Angriffsprävention durch Emulation der Bedrohung

Check Point Threat Emulation Software Blade Angriffsprävention durch Emulation der Bedrohung

08.03.2013 | Redakteur: Peter Schmitz

Gezielte Angriffe mit unbekannten Schwachstellen und Zero-Day-Exploits sind die Haupt-Angriffsmethode von Cyber-Kriminellen. Signaturbasierte Malware-Erkennung hat gegen diese Angriffe keine Chance. Mit einer neuen, "Bedrohungs Emulation" genannten, Sandbox-Technik will Check Point jetzt kontern.

Firmen zum Thema

Check Point Software Technologies GmbH

PresseBox - unn | UNITED NEWS NETWORK GmbH

Insider Research

Malware-Programmierer nutzen zunehmend unbekannte Schwachstellen für ihre Schädlinge und erschweren so die Erkennung. Mit der Threat Emulation Technik will Check Point den Schadcode schon am Gateway erkennen und stoppen.
(Bild: Check Point)

Nicht erst seit dem "Aurora-Angriff" gegen Google ist bekannt, dass Cyberkriminelle zunehmend auf gezielte Angriffe mit Schwachstellen setzen, die in Dateien und Dokumenten versteckt sind und spätestens seit Stuxnet und Flame ist bekannt, dass Cyber-Gangster auch auf begehrte Zero-Day-Exploits setzen.

Jeden Tag werden durchschnittlich 70.000 bis 100.000 neue Malware-Samples produziert! Traditionelle Signatur-Lösungen konzentrieren sich auf die Erkennung und melden eine Bedrohung erst, nachdem sie das Netzwerk bereits kompromittiert hat. Die neue Check Point Threat Emulation-Technologie will dagegen auch unbekannte Bedrohungen abblocken, sodass erst gar keine Infektion stattfindet.

Die Raffinesse der Online-Angriffe nimmt weiter zu, und die Cyberkriminellen verwenden beträchtliche Energie darauf sicherzustellen, dass ihre Malware mit den Standardmethoden nicht entdeckt werden kann. In dieser Bedrohungslandschaft wird es für Unternehmen immer schwieriger, ihre wertvollen Ressourcen zu schützen“, so Charles Kolodgy, Research Vice President bei IDC.

Threat Emulation prüft verdächtige Dokumente am Gateway

Um Bedrohungen abzuwehren, prüft Check Point Threat Emulation heruntergeladene Dateien und gängige E-Mail-Anhänge wie Adobe-PDFs und Microsoft Office-Dateien. Verdächtige Dateien werden innerhalb der Threat Emulation Sandbox geöffnet und gleichzeitig auf ungewöhnliches Systemverhalten überwacht, wie etwa anormale Veränderungen der Systemregistrierung, Netzwerkverbindungen oder Systemprozesse, um so das Verhalten der Datei in Echtzeit zu bewerten.

Check Points Threat Emulation Lösung untersucht EXE-Dateien, PDF- und Office-Dokumente und öffnet verdächtige Datein in einer Sandbox.Dort kann das Verhalten der Dateien im Bezug auf Dateisystem, Registry, Systemprozesse und Netzwerkverbindungen unter verschiedenen Betriebssystemen beobachtet werden.Erkennt die Lösugn schädliches Verhalten stoppt sie die Auslieferung der Datei noch am Gateway und informiert über den Threatcloud-Service alle anderen Check Point Kunden über die neu entdeckte Malware.
(Bild: Check Point)

Wenn festgestellt wird, dass eine Datei bösartig ist, wird sie noch am Gateway blockiert. Neu gefundene Signaturen werden sofort in die Check Point ThreatCloud eingespeist und auf die Gateways aller Kunden verteilt, um automatischen Schutz vor der neuen Malware zu bieten.

Threat Emulation ist Bestandteil der Check Point-Lösung zur Bedrohungsprävention. Zu dieser Suite aus Check Point Software Blades gehören das IPS Software Blade, das Exploits bekannter Schwachstellen stoppt, das Anti-Bot Software Blade, das Bots aufspürt und entsprechende Schäden verhindert, sowie das Antivirus Software Blade, das Downloads von malware-verseuchten Websites unterbindet.

Das Threat Emulation Software Blade wird im zweiten Quartal 2013 bei Partnern von Check Point verfügbar sein. Eine Demonstration und Vorschau auf die neuen Services bietet der Hersteller im Check Point ThreatEmulator.

(ID:38331580)