IT Security März/April

Weitere Magazine

Empfehlungen

Info

24 | IT SECURITY File-basierte Bedrohungen mit CDR abwehren SICHERE NEUVERPACKUNG VON DATEI-INHALTEN RANSOMWARE UND ANDERE SCHADPRO- GRAMME ZÄHLEN NACH WIE VOR ZU DEN GRÖSSTEN SICHERHEITS- BEDROHUNGEN FÜR UNTERNEHMEN. Frank Limberger, Data & Insider Threat Security Specialist, Forcepoint, www. forcepoint.de Cyberkriminelle nutzen gern manipulierte PDF- und Office-Dokumente, um Malware bei Unternehmen einzuschleusen. Content Disarm and Reconstruction (CDR) lässt solche Bedrohungen ins Leere laufen, indem es die Dateien auseinandernimmt und neu aufbaut. Dabei bleiben alle gefährlichen Bestandteile auf der Strecke – auch unbekannte. Ransomware und andere Schadprogramme zählen nach wie vor zu den größten Sicherheitsbedrohungen für Unternehmen. Häufig stecken sie in manipulierten PDF-Dateien und Office-Dokumenten, die Mitarbeiter via E-Mail erhalten oder aus dem Internet herunterladen. Vielschichtige Abwehrtechnologien sollen zwar verhindern, dass die verseuchten Files ins Unternehmen gelangen, doch das gelingt nicht immer. Schließlich tarnt sich Malware heute äußerst geschickt – etwa indem sie ihren Code verändert, um signaturbasierte Lösungen zu umgehen, oder ihre Schadfunktionen erst verzögert startet, um Sandboxes und andere verhaltensbasierte Lösungen auszutricksen. Regelmäßig mahnen IT-Abteilungen daher die Belegschaft, Dateien unbekannter Herkunft keinesfalls zu öffnen. Einen richtigen Schutz bietet das indes nicht, denn im hektischen Tagesgeschäft ist ein verdächtiger Mail-Anhang schnell angeklickt. Zumal die Mails, mit denen die Malware verbreitet wird, heute oft so gut gefälscht sind, dass es selbst IT-Profis schwerfällt, sie als Fälschung zu erkennen. Außerdem kann sich Malware durchaus auch in Dateien bekannter Herkunft verstecken. Unternehmen brauchen deshalb zusätzliche Schutzmechanismen, um dateibasierte Bedrohungen zuverlässig abzuwehren. Eine Möglichkeit wäre, die verschiedenen Dateiformate zum Beispiel in harmlose Bilder umzuwandeln. Im Arbeitsalltag ist so etwas natürlich unpraktisch, denn obwohl alle Informationen weiter vorhanden sind, lassen sie sich weder komfortabel lesen noch durchsuchen oder gar bearbeiten. Die Idee an sich ist jedoch gut und findet sich in ähnlicher Form in einer Technologie wieder, die schon seit EXTRACT VERIFY BUILD Bild 1: Sichere Dateien in drei Schritten: CDR liest die eigentlichen Geschäftsinformationen aus, prüft sie auf eine gültige Struktur und erstellt daraus neue, garantiert malware-freie Dateien (Quelle: Forcepoint) März/April 2023 | www.it-daily.net
IT SECURITY | 25 Bild 2: Die Umwandlung von Dateien in Bilder oder PDFs kann gefährliche Inhalte entschärfen, erschwert aber die Arbeit mit den enthaltenen Daten – besser ist der Aufbau einer neuen Datei im ursprünglichen Format UMWANDLUNG IN EIN BILD UMWANDLUNG IN EIN PDF (Quelle: Forcepoint) REKONSTRUKTION einigen Jahren existiert, hierzulande aber noch unter dem Radar fliegt: Content Disarm and Reconstruction, kurz CDR. So funktioniert CDR CDR extrahiert die unbedenklichen Daten aus einer Datei, also die für den Anwender nutzbaren Informationen sowie die Dateistruktur. Diese werden geprüft und anschließend zu einer neuen, voll funktionsfähigen Datei zusammengesetzt. Code, aktive Inhalte, versteckte Elemente und alle Bestandteile, die im entsprechenden Dateistandard nicht vorgesehen sind, bleiben dabei auf der Strecke – sie stellen keine Gefahr mehr dar und werden mit der Originaldatei gelöscht oder sicher aufbewahrt. Durch diese Arbeitsweise hat CDR keine Schwierigkeiten mit unbekannten Bedrohungen und liefert stets absolut saubere und unbedenkliche Dateien – und das, ohne auf Signaturen oder andere Mechanismen zur Malware-Erkennung angewiesen zu sein. Demzufolge kommt die Technologie auch ohne regelmäßige Updates aus und produziert keine False Positives, deren Überprüfung bei anderen Security-Lösungen oft einen hohen Aufwand verursacht. Der gesamte Prozess des Auseinandernehmens und Zusammenbauens dauert nur den Bruchteil einer Sekunde und bremst Arbeitsabläufe nicht aus – im Gegensatz beispielsweise zu Sandboxes, die häufig einige Minuten abwarten, bevor sie eine Datei als unbedenklich freigeben. Unternehmen können mit CDR also ihre sicherheitsrelevanten Prozesse beschleunigen und Sandbox-Umgebungen, die Ressourcen binden und Kosten verursachen, entlasten. Nur noch Dateien, die CDR nicht transformieren konnten, werden künftig zur Analyse an die Sandbox überstellt. Manche CDR-Lösungen wandeln die verschiedenen Ausgangsformate, zu denen neben PDFs und Office-Dokumenten in der Regel auch Bilder, HTML-Dateien, Mail-Formate und Archive zählen, lediglich in PDFs um. Das erschwert es jedoch, Daten zu aktualisieren oder zu ergänzen. Besser sind daher Lösungen, bei denen das Endformat dem Ausgangsformat entspricht. Wobei es hier sogar Möglichkeiten gibt, das Format zu aktualisieren und einen Wildwuchs mit unzähligen alten Word-, Excel- und PowerPoint-Formaten einzudämmen. Die neu aufgebauten Dateien gleichen optisch dem Original, sodass es keinerlei Einschränkungen bei der User Experience gibt. CDR ergänzt andere Sicherheitslösungen Standardmäßig gehen bei der Transformation von Office-Dokumenten durch CDR alle Makros, die sich in den Ursprungsdateien befinden, verloren. Da einige Unternehmen allerdings Makros benötigten, sollten CDR-Lösungen flexible Optionen bieten, um bestimmte Dateien oder Kommunikationskanäle von der Neuverpackung der Inhalte auszunehmen. Hier kommen weiterhin die bestehenden Security-Tools zum Zuge, die CDR nicht ablösen will, sondern lediglich ergänzt. Idealerweise greifen alle Lösungen dabei auf einen zentralen Satz an Richtlinien zu, damit IT-Abteilungen nicht mehrere Sätze parallel pflegen müssen, was aufwendig ist und unweigerlich zu inkonsistenten Regeln führt. Ähnlich wie der Umgang mit Makros lässt sich dann auch der Umgang mit www.it-daily.net | März/April 2023
Seite 1 und 2: Detect. Protect. Respond. März/Apr
Seite 3 und 4: INHALT | 3 COVERSTORY 04 40 Inhalt
Seite 5 und 6: COVERSTORY | 5 Uwe Gries, Country-M
Seite 7 und 8: IT SECURITY | 7 SAP ? Selbst wenn m
Seite 9 und 10: IT SECURITY | 9 Fälschung oder Rea
Seite 11 und 12: IT SECURITY | 11 Infrastrukturen so
Seite 13 und 14: IT SECURITY | 13 endpunktsicherheit
Seite 15 und 16: IT SECURITY | 15 mentierung des Dat
Seite 17 und 18: IT SECURITY | 17 sich dabei um ein
Seite 19 und 20: IT SECURITY | 19 bungen eindringen
Seite 21 und 22: IT SECURITY | 21 sich damit kaum ne
Seite 23: mehr als nur tägliche IT-News! SCA
Seite 27 und 28: IT SECURITY | 27 zum Betrieb ganzer
Seite 29 und 30: IT SECURITY | 29 Unabhängig davon
Seite 31 und 32: 04.08.21 09:49 is IT IT NEWS Der t
Seite 33 und 34: IT SECURITY | 33 direkt erstellt un
Seite 35 und 36: IT SECURITY | 35 Das PBAC-Modell fr
Seite 37 und 38: IT SECURITY | 37 beruht vor allem a
Seite 39 und 40: Data Lake: Die etwas ANDERE ART des
Seite 41 und 42: IT SECURITY | 41 hin zur Entdeckung
Seite 43 und 44: IT SECURITY | 43 Passwortmanager wi
Seite 45 und 46: IT SECURITY | 45 blematisch werden,
Seite 47 und 48: IT SECURITY | 47 DIE GRÖSSTEN RISI

IT Security März/April

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?