Introbild

Malware Protection

Auch unbekannte Bedrohungen rechtzeitig stoppen

1983 stellten US-Forscher erstmals einen Computervirus vor. Niemand hätte sich damals das Ausmass und die Bandbreite der heutigen Computerkriminalität vorstellen können. Ein guter Schutz vor Malware lässt sich durch traditionelle Ansätze des White- und Blacklistings nicht mehr erreichen. Advanced Malware Protection von ISPIN nutzt eine völlig neuartige Technologie, um auch neue, unbekannte Bedrohungen zu stoppen.

Viele glauben, dass Firewalls und eine Antiviren-Software ausreichend vor Malware schützen. Das mag in der Vergangenheit richtig gewesen sein. Doch in den letzten Jahren haben sich die Eintrittsvektoren von E-Mail-basierten hin zu Web-basierten Angriffsszenarien gewandelt. Blacklisting von Signaturen, wie es klassische Antiviren-Lösungen einsetzen, greift darum aus mehreren Gründen zu kurz. Malware wird heute derart rasch und zielgerichtet eingesetzt, dass die Blacklists nicht mehr aktuell sind, wenn die Malware ihr Ziel erreicht. Personalisierte Malware und Verschleierungstaktiken – etwa das Verfälschen des Hash-Wertes durch Verändern weniger Bits oder das Verschachteln von Elementen einer Dateistruktur – machen moderne Malware nur noch erkennbar, wenn sie sich automatisch sowohl statisch als auch dynamisch analysieren lässt. Malware muss neu aufgrund ihrer Eigenschaften und nicht mehr aufgrund ihrer statischen Signatur erkannt und klassifiziert werden.

Sicherheitsprodukte müssen ihre getroffenen Entscheidungen kontinuierlich mit neuen Erkenntnissen abgleichen und gegebenenfalls neu entscheiden. Darüber hinaus muss die Lösung die gesammelten Informationen und aufgedeckten Ereignisse mit einer zentralen Stelle teilen. Nur so lassen sich nützliche Erkenntnisse gewinnen, um die Leistungsfähigkeit der Malware-Protection-Lösung ständig zu verbessern und die Messlatte der Sicherheit zu erhöhen. ISPIN richtet diese wirksame Malware-Protection gemeinsem mit Ihnen ein.

Ihre wichtigsten Vorteile in Kürze

  • Ganzheitliches und massgeschneidertes IT-Sicherheitskonzept, das die Systeme und Inhalte vor jeder Art von Schadsoftware schützt
  • Einsatz führender Technologien von Cisco und Check Point
  • Gesichertes, dynamisches Ausführen potenzieller Malware in einer Sandbox
     
  • Threat-Intelligence und Sandboxing als SaaS-Dienst oder on-premises
  • Nahtlose Verwaltung der Malware-Defense über die gesamte Organisation hinweg inklusive Android- und iOS-Anwendungen
     

Unser Angebot

Malware erkennen und blockieren – vom Internetzugang bis zu den Endgeräten
ISPIN entwickelt und implementiert ein ganzheitliches und massgeschneidertes IT-Sicherheitskonzept, das die Systeme und Inhalte vor jeder Art von Schadsoftware schützt. Dabei setzen wir auf die führenden Technologien von Cisco und Check Point.

Cisco Advanced Malware Protection und Check Point Sandblast sind plattformbasierte Lösungen, die die drei erwähnten Phasen des sogenannten «Attack Continuums» aktiv unterstützen. Beide zeichnen sich durch eine verteilte Architektur aus, die Malware entlang des gesamten Weges vom Internetzugang bis zu den Endgeräten erkennt, blockiert und eindämmt. Eine Threat-Intelligence-Komponente liefert in Echtzeit die neusten Indicators of Compromise, um bereits gesichtete Malware zu identifizieren. Eine Sandbox erlaubt das Emulieren, also das gesicherte, dynamische Ausführen potenzieller Malware oder bisher unbekannter Dateien – beispielsweise von personalisierter Malware oder Zero-Day-Exploits.

Je nach Compliance-Anforderungen und Rechtslage können Sie sowohl einen Teil der Threat-Intelligence-Daten als auch das Sandboxing als SaaS-Dienst oder on-premises halten und betreiben. Wird ein Artefakt, das bereits eingedrungen ist, als Malware klassifiziert, kommt es in die Quarantäne; zugleich informiert die Lösung die gesamte Plattform über die neu entdeckte Malware (Retrospective Event).

Cisco AMP zeichnet sich durch eine hervorragende Sichtbarkeit («Trajectory») aller Pfade und Operationen aus, die eine Datei oder ein Prozess durchläuft. Die Integration mit Cognitive Threat Analytics eröffnet eine zusätzliche Sicht auf Komponenten, die nicht zur AMP-Plattform gehören. Cisco AMP isoliert Malware in erster Linie über Netzwerkfunktionen.
 

Check Point Sandblast zeichnet sich speziell durch die Threat-Extraction-Funktion (TE) aus. TE zerlegt bekannte Dateitypen (z. B. Office oder PDF) mit unbekannter Klassifizierung in ihre Bestandteile und fügt sie frei von Makros sowie anderen potenziell schadhaften Komponenten wieder zusammen. So erhält der Benutzer praktisch in Echtzeit ein sicheres Dokument, mit dem er arbeiten kann. Parallel dazu wird die Datei in der Sandbox emuliert und dadurch auf ihre Schädlichkeit geprüft. Alternativ ist die Umwandlung in ein Ersatzformat, zum Beispiel von Office zu PDF, möglich.
 

Sowohl Cisco AMP als auch Check Point Sandblast verfügen über eigenständige Komponenten für Android und iOS. Das ermöglicht es Firmen, ihre Malware-Defense über die gesamte Organisation hinweg nahtlos zu verwalten. In den relevanten Industrievergleichstests (z. B. NSS Labs) erzielen beide Plattformen regelmässig Detektions- und Präventionsraten von nahezu 100 %.

«Es besteht immer das Risiko, dass es unbekannte Unbekannte gibt.»
Nate Silver

Kennen wir uns schon? Machen Sie uns zu Bekannten, um unbekannte Bedrohungen zu stoppen.

André Ulrich

Head Center of Competence MSS & Engineering