Mit immer aggressiverer Schadsoftware und gezielten Attacken erhöhen Cyber-Kriminelle die Bedrohung für Unternehmen. Ihre Aktivitäten werden durch die Komplexität der IT-Umgebung begünstigt, die etwa aufgrund der größeren Mobilität von Clients immer schwerer zu kontrollieren ist.*
Rein passive Schutzschilde wie Virenscanner, Firewalls und Verschlüsselung greifen häufig zu kurz. So sagt Gartner in einem aktuellen Bericht eine strategische Trendwende voraus, wonach 80 Prozent aller Security-Lösungen bis zum Jahr 2018 um Monitoring von Benutzeraktivitäten und um forensische Funktionalität erweitert würden. Dieser Anteil lag 2013 bei lediglich 5 Prozent.
Proaktives Security- und Risk Management
Nexthink adressiert mit seinen Client-Analysetools diese neuen Anforderungen an die IT-Security durch einen proaktiven Client-orientierten Analyseansatz:
- Prävention zur Vermeidung von Attacken
- Erkennen von Angriffen für rasches Handeln
- Schließen von Lücken durch Analysieren der Einbruchswege
Nexthink sammelt fortwährend Daten über jede Programm-, User- und Netzwerk-Aktivität auf sämtlichen Clients. Diese werden unter anderem kontinuierlich auf ungewöhnliche und potenziell bedrohliche Ereignisse, den Missbrauch von Anwendungen und Berechtigungen sowie unerwünschte Veränderungen in Konfiguration und Setup hin untersucht.
Praxisbeispiel: Malware-Infektion erkennen und eliminieren
Das folgende Praxisbeispiel zeigt, wie Nexthink vorhandene Sicherheitssoftware ergänzt. Im beschriebenen Fall kompensiert es das Versagen einer Virenschutzsoftware und gibt den Administratoren forensische Tools an die Hand.
Angenommen, im Finder, dem Echtzeit-Analysewerkzeug von Nexthink, wird ein Security-Alert gemeldet: auf vier Clients wurde vom Nexthink Collector verdächtiges Verhalten erkannt.
Der Finder meldet mittels Alert einen Security-Vorfall
Mit einem Klick kann der Administrator die betroffenen Clients auflisten und die Ursache identifizieren, die den Alert auslöste. Das Kontextmenü One-Click-Investigations => Dangerous binaries on these devices fördert ein Malware-Programm als Auslöser zutage.
Mit einem Klick lässt sich das Schadprogramm über alle Rechner hinweg identifizieren
Der Finder offenbart, dass es sich um ein Hintergrundprogramm (User Interface: no) handelt, welches vom Nexthink-System als sicherheitskritisch erkannt wurde (Threat Level high) und inzwischen schon 4 MB Daten aus dem Netz heraus verschickt hat.
Der Nexthink Finder liefert Informationen über den Schädling und die Bedrohungslage.
Nexthink kennt auch die zugehörige Netzwerk-Aktivität und zeigt im Finder an, dass auf den betroffenen Clients das Programm sendme.exe über Port 80 Daten an die Domain onedrive.com sendet.
Der Finder stellt die zugrunde liegenden Netzwerkverbindungen dar.
Diese unmittelbar verfügbaren Informationen versetzen den Administrator in die Lage, die Situation zu bereinigen: Deinstallation der Schadsoftware sowie bei Bedarf Sperrung der Domain im Proxy. Um hierzu die betreffenden Informationen weiterzugeben, kann er alle relevanten Analyseergebnisse in eine Excel-Datei exportieren. Dazu wählt er im Kontextmenü Drilldown-to => Activities => Connections.
Ursachenforschung mit forensischer Analyse
Nexthink bietet der IT darüber hinaus weitere Handlungsmöglichkeiten. So muss der Administrator lediglich den Finder konsultieren, um nachvollziehen, wie es zur Infektion mit der Malware kam.
Er öffnet dazu die Timeline zu einem der betroffenen Devices, die sämtliche Ereignisse enthält. Hier erkennt er auf einen Blick, dass zum Zeitpunkt, als die Aktivitäten der Malware erstmalig auffielen, zeitgleich ein verdächtiges Programm installiert wurde. Dieses führt zwei Binaries aus, darunter das schon als Malware identifizierte Hintergrundprogramm sendme.exe.
Die Auswertung zeigt den Zusammenhang zu anderen Binaries auf
Die Finder-Daten offenbaren einen Fall von Schatten-IT: Das zugehörige Setup-Programm wurde von einem Removable Device, also vermutlich einem USB-Stick, installiert.
Nexthink kennt den ursprünglichen Ausführungsort und entlarvt einen USB-Stick als Einfallstor.
Die Ansicht Web Activity zeigt zudem, dass das Setup-Programm sich einmalig mit einer externen Domain verband, von welcher vermutlich das eigentliche die Malware nachgeladen wurde. Diese Domain kann der Admin direkt aus dem Nexthink Finder analysieren, indem er dazu über das Kontextmenü Informationen bei Virustotal anfordert.
Der Nexthink-Administrator ist nun gefordert, die Lücken in den Clients aufzuspüren, die das Einschleusen der Malware zugelassen haben. Im Finder vergewissert er sich zunächst, dass eine aktuelle Antivirus- und Antispyware-Software auf den betreffenden Clients wie vorgesehen installiert ist und dass die Internet-Sicherheits-Einstellungen der internen Security Policy entsprechen.
Nexthink identifiziert die auf den Clients installierte Security-Software und deren Zustand
Bleibt noch die Frage zu beantworten, warum die vorhandenen Schutzmechanismen nicht gegriffen haben. Mit der Custom Action Lookup binary on virustotal.com kann er sich anhand des gespeicherten Hashwertes alle bekannten Informationen zum Programm ansehen und so feststellen, dass dieses spezielle Programm dem eingesetzten Antivirusprogramm nicht bekannt war.
Schatten-IT wirkungsvoll erkennen und eindämmen
Das Praxisbeispiel zeigt, wie Nexthink die IT wirkungsvoll dabei unterstützen kann, die Einhaltung der Sicherheitsvorgaben durch die Anwender zu kontrollieren und umzusetzen.
Da der Administrator einen USB-Stick als Ursprung der Malware-Infektion identifizieren konnte, ist es sinnvoll, wenn er sich einen Alert einrichtet, der immer denn Alarm schlägt, wenn ein Netzwerkzugriff von einem Programm auf einem USB-Gerät aus erfolgt.
Der entsprechende Report existiert bereits im Settings-Bereich unter Global Alerts und muss noch nur bei Bedarf individuell angepasst werden. Wenn gewünscht, kann er sich den Report in einem definierten Intervall per E-Mail zuschicken lassen.
Portal informiert über Kennzahlen und Entwicklungen
Darüber hinaus können die von diesem Report gemeldeten kritischen Aktivitäten auch im Nexthink Portal dargestellt werden. Damit lassen sich solche Informationen einem weiteren Personenkreis zugänglich machen, zum Beispiel anderen Abteilungen oder Personen im Management.
Im Nexthink Portal werden Analysedaten für alle Beteiligten aufbereitet und zur Verfügung gestellt
Hierzu erstellt der Administrator im Finder zunächst eine neue Metrik, welche die gewünschten Ereignisse erfasst. Anschließend meldet er sich per Browser im Portal an, erstellt ein neues Dashboard und fügt die erstellte Metrik dem Dashboard hinzu.
Alternativ gibt er ein vorhandenes Dashboard frei, beispielsweise Malware Activity / Suspicous Binaries.
*Dieser Text ist ein von Nexthink bezahlter Beitrag.
Nexthink erzeugt und visualisiert alle wichtigen Informationen über die gesamte IT-Infrastruktur in Echtzeit (Endgeräte, User, Applikationen, Netzwerkverbindungen). Nexthink ist ein privat geführtes Unternehmen mit Hauptsitz in Lausanne, Schweiz.
Weitere Beiträge von diesem Anbieter