Was ist Advanced Threat Protection?

Was sind die Vorteile von Advanced Threat Protection?

ATP ermöglicht es Unternehmen, in einer modernen Bedrohungslandschaft gezielte Maßnahmen zu ergreifen. Im Gegensatz zu herkömmlichen Sicherheitsprodukten, bei denen es sich in der Regel um unverbundene Einzellösungen handelt, arbeiten die effektivsten Tools heutzutage miteinander und bieten Unternehmen folgende Vorteile:

• Bedrohungserkennung in Echtzeit: Angesichts der hohen Anzahl an Bedrohungen können Unternehmen heutzutage nicht mehr auf geplante Scans warten, um festzustellen, ob sie geschützt sind. Im Gegensatz zu Legacy-Antivirenlösungen ermöglicht ein wirksamer Schutz vor komplexen Bedrohungen eine Überwachung des gesamten Traffics, und das rund um die Uhr.
• Intelligenz der Cloud und Informationsaustausch: Patches zur Gewährleistung eines zuverlässigen Schutzes sind bestenfalls lästig und schlimmstenfalls nicht ausführbar. In der Cloud bereitgestellte Bedrohungsinformationen bieten einen entscheidenden Vorteil: Sobald eine bestimmte Lösung irgendwo eine neue Bedrohung blockiert, kann sie diese Bedrohung überall abwehren.
• Zentralisierter Kontext und Korrelation: Dank reaktiver, vorausschauender Echtzeit-Sicherheitsmaßnahmen auf KI-Basis haben Sicherheitsteams das einen umfassenden Überblick. So können Bedrohungen schneller erkannt, verhindert und behoben werden.

Ab wann gilt eine Bedrohung als „komplex“?

Es gibt mehrere Gründe, warum eine Bedrohung mit dieser Bezeichnung versehen wird. So wird eine Bedrohung beispielsweise als komplex eingestuft, wenn:

• die Täter über unbegrenzte Ressourcen oder Tools verfügen, um einen Angriff auszuführen und den Zugriff auf ein Netzwerk aufrechtzuerhalten;
• die Angreifer über die nötigen finanziellen Mittel verfügen, um den Angriff je nach Bedarf anzupassen;
• der Angriff speziell mit Blick auf eine bestimmte Organisation konzipiert wurde.

Im Folgenden werden wir die verschiedenen Formen komplexer Bedrohungen näher beleuchten.

Advanced Persistent Threats

Als Advanced Persistent Threat (kurz APT und nicht zu verwechseln mit ATP) wird ein Angriff bezeichnet, bei dem der Angreifer unbemerkt in ein Organisationsnetzwerk gelangt und dort über längere Zeit unentdeckt bleibt. Oft haben Cyberkriminelle bei einem APT-Angriff ein bestimmtes Unternehmen im Visier. Dabei kommt eine hoch entwickelte Malware zum Einsatz, die in der Lage ist, gängige Sicherheitsmaßnahmen zu umgehen. Da es sich hierbei um äußerst ausgefeilte Angriffe handelt, muss diesen mit einer ebenso anspruchsvollen Abwehr begegnet werden.

Nach dem erfolgreichen Eindringen ins Zielnetzwerk (in der Regel erfolgt dies über Anmeldedaten-Phishing oder Malware), können die Angreifer auf sämtliche Informationen wie Unternehmensdaten, private Konversationen und andere sensible Inhalte zugreifen. Bleiben sie dabei lange genug unentdeckt (z. B. über mehrere Wochen, Monate oder sogar Jahre hinweg), können sie beträchtliche Mengen an Daten für schädliche Zwecke ausspähen.

Was sind die häufigsten Vorgehensweisen bei komplexen Angriffen?

Komplexe Angriffe beruhen auf nur einigen häufig verwendeten Techniken, mit denen die Betrüger oft zum Erfolg kommen. Die gängigsten dieser Techniken sind:

• Phishing: Bei dieser Methode wird der User dazu verleitet, auf einen Link von einem scheinbar vertrauenswürdigen Absender zu klicken. Ziel dabei ist es, an Informationen oder Zugangsdaten des Unternehmens zu gelangen. Phishing stellt das beliebteste Einfallstor für APT-Angreifer auf dem Weg in interne Netzwerke dar.
• Installierenvon Malware: Nachdem sich die Cyberangreifer in das Netzwerk eingeschleust haben, können sie mit der Malware tiefer ins Netzwerk eindringen und Aktivitäten überwachen sowie Unternehmensdaten sammeln. In der Regel gelangt die Malware nach einem Phishing-Angriff ins Netzwerk.
• Geknackte Passwörter: Mit dieser Methode verschaffen sich Angreifer Zugriff auf Administratorebene, sodass sie sich frei im Netzwerk bewegen können.
• Hintertüren: Mithilfe einer in das System eingebauten Hintertür kann der Angreifer nach Verlassen des Netzwerks jederzeit erneut auf das Netzwerk zugreifen.

Wie funktioniert Advanced Threat Protection?

ATP-Lösungen (Advanced Threat Protection) sind darauf ausgelegt, komplexe Bedrohungen zu erkennen und darauf zu reagieren, bevor sie zu Datenverlusten führen oder einem Unternehmen anderweitig Schaden zufügen. Obwohl sich die Angebote der verschiedenen Serviceanbieter in ihren Kernfunktionen stark unterscheiden, umfassen viele ATP-Lösungen Folgendes:

• Analyse des Netzwerk-Traffics zur Überwachung auf betriebs- und sicherheitsbezogene Anomalien
• Austausch von Bedrohungsinformationen, damit Anbieter für alle Kunden ein identisches Schutzniveau gewährleisten können
• Sandbox-Lösungen zur Erkennung und Isolierung verdächtiger Dateien zwecks Analyse und Reaktion.

Nachteile von Legacy-Sandbox-Lösungen

Im Zuge der Fortschritte in den Bereichen maschinelles Lernen und Automatisierung wird ATP immer schneller und präziser und Sandboxing ist und bleibt nach wie vor ein wichtiges fortschrittliches Sicherheitstool. Legacy-Sandbox-Ansätze weisen in modernen Umgebungen jedoch drei wesentliche Nachteile auf:

1. Legacy-Sandboxen basieren auf Backhauling. Bei diesem Ansatz werden die Daten durch ein zentrales Netzwerk geschleust, da die Sandboxen an die Hardware in einem Rechenzentrum gebunden sind. Dadurch sind sie zu langsam, um eine wachsende Remote-Belegschaft wirksam abzusichern.
2. Legacy-Sandboxen nutzen einen TAP-Modus (Terminal Access Point), um verdächtige Dateien zu überprüfen, und führen Analysen durch, während die Dateien an ein Ziel übertragen werden. Sobald eine Bedrohung erkannt wird, sendet die Sandbox-Lösung eine Warnmeldung. Da die Dateien während der TAP-Überprüfung jedoch nicht blockiert werden, kommt diese Meldung oft zu spät.
3. Eine wirksame Überprüfung von verschlüsseltem Traffic mit Legacy-Sandboxen ist nicht möglich, ohne dass der Datenverkehr dabei extrem ausgebremst wird. Heutzutage werden die meisten Malware-Programme über verschlüsselte Kanäle übertragen. Infolgedessen bräuchten manche Organisationen achtmal so viele Sandbox-Appliances, um genügend Verarbeitungskapazität zu schaffen.

Zscaler Advanced Threat Protection:

Zscaler Cloud Sandbox ist eine Cloud-basierte KI/ML-gesteuerte Engine zur Malware-Abwehr, die neuartige Bedrohungen abwehrt und alle Mitarbeiter im Unternehmen schützt – unabhängig davon, wo sie sich befinden. Im Gegensatz zur Lösung mit TAP-Modus funktioniert Zscaler Cloud Sandbox inline. Der gesamte Traffic – einschließlich des verschlüsselten Datenverkehrs – wird auf verdächtige Dateien überprüft, die im Fall einer Kompromittierung aus dem Verkehr gezogen werden. Der permanent aktive Zero-Day-Schutz, der Ransomware-Schutz sowie die Echtzeit-Sichtbarkeit von Malware-Verhalten ermöglichen eine kontinuierliche Erkennung und Abwehr neuer und aufkommender Bedrohungen beim erstmaligen Auftreten.

Zscaler Cloud Sandbox wird als vollständig integrierte Funktion von Zscaler Internet Access™ im Rahmen der Zscaler Zero Trust Exchange™ bereitgestellt. Da die Plattform als Cloud-Service zur Verfügung gestellt wird, entfallen die Anschaffung von Hardware sowie die Verwaltung von Software. Das bedeutet weniger Komplexität und unmittelbare Einsatzbereitschaft.