AMTD: Wegweisend für moderne IT-Sicherheit

AMTD: Wegweisend für moderne IT-Sicherheit

Beitrag teilen

Automated Moving Target Defense (AMTD) verbessert die Anwendungssicherheit bei Sophos Endpoint durch das Erstellen von bedrohungsagnostischen Barrieren für jeden Prozess. Für Software wird es schwieriger Code auszuführen, der nicht originärer Teil der Anwendung ist. Damit wird insbesondere Malware an ihrer Ausführung gehindert.

Durch die sich verschärfenden Cyberbedrohungen haben Sicherheitsteams mit einer steigenden Anzahl von Warnmeldungen und Fehlalarmen zu kämpfen. Das beeinträchtigt die Sicherheitseffizienz und bindet viele Ressourcen. Automated Moving Target Defense (AMTD), ein neues Konzept, das von Gartner entwickelt und gefördert wird, soll diese Dynamik durchbrechen und für Abhilfe sorgen. Sicherheitsprodukte und -dienste, die AMTD-Technologien einsetzen, erhöhen die Hürden für Angreifer. Die kontrollierte Orchestrierung von Veränderungen in IT-Umgebungen unterbricht Angriffe aktiv und vereitelt Einbruchsversuche.

Anzeige

AMTD auf dem Endpoint

Sophos setzt AMTD-Technologien am Endpoint ein und stellt damit den Angreifern Barrieren auf, um die Bedrohungen automatisch abzufangen beziehungsweise zu eliminieren. Neben der Reduzierung der Bedrohungsoberfläche, der Verhaltensanalyse und dem Einsatz von Deep-Learning- beziehungsweise AI-Modellen verbessert AMTD die Anwendungssicherheit durch das Erstellen von bedrohungsagnostischen Barrieren für jeden Prozess. Das Resultat: Für Software wird es schwieriger Code auszuführen, der nicht originärer Teil der Anwendung ist. Damit wird insbesondere Malware an ihrer Ausführung gehindert. Zu AMTD-Schutztechnologien gehören:

Adaptive Attack Protection (AAP)

Adaptive Attack Protection (AAP) erkennt die Anwesenheit eines aktiven Angreifers auf zwei Arten: Erstens durch die Verwendung gängiger Angriffs-Toolkits und zweitens durch Kombinationen aktiver bösartiger Verhaltensweisen, die auf das Anfangsstadium eines Angriffs hindeuten. Sobald ein aktiver Angriff auf einem Endpoint erkannt wird, aktiviert AAP vorübergehende Einschränkungen. Ein Beispiel ist die Verhinderung eines Neustarts im abgesicherten Modus, welche Angreifer beispielsweise nutzen, um die Erkennung zu umgehen.

Randomisierung – aber gesichert

Wenn beispielsweise eine Dynamic Link Library (DLL) einer Anwendung stets vorhersehbar an derselben Speicheradresse geladen wird, ist es für Angreifer einfacher, Schwachstellen auszunutzen. Zwar können Entwickler während der Kompilierung die Adressraum-Layout-Randomisierung (ASLR) aktivieren, wodurch die Adressen einmal pro Neustart randomisiert werden, doch kann jede Software von Drittanbietern, die keine ASLR enthält, diese Strategie untergraben. Sophos verbessert die Sicherheit von Anwendungen, indem es sicherstellt, dass jedes Modul bei jedem Start der Anwendung an einer zufälligen Speicheradresse geladen wird und damit die Komplexität eines möglichen Angriffs erhöht.

Täuschung von Malware

Angreifer versuchen oft, ihren schädlichen Code durch Verschleierung vor Datei- und Speicherscannern zu verbergen. Allerdings muss die Verschleierung von bösartigem Code fallen, bevor er auf dem Computer ausgeführt werden kann. Dieser Prozess ist in der Regel auf bestimmte Betriebssystem-APIs angewiesen. Sophos platziert strategisch Täuschungselemente, die speicherbezogene APIs imitieren, die von Angreifern häufig zur Initialisierung und Ausführung ihres schädlichen Codes verwendet werden. Diese bedrohungs- und code-agnostische Verteidigung kann schädlichen Code unterbrechen, ohne gutartige Anwendungen zu behindern.

Sinnvolle Begrenzung ermöglicht mehr Schutz

Um Abwehrmaßnahmen zu umgehen, wird bösartiger Code in der Regel verschleiert und oft über gutartige Anwendungen transportiert. Vor der Ausführung eines verdeckten Codes muss die Bedrohung ihre Verschleierung aufheben, was zur Schaffung eines für die Ausführung von Code geeigneten Speicherbereichs führt und somit eine CPU-Hardwareanforderung darstellt. Die zugrundeliegenden Befehle, die zur Erstellung eines codefähigen Speicherbereichs erforderlich sind, sind derart kurz, dass sie allein nicht ausreichen, um von Schutztechnologien als bösartig eingestuft zu werden. Bei einer Blockierung solcher Befehle würden zwangsläufig auch gutartige Anwendungen nicht mehr funktionieren. Sophos Endpoint führt eine eindeutige Historie, verfolgt die Eigentümerschaft und korreliert Zuweisungen von codefähigem Speicher über Anwendungen hinweg. Dadurch sind neuartige Schutzmaßnahmen auf solch niedriger Ebene möglich und sinnvoll einsetzbar.

Härtung von sicherheitssensiblen Speicherbereichen

Sophos verhindert die Manipulation von Prozessen, indem es Barrieren um die sicherheitssensiblen Speicherbereiche jeder Anwendung errichtet. Beispiele für sensible Speicherbereiche sind der Process Environment Block (PEB) oder der Adressraum von sicherheitsrelevanten Modulen wie dem Anti-Malware Scan Interface (AMSI). Angreifer, die darauf abzielen, die Identität eines gutartigen Prozesses anzunehmen, verstecken Befehlszeilenparameter, deaktivieren oder führen beliebigen Code im eigenen (oder im Adressraum eines anderen Prozesses) aus und manipulieren regelmäßig Code oder Daten innerhalb dieser sensiblen Bereiche. Durch die Abschirmung dieser Prozesse werden generisch eine Vielzahl bestehender und zukünftiger Angriffstechniken beendet und entlarvt.

Leitplanken

Sophos installiert sogenannte Guardrails (Leitplanken) um eine Code-Ausführung herum. Dadurch wird verhindert, dass die Code-Ausführung zwischen einzelnen Code-Abschnitten fließt und in einen Adressraum eindringt, der zwar Teil der ursprünglichen Anwendung ist, aber nur Daten enthalten soll. Außerdem werden aktiv APC-Injektion und die Nutzung verschiedener anderer Systemfunktionen verhindert, die nicht von legitimen Anwendungen verwendet werden.

„Wenn AMTD richtig eingesetzt wird, stellt es eine unschätzbare Verteidigungsschicht gegen Advanced Persistent Threats (APTs), auf Exploits basierende Angriffe und Ransomware dar“, so Michael Veit, Cybersecurity-Experte bei Sophos. „AMTD-Technologien auf dem Endpoint verbessern die Widerstandsfähigkeit aller Anwendungen automatisch, ohne dass eine Konfiguration, Quellcode-Änderung oder Kompatibilitätsprüfung erforderlich sind. Automatisierte und orchestrierte Cybersecurity-Strategien setzen die Messlatte für Angreifer höher, da sie die Unklarheiten für die Angreifer erhöht und Attacken damit zeitaufwendiger geplant werden müssen.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Neue Firewall schützt kritische Infrastrukturen

Ein Anbieter von Cybersicherheit für kritische Infrastrukturen in den Bereichen IT, OT und ICS hat seine neueste Generation einer robusten ➡ Weiterlesen

Scanner analysiert Bedrohungen vor dem Angriff

Ein Anbieter für Datenresilienz hat seine Datenplattform mit einem neuen Scanner erweitert. Dieser Scanner identifiziert Cyber-Bedrohungen proaktiv mit einer zum ➡ Weiterlesen

KI in Unternehmen – Mitarbeiter wissen zu wenig

Für den zielgerichteten Einsatz von Künstlicher Intelligenz (KI) in Unternehmen braucht es Angestellte mit dem entsprechenden Fachwissen sowie Maßnahmen zur ➡ Weiterlesen

Akira: Gruppe nutzt Schwachstelle in Firewall aus

Cyberkriminelle nutzten in diesem Jahr bereits häufiger Sicherheitslücken in weit verbreiteten Firewalls aus. Jetzt wurden Mitglieder von Akira dabei beobachtet, ➡ Weiterlesen

Data Security Posture Management für Microsoft 365 Copilot

Da Unternehmen und ihr Microsoft 365-Datenvolumen wachsen, ist der Schutz sensibler Daten und die Zugriffsverwaltung noch wichtiger geworden. Rubrik hilft ➡ Weiterlesen

So schützen Unternehmen ihre OT-Umgebungen

OT-Umgebungen sind in den letzten Jahren deutlich gewachsen und sie sind zunehmend ins Visier von Cyberkriminellen geraten. Angriffe auf diese ➡ Weiterlesen

Cybersicherheit: Der Unterschied zwischen NIS und NIST

Im Bereich der Cybersicherheit und Cyberresilienz spielt aktuell der Start von NIS eine große Rolle. Wenn es um die Reduzierung ➡ Weiterlesen

KI-Cloud-Services erhöhen Resilienz von Rechenzentren

Ein Anbieter von KI-nativen, sicheren Netzwerken hat seine Sicherheitslösung für Rechenzentren um neue Funktionen erweitert. Sie verbessern die Netzwerktransparenz, -analyse ➡ Weiterlesen