Emulierung von zielgerichteten Angriffen
Kommentar von Richard Werner, Regional Solution Manager DACH bei Trend Micro
Zielgerichtete Angriffe oder APTs (Advanced Persistent Threats) haben in den letzten zwei Jahren immer stärker zugenommen. Verschiedene Sicherheitsanbieter haben sich bereits dieses Themas angenommen und versuchen, ihren Kunden die beste Schutzlösung zu verkaufen. Angesichts der Vielfalt der Angebote ist es die logische Konsequenz, dass nun ein Testlabor (NSS Labs) für Anwenderunternehmen eine Art Hilfestellung liefern wollte. Die Tester haben durch eine Emulierung zielgerichteter Angriffe die tatsächlichen Vor- und Nachteile einzelner Lösungen zu eruieren versucht.
Aber wie kann man zielgerichtete Angriffe emulieren und vor allem das Ergebnis fair bewerten? Um dieses zu gewährleisten, wurden alle teilnehmenden Hersteller gebeten, bei der Erstellung eines solchen Testverfahrens zusammenzuarbeiten. Letztlich ist ein Leistungstest entstanden, der zusätzlich die Kosten einer Lösung mit einrechnet.
Es stellt sich die Frage, ob ein solcher Test gleichzusetzen ist mit einem ernsthaft durchgeführten zielgerichteten Angriff? Ich fürchte, die Antwort ist nein. Ein Angreifer hat grundsätzlich eine andere Motivation, und ihm stehen bei echten Angriffen oft auch andere Mittel zur Verfügung, um seine Ziele zu erreichen. All dies aber ist in einem einfachen und verhältnismäßig günstigen Test nicht nachzuvollziehen. Auf der anderen Seite aber lässt sich mit einem solchem Test Grundsätzliches erkennen und das Verhalten der getesteten Produkte im Ernstfall nachstellen.
Vergleichbar ist dieses Verfahren mit der Ausbildung von Medizinern. Auch die werden nicht gleich an lebenden Personen operieren, was vermutlich für alle Beteiligten auch besser ist. So auch im Testverfahren. Beim Durchlesen dieses Tests lässt sich erkennen, wie gut einzelne Hersteller ihre „Schnitte“ setzen und wie gut diese in einer emulierten Umgebung funktionieren. Wenn ein Anwender nun einen dieser „Ärzte“ für sein „lebendiges“ Netzwerk testen will, so geben ihm die Ergebnisse eine Übersicht darüber, welche Wirkung von den einzelnen Produkten zu erwarten ist und auch welchen Preis im Verhältnis zu dieser Schutzwirkung er zu zahlen hat.
Für uns nicht überraschend hat Trend Micro diesen Leistungstest gewonnen. Nach mehr als 25 Jahren Erfahrung in der IT-Sicherheit und Entwicklungsschwerpunkten in sicherheitsfokussierten Märkten wie Deutschland und Japan ist es in unseren Augen normal, dass eine Technologie, die unter dem Aspekt maximaler Erkennung entwickelt wurde, von uns mitbestimmt und geradezu angeführt wird.
Trend Micro Deep Discovery beinhaltet unseren gesamten Erfahrungsschatz sowie die Möglichkeit, Malware tatsächlich in einer geschützten Umgebung (Sandbox) auszuführen. Der besondere Vorteil der Lösung besteht darin, dass sie in der Tat die Umgebung der Kunden emuliert und nicht lediglich in einem immer gleichen standartisierten Labor, — pardon, in einer normierten Sandbox — arbeitet. Zudem glauben wir, dass Angreifer nicht nur einige wenige Protokolle verwenden, sondern eine viel größere Bandbreite (mehr als 80 Protokolle sowie alle Ports). Und diese deckt Deep Discovery ab. Das alles brachte uns im NSS Labs-Test die Führungsposition.
