AMTD: Wegweisend für moderne IT-Sicherheit

AMTD: Wegweisend für moderne IT-Sicherheit

Beitrag teilen

Automated Moving Target Defense (AMTD) verbessert die Anwendungssicherheit bei Sophos Endpoint durch das Erstellen von bedrohungsagnostischen Barrieren für jeden Prozess. Für Software wird es schwieriger Code auszuführen, der nicht originärer Teil der Anwendung ist. Damit wird insbesondere Malware an ihrer Ausführung gehindert.

Durch die sich verschärfenden Cyberbedrohungen haben Sicherheitsteams mit einer steigenden Anzahl von Warnmeldungen und Fehlalarmen zu kämpfen. Das beeinträchtigt die Sicherheitseffizienz und bindet viele Ressourcen. Automated Moving Target Defense (AMTD), ein neues Konzept, das von Gartner entwickelt und gefördert wird, soll diese Dynamik durchbrechen und für Abhilfe sorgen. Sicherheitsprodukte und -dienste, die AMTD-Technologien einsetzen, erhöhen die Hürden für Angreifer. Die kontrollierte Orchestrierung von Veränderungen in IT-Umgebungen unterbricht Angriffe aktiv und vereitelt Einbruchsversuche.

AMTD auf dem Endpoint

Sophos setzt AMTD-Technologien am Endpoint ein und stellt damit den Angreifern Barrieren auf, um die Bedrohungen automatisch abzufangen beziehungsweise zu eliminieren. Neben der Reduzierung der Bedrohungsoberfläche, der Verhaltensanalyse und dem Einsatz von Deep-Learning- beziehungsweise AI-Modellen verbessert AMTD die Anwendungssicherheit durch das Erstellen von bedrohungsagnostischen Barrieren für jeden Prozess. Das Resultat: Für Software wird es schwieriger Code auszuführen, der nicht originärer Teil der Anwendung ist. Damit wird insbesondere Malware an ihrer Ausführung gehindert. Zu AMTD-Schutztechnologien gehören:

Adaptive Attack Protection (AAP)

Adaptive Attack Protection (AAP) erkennt die Anwesenheit eines aktiven Angreifers auf zwei Arten: Erstens durch die Verwendung gängiger Angriffs-Toolkits und zweitens durch Kombinationen aktiver bösartiger Verhaltensweisen, die auf das Anfangsstadium eines Angriffs hindeuten. Sobald ein aktiver Angriff auf einem Endpoint erkannt wird, aktiviert AAP vorübergehende Einschränkungen. Ein Beispiel ist die Verhinderung eines Neustarts im abgesicherten Modus, welche Angreifer beispielsweise nutzen, um die Erkennung zu umgehen.

Randomisierung – aber gesichert

Wenn beispielsweise eine Dynamic Link Library (DLL) einer Anwendung stets vorhersehbar an derselben Speicheradresse geladen wird, ist es für Angreifer einfacher, Schwachstellen auszunutzen. Zwar können Entwickler während der Kompilierung die Adressraum-Layout-Randomisierung (ASLR) aktivieren, wodurch die Adressen einmal pro Neustart randomisiert werden, doch kann jede Software von Drittanbietern, die keine ASLR enthält, diese Strategie untergraben. Sophos verbessert die Sicherheit von Anwendungen, indem es sicherstellt, dass jedes Modul bei jedem Start der Anwendung an einer zufälligen Speicheradresse geladen wird und damit die Komplexität eines möglichen Angriffs erhöht.

Täuschung von Malware

Angreifer versuchen oft, ihren schädlichen Code durch Verschleierung vor Datei- und Speicherscannern zu verbergen. Allerdings muss die Verschleierung von bösartigem Code fallen, bevor er auf dem Computer ausgeführt werden kann. Dieser Prozess ist in der Regel auf bestimmte Betriebssystem-APIs angewiesen. Sophos platziert strategisch Täuschungselemente, die speicherbezogene APIs imitieren, die von Angreifern häufig zur Initialisierung und Ausführung ihres schädlichen Codes verwendet werden. Diese bedrohungs- und code-agnostische Verteidigung kann schädlichen Code unterbrechen, ohne gutartige Anwendungen zu behindern.

Sinnvolle Begrenzung ermöglicht mehr Schutz

Um Abwehrmaßnahmen zu umgehen, wird bösartiger Code in der Regel verschleiert und oft über gutartige Anwendungen transportiert. Vor der Ausführung eines verdeckten Codes muss die Bedrohung ihre Verschleierung aufheben, was zur Schaffung eines für die Ausführung von Code geeigneten Speicherbereichs führt und somit eine CPU-Hardwareanforderung darstellt. Die zugrundeliegenden Befehle, die zur Erstellung eines codefähigen Speicherbereichs erforderlich sind, sind derart kurz, dass sie allein nicht ausreichen, um von Schutztechnologien als bösartig eingestuft zu werden. Bei einer Blockierung solcher Befehle würden zwangsläufig auch gutartige Anwendungen nicht mehr funktionieren. Sophos Endpoint führt eine eindeutige Historie, verfolgt die Eigentümerschaft und korreliert Zuweisungen von codefähigem Speicher über Anwendungen hinweg. Dadurch sind neuartige Schutzmaßnahmen auf solch niedriger Ebene möglich und sinnvoll einsetzbar.

Härtung von sicherheitssensiblen Speicherbereichen

Sophos verhindert die Manipulation von Prozessen, indem es Barrieren um die sicherheitssensiblen Speicherbereiche jeder Anwendung errichtet. Beispiele für sensible Speicherbereiche sind der Process Environment Block (PEB) oder der Adressraum von sicherheitsrelevanten Modulen wie dem Anti-Malware Scan Interface (AMSI). Angreifer, die darauf abzielen, die Identität eines gutartigen Prozesses anzunehmen, verstecken Befehlszeilenparameter, deaktivieren oder führen beliebigen Code im eigenen (oder im Adressraum eines anderen Prozesses) aus und manipulieren regelmäßig Code oder Daten innerhalb dieser sensiblen Bereiche. Durch die Abschirmung dieser Prozesse werden generisch eine Vielzahl bestehender und zukünftiger Angriffstechniken beendet und entlarvt.

Leitplanken

Sophos installiert sogenannte Guardrails (Leitplanken) um eine Code-Ausführung herum. Dadurch wird verhindert, dass die Code-Ausführung zwischen einzelnen Code-Abschnitten fließt und in einen Adressraum eindringt, der zwar Teil der ursprünglichen Anwendung ist, aber nur Daten enthalten soll. Außerdem werden aktiv APC-Injektion und die Nutzung verschiedener anderer Systemfunktionen verhindert, die nicht von legitimen Anwendungen verwendet werden.

„Wenn AMTD richtig eingesetzt wird, stellt es eine unschätzbare Verteidigungsschicht gegen Advanced Persistent Threats (APTs), auf Exploits basierende Angriffe und Ransomware dar“, so Michael Veit, Cybersecurity-Experte bei Sophos. „AMTD-Technologien auf dem Endpoint verbessern die Widerstandsfähigkeit aller Anwendungen automatisch, ohne dass eine Konfiguration, Quellcode-Änderung oder Kompatibilitätsprüfung erforderlich sind. Automatisierte und orchestrierte Cybersecurity-Strategien setzen die Messlatte für Angreifer höher, da sie die Unklarheiten für die Angreifer erhöht und Attacken damit zeitaufwendiger geplant werden müssen.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

28. Januar 2024: Europäischer Datenschutztag

Am 28. Januar 2024 ist Europäischer Datenschutztag. In dem Zusammenhang gilt es, das Bewusstsein für Privatsphäre sowie Datenschutz zu schärfen ➡ Weiterlesen

Gesundheitswesen bevorzugtes Ziel für E-Mail-Angriffe

In einer Umfrage war das Gesundheitswesen häufiger als der Durchschnitt von E-Mail-Sicherheitsverletzungen betroffen. Vor allem die Wiederherstellungskosten nach solchen Angriffen ➡ Weiterlesen

Outlook: Kalendereintrag kann Passwort stehlen

Es gibt eine neue Sicherheitslücke in Outlook und drei Möglichkeiten auf NTLM v2-Hash-Passwörter zuzugreifen. Der Zugang kann durch die Kalenderfunktion ➡ Weiterlesen

Cloud-Sicherheit: Hälfte aller Attacken starten in der Cloud

Die Ergebnisse einer großangelegten Studie zeigen, dass die Cloud-Sicherheit deutlichen Verbesserungsbedarf hat. Cloud-Angriffe kosten Unternehmen im Durchschnitt 4,1 Millionen USD. ➡ Weiterlesen

KI: 2024 zentraler Faktor in Unternehmen

Laut einer Studie halten weltweit 82 Prozent der CTOs und CIOs großer Unternehmen KI für entscheidend für die Abwehr von ➡ Weiterlesen

Angriffe auf SSH-Server durch SSH-Tunneling

Ein Pionier im Bereich Cloud Native Security hat eine seit langem bestehende aber kaum bekannte Bedrohung für SSH-Server näher beleuchtet. ➡ Weiterlesen

Cybersicherheitsvorfälle: Fehlendes Budget ist ein Risikofaktor

Laut einer Umfrage liegt in 18 Prozent der Cybersicherheitsvorfälle der Grund dafür an fehlendem Budget für Cybersicherheit. Die Fertigungsbranche ist ➡ Weiterlesen

Daten: Kriminelle Exfiltration verhindern

Die KI-basierte Falcon XDR-Plattform von CrowdStrike macht traditionelle Data Loss Prevention (DLP-)Produkte überflüssig. Sie schützt Endgeräte und verhindert Exfiltration und ➡ Weiterlesen