die forensischen Ereignisse von Angriffe werden über die proprietäre Forensic Timeliner-Funktion verfolgt. Dadurch können Sicherheitsteams erkennen, wie sich ein Angriff äußert und entsprechend reagieren. So lassen sich Sicherheitslücken schnell und effektiv schließen. Aber auch gefährliches Nutzerverhalten wird erkannt und kann unterbunden werden. Durch die Erfassung der Systemereignisse vor, während und nach des Angriffs kann ein genauer Ablauf protokolliert und für zukünftige Analyse verwendet werden. Die Ergebnisse werden in die Analyse mit einbezogen und helfen dabei Angriffe noch schneller zu erkennen und zu verhindern.

Die Ergebnisse der Analyse werden aber nicht nur systemintern verwendet, sondern Breach Remediation erstellt eine einfach verständliche Zeitachse mit den Ergebnissen. Diese können Administratoren und Anwender verwenden, um Angriffe schneller und zuverlässiger zu erkennen und zu verhindern. Die Informationen werden im Dashboard der Weboberfläche angezeigt und lassen sich dadurch zuverlässig nachverfolgen. Breach Remediation erkennt auch Änderungen an Dateien, der Registry sowie besuchte Webseiten und bezieht diese in die Analyse mit ein. Die Informationen werden auch von den anderen Diensten der Endpoint Protection erkannt.

In der Zeitleiste werden gefundene Bedrohungen angezeigt (Screenshot: Thomas Joos).In der Zeitleiste werden gefundene Bedrohungen angezeigt (Screenshot: Thomas Joos).

Zusammenarbeit mit anderen Analysetools

Breach Remediation will vorhandene Sicherheitsysteme oder Sicherheitsinformations- und Ereignismanagementtools nicht ersetzen, sondern kann mit diesen zusammenarbeiten. Tools wie Splunk, ArcSight, QRadar), aber auch Systeme zur Erkennung von Sicherheitsverletzungen, wie  Lastline, Mandiant, Fidelis arbeiten mit Malwarebytes Breach Remediation zusammen. Plattformen für die Endpunktverwaltung, wie zum Beispiel Tanium, ForeScout, Microsoft SCCM können ebenfalls integriert werden. Durch die Integration in Incident Respons und die Kombination mit Endpoint Protection lässt sich ein zuverlässiger Netzwerkschutz aufbauen.

Schutz für Windows und macOS

Mit Breach Remediation und den anderen Diensten werden nicht nur Windows-Angreifer erkannt, sondern auch Schädlinge die Mac-Rechner angreifen. Apple-Sicherheitslücken werden erkannt und durch das System geschlossen. Schadsoftware wird von Mac-Endpunkten genauso schnell beseitigt, wie von Windows-Rechnern. Mac-Managementlösungen wie Apple Remote Desktop, Casper Suite und Munki lassen sich gemeinsam mit Breach Remediation nutzen. Außerdem ist ein dezentraler und automatisierter Betrieb mittels Shell- oder AppleScript-Befehlen möglich. Systemadministratoren und Störfallhelfer können mit dem Snapshot-Befehl Systeminformationen erfassen.

Auch Mac-Rechner lassen sich anbinden (Screenshot: Thomas Joos).Auch Mac-Rechner lassen sich anbinden (Screenshot: Thomas Joos).

Zero-Day-Schädlinge bekämpfen

Zero-Day-Schädlinge greifen Computersysteme am gleichen Tag an, an dem ein bestimmter Schwachpunkt im Betriebssystem bekannt wird. Diese Art von Attacken und Exploits sind besonders schwer zu bekämpfen, da herkömmliche Virenscanner in den meisten Fällen noch über keine Definitionsdateien verfügen, und daher die Schädlinge auch nicht bekämpfen können, zumindest nicht effizient. Die Angreifer können besonders viel Schaden anrichten, da im Betriebssystem kein oder nur wenig Schutz gegen den Angreifer verfügbar ist. Erst wenn der Softwarehersteller ein Update veröffentlicht, das die Schwachstelle schließt, hat ein Zero-Day-Angreifer keine Chance mehr. An dieser Stelle kommen spezielle Sicherheits-Anwendungen ins Spiel, die Zero-Day-Attacken verhindern können, da sie mit anderer Technologie arbeiten als herkömmliche Virenscanner. Malwarebytes Incident Response schützt mit Breach Remediation auch vor solchen Angreifern.

Zusätzlicher Schutz mit Tools von Malwarebytes

Rootkits greifen das Betriebssystem bereits an, bevor die meisten Treiber geladen sind. Das gilt auch für Virenscanner. Oft ist das Rootkit schon aktiv, bis der Virenscanner überhaupt startet. Um solche Angreifer zu bekämpfen, unterstützt Malware Spezialisten mit Malwarebytes Anti-Rootkit. Rootkits und Zero-Day-Attacken sind besonders gefährlich, wenn sie kombiniert werden, also ein Rootkit über eine Zero-Day-Lücke im System eindringen kann.

Ein weiteres Aufräumtool von Malwarebytes steht mit dem ADW Cleaner zur Verfügung. Es scannt den PC nach Toolbars und Adware und löscht diese. Nach einem Systemscan listet das Tool gefundene Treffer in einer Textdatei auf. Darin finden sich die Ergebnisse des Scan-Durchlaufs.

Themenseiten: Breach Remedtiation, Malware, Malwarebytes, Malwarebytes Cybersecurity, Ransomware, Rootkit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen: