Malware Detection / Protection

Malware Detection / Protection

Sie täuscht vor, baut Tunnel, kopiert Dokumente oder zerstört ganze Unternehmen – Malware – der leise Killer tief versteckt im Netzwerk eines jeden Unternehmens

Der Schutz der eigenen lokalen Netzwerke, der Nutzer und Daten vor Bedrohungen ist ein Prozess, der ständig neu analysiert und weiterentwickelt werden muss. Malware ist in der Lage Daten auf dem kompromittieren Computer zu manipulieren oder Informationen an Dritte weiterzugeben. Deshalb ist es umso wichtiger eine Infektion zu erkennen bevor es zu spät ist und Daten kopiert werden oder besser direkt zu verhindern.

Unsere Leistungen - Klicken und hier MEHR erfahren!

  • Analyse von Computern auf verdächtiges Verhalten
  • Base-Line-Auswertung der aktuellen Netzwerkinfrastruktur mit modernsten Analyseverfahren
  • Echtzeit-Erkennung und Blockierung von laufenden Cyber-Angriffen
  • Auswertung und Bewertung der Ergebnisse
  • Report mit Handlungsempfehlungen
  • Workshops zum Thema Malware-Bekämpfung
  • Bekämpfung von Malware-basierten Infektionen

iT-CUBE SYSTEMS arbeitet mit fortschrittlichsten Analyseverfahren und unsere Sicherheitsexperten finden für jedes Unternehmen die beste Lösung, um Malware aufzuspüren, zu verhindern und auch wieder los zu werden.

Warum Malware Detection & Protection?

Für den CISO:

  • Malware finden bevor sie Schaden verursacht
  • Eindeutige Reports lassen keine Fragen offen

Für den Admin:

  • Genau wissen auf welchem System Malware läuft
  • Den Ausbruch von Malware erkennen
  • Anomalien von Computern entdecken

Für den CIO:

  • Auf einem Blick Anomalien im Netzwerk sehen
  • Den Rest des Unternehmens schützen durch Wissen wie stark das Netzwerk kompromittiert ist

Für den CEO:

  • Kostengünstige und effektive Lösung
  • Schützen Sie den Ruf des gesamten Unternehmens
  • Sicherheit durch Expertise und innovative Technologien
  • Geistiges Eigentum bleibt im Unternehmen und wandert nicht ab

Wir haben mehr zu bieten...

Erfahren Sie mehr zu unseren Produkten rund um das Thema Malware Detection & Protection:

Lastline – Jahrelange Forschung, Out-of-the-Box verfügbar

Partner iT-CUBE

Um fortgeschrittene Angriffe (sog. APTs) auf ein System/Netzwerk zu erkennen, muss man zwei essenzielle Komponenten betrachten: Die in einen Angriff involvierten Programme und den Netzwerkverkehr – liegt der Fokus nur auf einer der beiden Komponenten ist die Wahrscheinlichkeit, Angriffe zu übersehen äußerst hoch. Lastline beherrscht beide Disziplinen auf olympischem Niveau – verdächtige Programme werden aus unterschiedlichsten Quellen extrahiert und in der fortschrittlichsten Sandbox analysiert. Der Netzwerkverkehr wird durchgehend auf sog. Indicators of Compromise (IoCs) überprüft. Diese IoCs stammen aus Datenbanken unterschiedlicher IT-Security-Unternehmen. Zusätzlich haben Lastline Kunden die Möglichkeit selbst ermittelte IoCs untereinander zu teilen.

Funktionsweise

Sandbox Implementation
  • Fortgeschrittene Sandbox-Technologie entstanden aus über 10-Jahren universitärer Forschung, darauf getrimmt nicht als Sandbox erkannt zu werden
  • Nutzt sog. "Full System Emulation", um die Entdeckung der Analyseumgebung durch Malware so schwer wie möglich zu machen.

 

 

Lastline Breach Detection Platform
  • Korreliert Ergebnisse aus Sandbox-Analyse, Netzwerk-Monitoring und Anomalie Erkennung zu einem zuverlässigen Incident.
  • Erkennt die, von Malware abgefragten, Parameter und spielt so z.B. die Verfügbarkeit eines Programmes vor
  • Virtuelle Appliance kann auf Standard-Hardware betrieben werden
  • Lastline kann On-Premise oder in der Cloud gehostet werden. Wird es in der Cloud gehostet, müssen nur sog. Sensoren installiert werden
  • Sehr einfaches Lizenzmodell
  • Integration mit einer Vielzahl von 3rd Party Produkten und offene API um noch weitere Produkte zu integrieren
  • Lastline bietet die Möglichkeit Blocking-Regeln an Next-Generation-Firewalls (NGFWs) und Intrusion Prevention Systeme (IPS), Breach-Alarme an SIEM Systeme und Malware-Informationen an Secure-Web-Gateways zu übertragen

Quick Facts

Warum Lastline?

Lastine mit Secure-Web-Gateway

Läuft alle Web-Kommunikation eines Unternehmens über Secure-Web-Gateways (SWGs), sind diese ein mächtiges Werkzeug um Clients zu schützen und Firmen-Policies umzusetzen. Noch umfangreichere Möglichkeiten ergeben sich aus einer Kombination von SWGs und der Lastline Enterprise Plattform. Dadurch, dass Lastline potentielle Malware äußerst detailliert analysiert und auch den generierten Netzwerkverkehr untersucht, ergibt sich die Möglichkeit relevante Informationen direkt an die SWGs weiter zu reichen.

Wird etwa erkannt, dass Malware mit einer bestimmten URL Kontakt aufnimmt, kann diese URL direkt an die SWG weitergegeben werden. Diese, nun bekannten, URLs können für alle zukünftigen Analysen verwendet werden. Zusätzlich besteht die Möglichkeit, die Historie nach der schädlichen URL zu durchsuchen. Hat ein überwachter Client in der Vergangenheit Kontakt dazu aufgenommen, muss ein Incident Response Prozess eingeleitet werden.

All diese wertvollen Information sind natürlich nicht an eine Instanz gebunden. Erkannte URLs können firmenintern oder auch extern geteilt werden. Wird etwa an einem Standort ein Malwaresample erkannt und erfolgreich analysiert bietet es sich an, diese Informationen zwischen allen Standorten zu teilen. Innerhalb kürzester Zeit können so alle Standorte gegen diese Gefahr geschützt werden.

Warum iT-CUBE?

  • Wir planen gemeinsam die Integration von Lastline in Ihre Infrastruktur und ermitteln die optimale Platzierung der Sensoren
  • Wir integrieren Lastline in bereits vorhandene Security-Lösungen wie Firewalls oder Proxies, so kann unverzüglich auf erkannte Angriffe reagiert werden
  • Wir integrieren Lastline in Ihre bestehende SIEM und/oder Splunk Infrastruktur und ergänzen diese um neue Use-Cases.
  • Wir hosten das Lastline Backend in unserem Security Operation Center (SOC). Die Daten verlassen Deutschland nicht und wir sorgen für reibungslosen Betrieb

 

Eine Geschichte:

Vor etwa drei Monaten wurde die bestehende IT-Security Infrastruktur eines Unternehmens um Lastline Enterprise erweitert. Das Backend wird von einem zuverlässigen lokalen Partner betrieben. In jeder der drei Zweigstellen wurde mindestens ein Sensor platziert. Die Logs aller Systeme (Endpoint AntiVirus, ForceScout NAC, ...) werden in Splunk indexiert.

Eines Tages - zur Mittagszeit - erkennt Lastline den Download einer unbekannten Datei. Die Sandbox-Analyse ergibt, dass diese Datei gezielt Benutzernamen/Passwörter exfiltriert und zusätzlich erhebliche Anstrengungen unternimmt, um klassische Analysesysteme auszuhebeln.

Der von Lastline generierte Alarm wird in Splunk indexiert. Eigene Splunk Suchen erkennen in Echtzeit, dass die Endpoint AntiViren-Lösung keine verdächtigen Aktivitäten auf dem betroffenen Endpoint meldet. Daraufhin wird ein Splunk-Alarm generiert, die NAC Lösung wird angewiesen den Client in ein Quarantäne V-LAN umzuleiten. Die Mitarbeiter des Security Operations Center werden alarmiert und entfernen das System.

Die forensische Analyse ergab folgendes: Auf dem betroffenen Endpoint (einem Entwicklungssystem) war seit zwei Monaten ein sog. Dropper installiert - Software die nichts anderes macht als andere Software nachzuladen. Dieser Dropper hatte erst jetzt versucht die von Lastline erkannte Software nachzuladen. Es handelte sich tatsächlich um Software zum Diebstahl von Benutzerdaten und wurde zu diesem Zeitpunk von noch keinem Anti-Viren Programm erkannt. Der Dropper gelangte vermutlich über einen präparierten USB-Stick auf den Server. Dank der frühzeitigen Erkennung und hervorragender Kooperation verschiedener Systeme, konnte der Abfluss von Daten verhindert werden. Die ermittelten IoCs (Hashwerte, involvierte IPs und URLs, ...) wurden über die Lastline-Plattform anderen Kunden zugänglich gemacht

Datasheet

Datasheet Lastline

Andere Lösungen im Bereich Malware Detection & Protection:

Das könnte Sie auch interessieren...

 

Ist der Betrieb von Malware Detection & Protection zu aufwendig für Sie? Informieren Sie sich zu unseren Managed Security Services rund um das Thema.

WildFire: Automatisches Erkennen und Verhindern unbekannter Threats

WildFire™ Threat Intelligence Service identifiziert unbekannte Advanced Persistent Bedrohungen (APTs) durch dynamische Analyse in einer skalierbaren, cloud-basierten, virtuellen Umgebung. WildFire verbreitet automatisch Schutz quasi in Echtzeit, um Sicherheitsteams zu helfen  die Herausforderung fortgeschrittener Cyber-Attacken anzunehmen. WildFire™ ist Bestandteil in der Palo Alto Networks Enterprise Security-Platform, die nativ den gesamten Datenverkehr, einschließlich der zugehörigen Bedrohungen und Anwendungen, klassifiziert – unabhängig der Port oder SSL-Verschlüsselung.

Funktionsweise

  • identifiziert unbekannte Malware und Zero-Day-Exploits mit erweiterten, statischen und dynamische Analysetechniken
  • kombiniert vollständige Transparenz und Kontrolle über die bekannten Bedrohungen und Anwendungen mit cloud-basierter, dynamischer Analyse von unbekannten Bedrohungen, um genaue, sichere und skalierbare Malware-Analyse zu gewährleisten
  • echte Inline-Sperrung von ausbeuterischen und bösartigen Dateien, Webseiten, die Malware verbreiten, und Command&Control Verkehr
PAN WildFire Cloud
Palo Alto Networks WildFire Cloud

Warum Palo Alto Networks WildFire?

Jeden Tag gibt es tausende von neuen bzw. abgewandelten Schadprogrammen. Folglich muss die AV-Signatur jedes Gerätes aktualisiert werden. Diese Aktualisierung kann von AV-Anbieter zu AV-Anbieter bis zu vier Stunden dauern.

Wird weltweit eine neue Schadsoftware von WildFire erkannt, so erfolgt innerhalb von 15 Minuten eine detaillierte Auswertung, ob es sich um Schadsoftware handelt. Zudem wird eine Signatur erstellt und bereitgestellt. Damit kann sofort die Ausführung der Schadsoftware auf einem auf einem TRAPS-geschützen Endpoint unterbunden oder durch Korrelation innerhalb einer SIEM-Lösung dynamisch die Firewall-Konfiguration angepasst werden.

 

Warum iT-CUBE?

iT-CUBE unterstützt seine aktuellen Kunden neuen Kunden dabei die bestmögliche Sicherheit aus den bestehenden Systemen zu erhalten. Darüber hinaus prüfen wir ob es für den einzelnen Kunden Sinn ergibt zusätzliche Sicherheitsmaßnahmen zu implementieren. Auch bei der Abwehr von APT und polymorpher Schadsoftware bietet iT-CUBE Lösungen um eine versuchte Infizierung in einem sehr frühen Stadium zu erkennen und Datenabfluss zu vermeiden.

 

Datasheet

Palo Alto Networks Wildfire

Andere Lösungen im Bereich Malware Detection & Protection:

Das könnte Sie auch interessieren...

 

 

Ist der Betrieb von Malware Detection / Protection zu aufwendig für Sie? Informieren Sie sich zu unseren Managed Security Services rund um dieses Thema.

...is coming soon