CW: Wie ist es heute um die IT-Sicherheit in Unternehmen bestellt?
Vigoroux: Die Cyberkriminalität ist seit 2007 um mehr als 400 Prozent gestiegen, was selbst konservativen Schätzungen zufolge einen Schaden von 100 Milliarden Dollar verursacht hat. Einige Quellen sprechen sogar von bis zu 1 Billion Dollar. Man kann demnach sicherlich von einer „globalen Cyberkriminalitäts-Misere“ sprechen.
Die Security-Industrie macht keinen guten Job. Sie ist nicht in der Lage mit den Cyberkriminellen Schritt zu halten. In der Vergangenheit haben Antiviren- und Firewall-Technologien 97 bis 99 Prozent der Malware geblockt, während sich Sicherheitsfirmen wie M86 auf die übrigen 1 bis 3 Prozent der eingegangenen Malware konzentrierten. Das Bild hat sich jedoch dramatisch verändert. Heute können die Antiviren, Firewall, URL-Filter und andere Reputationsdatenbank-basierte Lösungen nur noch weniger als 40 Prozent der Angriffe blocken. Dies bedeutet nichts anderes, als dass 60 Prozent der Malware unentdeckt bleibt und die Unternehmen ungeschützt trifft. Diese Malware-Lücke verschafft den Cyberkriminellen bequemen Zugang zu den Unternehmen, ihren Netzwerken und Daten.
Die Online-Kriminalität hat sich als Geschäftsmodell etabliert. Das Problem besteht auf drei Ebenen:
-
Die Malware ist so raffiniert, dass sie mühelos traditionellen Sicherheitssystemen entkommt.
-
Die Exploit Kits sind für jeden im Internet downloadbar und einsetzbar.
-
Die Schattenwirtschaft hat sich mittlerweile so spezialisiert, dass es für Hacker sehr einfach ist, in diesem Bereich aktiv zu werden und Geld zu verdienen. Das alles ohne viel Risiko oder die Gefahr, erwischt zu werden.
CW: Warum machen Sicherheitsfirmen einen schlechten Job?
Vigoroux: Zunächst einmal wächst die Cyberkriminalität ziemlich schnell. Hinzu kommt, dass die Wirtschaft auf traditionelle Sicherheitstechnologien setzt, die 20 Jahre alt sind und signaturbasiert arbeiten. Heutzutage sind die Angriffe gezielter und schneller, haben jedoch lang anhaltende, kostenintensive Folgen. Signaturbasierte Lösungen können nicht vor diesem täglichen Malware-Ansturm schützen.
Der wichtigste Unterschied ist, wie effektiv, dynamisch und proaktiv M86 seine Kunden schützt. Im Vergleich zu unseren Mitbewerbern sind wir in der Lage, bisher neue Attacken, wie dynamische oder polymorphe Malware und Zero-Day-Attacken, zu erkennen. Die Web-Sicherheitslösung von M86 verlässt sich nicht auf Signaturen oder Datenbanken, um Malware zu identifizieren. Stattdessen analysiert sie automatisch in Millisekunden die Absicht bei der Ausführung des Codes und identifiziert, ob diese bösartig ist oder nicht. M86 kann somit auch brandneue bösartige Codes erkennen und blocken, bevor sie den Anwender erreichen.
Code-Analyse in Echtzeit
CW: Warum scheitern signaturbasierte Analysen bei Malware?
Vigoroux: Gezielte Attacken dauern manchmal nur wenige Sekunden. Datenbankbasierte Lösungen adressieren diese fortlaufende Ausbreitung der Angriffe nicht, weil sie die Malware stets mit einer Datenbank von verfügbaren Signaturen vergleichen, die aus früheren Updates zusammengestellt wird.
CW: Könnten Cloud-basierte Datenbanken es besser machen?
Vigoroux: Cloud-basierte Datenbanken verbessern eine im Großen und Ganzen ineffektive Technologie, indem die Signaturen nun nicht mehr den ganzen Weg bis zum Endverbraucher zurücklegen müssen. Der Computer des Anwenders, auf dem die Antiviren-Software läuft, ist mit der Cloud verbunden, und reduziert so nur die Gesamtzeit, um die Signatur herauszubekommen.
CW: Viele Anbieter setzen auf einen Multi-Layer-Sicherheitsansatz. Kann eine verhaltensbasierte Technologie am Ende all diese Techniken ersetzen?
Vigoroux: Die beste Methode ist ein Multi-Layer-Ansatz, der auch heute noch zweckmäßig ist. In der Vergangenheit bedeutete dieser Ansatz, dass ein Antivirus-Programm an dem Gateway und ein weiteres auf dem Desktop liefen.
Gegenüber heutigen Webangriffen ist diese Vorgehensweise nutzlos, da man nichts anderes tut, als zwei Lösungen zu implementieren, die auf der gleichen Technologie basieren. Was Sie jedoch in Betracht ziehen sollten, ist, die verschiedenen Technologien, die Sie im Einsatz haben, zu schichten. Wie zum Beispiel mit einer Kombination aus Antiviren-Scannern – die zwar schnell und akkurat arbeiten, doch nur 40 Prozent der Angriffe abfangen – und einer neuen, proaktiven Technologie, wie die Code-Analyse in Echtzeit. Dieser Multi-Layer Ansatz ist nach wie vor angebracht, allerdings nur unter Einsatz von Technologien, die Malware auf unterschiedliche Weise erkennen.
CW: Die Anzahl von mobilen Geräten in Unternehmen nimmt zu. Wie reagieren Sie darauf?
Vigoroux: Das ist wahrscheinlich eine der größten Schwachstellen in der Sicherheitsstruktur vieler Unternehmen. Alles geht gut, sofern die Anwender in den Firmenbüros arbeiten, da sie sich hinter einer Sicherheitswand befinden. Aber was passiert, wenn dieses Unternehmen Leute beschäftigt, die um die Welt reisen oder auf öffentliche WiFi-Netzwerke zugreifen? Sobald die Geräte der mobilen Angestellten infiziert sind und die Malware ins Unternehmensnetzwerk transferieren, kann es auf das ganze Firmennetzwerk übergreifen und das Unternehmen kann in ernsthafte Schwierigkeiten geraten. M86 Security bietet eine Web-Hybridlösung an, die den Sicherheitsschutz auch auf mobile Mitarbeiter ausweitet, die sich außerhalb der Firmenbüros bewegen. Die M86 Secure Web Service Hybrid, kombiniert mit der M86 Secure Web Gateway-Lösung, basiert auf Cloud Computing. Diese Kombination stellt sicher, dass die Anwender geschützt sind – unabhängig davon, wo sie sich gerade befinden und ohne Einfluss auf die Leistungsfähigkeit.
CW: Und Smartphones?
Vigoroux: Smartphones werden immer häufiger Opfer gezielter Cyberattacken. Es gibt relativ wenige Sicherheitsanwendungen, die man momentan implementieren kann. Die Nutzer solcher Smartphones speichern immer mehr persönliche Daten auf ihren Geräte. Zudem steigt die Zahl verfügbarer Applikationen und auch Unternehmensdaten werden verstärkt abgerufen und gespeichert. Unterschiedliche Betriebssysteme haben unterschiedliche Angriffsprofile. Eine große Gefahr besteht womöglich auch bei einer sehr offenen Plattform wie Android. M86 arbeitet an einer Sicherheitslösung für diesen Bereich.
CW: Warum ist die Anzahl an Malware, die Sie erkennen können, denn so viel größer als die anderer Anbieter?
Vigoroux: Andere Anbieter versuchen, das Problem mit Hilfe der Erkennung aller bösartigen Applikationen oder der Analyse des Netzwerkverkehrszu lösen. So funktionieren Antiviren-Scanner und IDS/IPS-Lösungen. Allerdings ist das reine Volumen an bösartigen Angriffen außer Kontrolle geraten. Ein weiterer Ansatz versucht, die zulässigen Applikationen und den ungefährlichen Datenverkehr zu identifizieren. Doch auch mit dieser Methode ergibt sich eine schier endlose Liste. Das kann sich negativ auf die Geschäftsprozesse auswirken.
Was M86 macht, ist anders. Wir inspizieren zu 100 Prozent den Webinhalt, den unsere Nutzer herunter- oder hochladen wollen (92 Prozent aller Malware-Infektionen innerhalb eines Unternehmens stammen aus dem Web). Wir analysieren dann die Absicht bei der Ausführung des Webcodes und finden so heraus, was das Ziel ist. Für die zahlreichen Muster von Malware da draußen existiert eine überschaubare Auswahl an Methoden, mit denen man PC-Arbeitsplätze infizieren und kompromittieren kann. Auf diese Auswahl konzentrieren wir uns. Deshalb sind wir auch so effektiv im Erkennen neuer dynamisch-infizierender Inhalte und Zero-Day-Attacken.
Lösungen für schmale Budgets
CW: Herr Thalmeier, verhaltensbasierte Erkennung verspricht also große Vorteile gegenüber herkömmlicher signaturbasierter Erkennung. Erfordert es für IT-Verantwortliche nicht sehr viel Mut, von ihrem vertrauten Konzept abzuweichen?
Thalmeier: Ja, in der Tat. Wenn der Fokus für die IT allerdings Security und der Schutz des Unternehmens sowie der Anwender ist, dann werden sie neue Wege gehen müssen. Die Formen der Bedrohungen verändern sich fortwährend, daher müssen IT-Verantwortliche auch Lösungen einsetzten, die mit der Evolution der Malware mithalten können, beziehungsweise im besten Fall sogar einen Schritt voraus sind. Unternehmen müssen optimale Strategien und Verhaltensregeln definieren, um die entstehenden Sicherheitsrisiken proaktiv zu bekämpfen.
CW: Was passiert, wenn sich ein Virus in bisher nicht gekannter Weise verhält?
Thalmeier: Aufgrund der verhaltensbasierenden Technologie ist M86 in der Lage, auch neue Verhaltensmuster zu erkennen und zu blocken. Zudem erhalten wir ständig aktualisierte Daten über neue Bedrohungen von unseren Security Labs.
CW: Kleine und mittlere Unternehmen haben oft schmale Security-Budgets. Welche Lösung können Sie diesen anbieten?
Thalmeier: Unser Produktportfolio besteht aus Hardware, Virtual Appliances, Software und Cloud-basierten Lösungen. Diese umfangreiche Palette bietet somit auch Sicherheitslösungen für kleine und mittlere Unternehmen. Unser SWG ist als Hardware sowie als VMWare basierende Virtual Appliance verfügbar, welche die Hardwarekosten senkt.
Des Weiteren bieten wir eine SMB Security Suite an. Die neue Suite besteht aus unseren Software-basierenden Produkten M86 MailMarshal Secure Email Gateway (SEG), M86 WebMarshal, M86 Filter List und M86 Marshal Reporting Console (MRC). Zudem können die Nutzer unter verschiedenen Virenschutz-Modulen wählen.
CW: Sie bieten auch eine Lösung an, die komplett ohne Hardware auskommt. Welche ist das und wie funktioniert sie?
Thalmeier: Unser SWG ist auch als VMWare basierende Virtual Appliance verfügbar. Unsere Lösung für die Malware-Erkennung in Echtzeit kann somit als Appliance oder Virtual Appliance eingerichtet werden. Die Kunden sind jetzt in der Lage, das SWG auf ihrer eigenen VMWare Hardware zu installieren.