VMRay – Röntgenblick für Schadsoftware

Ein Artikel von red | 10.09.2020 - 10:10

Cybersicherheit: höchste Bedeutung für Finanzbranche

Der hohe Grad an Digitalisierung und Vernetzung im Finanz- und Versicherungswesen geht automatisch mit hohen Cyber-Risiken einher. Das Thema ist von großer Tragweite, denn ein erfolgreicher Angriff auf einen Finanzmarktakteur bedeutet nicht nur Imageschaden und wirtschaftliche Einbußen für das betroffene Unternehmen: durch die enge Vernetzung können regelrechte Infektionsketten entstehen, die im schlimmsten Fall die Funktionsfähigkeit der gesamten Finanzmarktinfrastruktur in Mitleidenschaft ziehen. Die Finanzbranche zählt in allen Industrienationen zu den kritischen Infrastrukturen (KRITIS), deren Versorgungsdienstleistungen wichtig für das reibungslose Funktionieren des Gemeinwesens sind. Da wundert es nicht, dass von europäischen und nationalen Aufsichtsbehörden eine Fülle von Richtlinien erlassen werden, um die Cyber-Resilienz des Finanzsektors zu erhöhen.

Die Vorgaben der Finanzmarktbehörden sind aber nicht der einzige Grund, warum Banken und Versicherungen einen kritischen Blick auf ihre Sicherheitsstrategie werfen sollten. Auch die DSGVO (Europäische Datenschutz-Grundverordnung) verlangt geeignete Sicherheitsvorkehrungen im Umgang mit personenbezogenen Daten und stellt bei Verstößen empfindliche Strafen in Aussicht. Sie erinnern sich – es drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher Wert der höhere ist.

VMRay – das Unternehmen, die Gründer

Gründer_CarstenWillems_RalfHund.jpg

Die Gründer von VMRay, Dr. Carsten Willems und Dr. Ralf Hund, sind weltweit führende Experten im Bereich Malware Sandboxing. Sie entstammen beide der Cybersecurity-Talentschmiede der Ruhr-Universität Bochum und haben ihre Forschung in branchenführende Technologien zum Schutz vor hochentwickelten Malware-Bedrohungen umgesetzt. www.vmray.com   © Christian Köster - Koester Fotografie

Ein engmaschiges Netz von Security-Maßnahmen ist vonnöten

Wichtig für eine hohe Cyber-Resilienz ist das Ineinandergreifen der verschiedenen im Unternehmen eingesetzten Security-Maßnahmen. Idealerweise bilden sie ein engmaschiges System, in dem Malware, sollte sie einem der Security-Wächter entgangen sein, von einem anderen aufgehalten werden. Zu den gängigsten Komponenten eines solch mehrschichtigen Systems gehören z.B. Firewalls, Anti-Virus-Produkte, Intrusion Prevention Systems (IPS), Email- und Web-Gateways, aber auch Konzepte wie Netzwerk-Segmentierung gehören dazu. Sandbox-Lösungen spielen eine wichtige Rolle, wenn es um die Erkennung von bislang unbekannter Malware (Zero-Day Angriffen), hochevasiver Malware (polymorphe Schadsoftware, die ihre identifizierbaren Merkmale ständig ändert) und komplexen, zielgerichteten Angriffen (z.B. politisch motivierte Advanced Persistent Threats) geht. In einer Sandbox können suspekte Dateien automatisch in einer simulierten Umgebung ausgeführt und mit unterschiedlicher Detailtiefe analysiert werden. Hochentwickelte Malware ist jedoch in der Lage, gängige Sandboxing-Methoden zu erkennen und gutartiges Verhalten vorzutäuschen, um der Entdeckung zu entgehen (Sandbox Evasion). So kann es passieren, dass besonders intelligent gestaltete Malware von der Sandbox als harmlos eingestuft wird und erfolgreich durch die Sicherheitslinien schlüpft.

Genau diese Lücke schließt VMRay mit seinem Produktportfolio zur Erkennung und Analyse von hochmoderner Malware. Die Lösungen basieren auf einer im eigenen Haus entwickelten Sandbox-Technologie. Zu den wichtigsten Merkmalen gehören:

  • Hochgradig resistent gegen Sandbox Evasion: Die Hypervisor-basierte Sandbox ist für Schadprogramme quasi unsichtbar und löst deshalb keine Verschleierungsversuche aus. Unternehmenseigene Golden Images können verwendet werden, um die Sandbox-Umgebung möglichst detailgenau an der realen Umgebung auszurichten. Zielgerichtete Angriffe, die nur auf Rechnern der Zielorganisation aktiv werden und deshalb nach entsprechenden Merkmalen suchen, lassen sich auf diese Weise aufdecken. Über Geo-Location-Einstellungen kann die Sandbox zudem so konfiguriert werden, dass Unternehmensrechner in unterschiedlichen Ländern simuliert werden.
  • Volle Sichtbarkeit der Malware-Aktivitäten: VMRays hochperformante dynamische Malware-Analyse sieht sprichwörtlich jede Interaktion der Schadprogramme mit den Zielsystemen. Das ist ein wichtiges Kriterium, denn nur so können Informationen mit der notwendigen Detailtiefe bereitgestellt werden. Sie geben Incident-Response-Teams genauen Einblick in Vorgehensweise, Verhaltensmuster und Schadpotenzial der Malware und helfen, Angriffsvektoren aufzudecken.
  • Eliminierung von Hintergrundrauschen und Fehlalarmen: Längst ist „Alert Fatigue“, also Alarm-Ermüdung, bei Security-Teams zu einem ernsthaften Problem geworden. Sie werden mit Warnmeldungen überflutet und verwenden viel Energie, um echte Alarme von Fehlalarmen zu unterscheiden. VMRay Technologien sind in der Lage, zuverlässige IOCs (Indicators of Compromise, Hinweise auf Kompromittierung eines Systems) aus der Masse an forensischen Daten zu extrahieren. Ebenso zuverlässig wird auffälliges, aber gutartiges „Hintergrundrauschen“ eliminiert, z.B. wenn bei der Analyse einer suspekten pdf-Datei gerechtfertigte Interaktionen des Adobe-Programms mit der Systemumgebung stattfinden. All das geschieht voll automatisiert und bedeutet eine erhebliche Entlastung der Security-Teams.
VMRay-Security-Ecosystem-Connectors.png

Das VMRay Ökosystem

Das VMRay Lösungsangebot

VMRay Analyzer:
Der Gold Standard für dynamische Malware-Analyse. Liefert Bedrohungsinformationen in großer Detailtiefe und unterstützt Incident-Response-Teams bei der Erkennung komplexer Angriffe.

VMRay Detector:
Schnelle Erkennung moderner und komplexer Schadsoftware. Liefert sofortige Verdikte zu Art und Schadpotenzial der untersuchten Malware-Samples.

VMRay Email Threat Defender:
Vervollständigt vorhandene Email-Security-Systeme (z. B. Gateways) durch automatisierte
Scans von verdächtigen Email-Anhängen und eingebetteten URLs.