Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Verbesserte Sicherheit für Office 365 durch das Blocken von 3,4 Millionen hochriskanter Bedrohungen
2 | Report zu Trend Micro Cloud App Security 2017
Trend Micro hat den Stand der Mailbedrohungen und der Sicherheit 2017 durchleuchtet, um ein deutliches Bild dessen zu zeichnen, wogegen sich Unternehmen schützen müssen und wie sie das tun können.
Email ist für Unternehmen ein nicht weg zu denkendes Tool, das eine effiziente Kommunikation zwischen
Kollegen, Kunden und Anbietern ermöglicht. Dank seiner Funktionalität und der überall verfügbaren
Systeme, auf denen Mail läuft, dient das Werkzeug als Kommunikationsmittel für wichtige Elemente der
Geschäftstätigkeit. Es nimmt also nicht wunder, dass für Cyberkriminelle die elektronische Post als Köder
bei ihren bösartigen Aktivitäten von großer Bedeutung ist.
Email bleibt daher auch weiterhin ein verbreiteter Infektionsvektor für Malware und andere Bedrohungen:
2017 zeigten die Daten aus der Trend Micro™ Smart Protection Network™-Sicherheitsinfrastruktur, dass
94 Prozent der Ransomware-Bedrohungen über Email kamen, während Business E-Mail Compromise (BEC)-
Betrug vom ersten auf das zweite Halbjahr eine Steigerung von 106 Prozent aufwies. Diese Bedrohung wird
VERBESSERTE SICHERHEIT FÜR OFFICE 365 DURCH DAS BLOCKEN VON 3,4 MILLIONEN HOCHRISKANTER BEDROHUNGEN
Verbesserte Sicherheit für Office 365 durch das Blocken von 3,4 Millionen hochriskanter Bedrohungen
3 | Report zu Trend Micro Cloud App Security 2017
auch als „Chef-Masche“ bezeichnet, weil die Betrüger dabei mithilfe von bösartigen Word-Dokumenten
oder PDF-Anhängen vor allem die oberste Führungsebene anvisieren, verursacht seit Jahren weltweit
Unternehmen hohe Verluste, führt zu lahmgelegten Systemen und Rufschädigung:
Die Trend Micro™ Cloud App Security™-Lösung ist ein API-basierter Service, der Microsoft® Office 365™
Exchange™ Online-, OneDrive® for Business- und SharePoint® Online-Plattformen schützt. Der Dienst fungiert
als zweite Schutzschicht, nachdem Mails und Dateien das Office 365-Scanning durchlaufen haben. Er kann
mithilfe von Machine Learning und Sandbox-Analysen für Ransomware, BEC und andere fortschrittliche
Bedrohungen, deren Verbreitung verhindern. Cloud App Security ist in der Lage, sowohl bekannte als auch
unbekannte Mailbedrohungen, die versuchen Cloud-Dienste zu infiltrieren, zu erkennen.
Cloud App Security entdeckte im Laufe des Jahres 2017 etwa 65.000 bekannte Trojaner, Würmer, Viren
und Backdoors. Mit der in Q2 verbesserten Klassifizierungs-Engine gelang es Cloud App Security, mehr
als 50.000 Ransomware- und 3.000 BEC-Bedrohungen in den folgenden drei Quartalen zu entdecken.
Auch konnten mithilfe der Pre-Execution Machine Learning-Technologie und Sandbox Engines mehr
als 260.000 unbekannte Mailbedrohungen geblockt werden. In demselben Zeitraum sind 2,8 Millionen
bekannte bösartige Links und mehr als 190.000 Phishing Mails geblockt worden. Ohne Berücksichtigung
der Bedrohungs-Scans der eigenen Sicherheitsmechanismen von Office 365, konnte Cloud App Security
3,4 Millionen hochriskante Mail-Bedrohungen erkennen und blocken.
Verbesserte Sicherheit für Office 365 durch das Blocken von 3,4 Millionen hochriskanter Bedrohungen
4 | Report zu Trend Micro Cloud App Security 2017
Gemeinsam mit den Anwenderunternehmen und anderen Anbietern der Sicherheitsbranche, intensiviert
Trend Micro nochmals den Kampf gegen Mailbedrohungen. Doch auch die Cyberkriminellen adaptieren
und ändern ihre Angriffsmethoden. Trend Micro hat den Stand der Mailbedrohungen und der Sicherheit
2017 nochmals durchleuchtet, um ein deutliches Bild dessen zu zeichnen, wogegen und auch womit
Unternehmen sich schützen müssen.Unternehmen sich schützen müssen.
FORTGESCHRITTENE RANSOMWARE ÜBER EMAIL BEHERRSCHTE DAS JAHR
Ransomware verbreitete sich 2017 weiter, und Locky stand aufgrund der massiven Spam-Kampagnen im
Mittelpunkt. Locky wurde zum ersten Mal 2016 gefunden und hat sich seither über verschiedene Methoden,
doch vor allem Spam-Mails, stetig weiter verbreitet. Unter anderem wurde das Methodist Hospital in
Kentucky zum Ziel einer digitalen Erpressung über eine bösartige Mail, die die Locky-Ransomware enthielt.
2017 wurde Locky zur am weitesten über E-Mail verbreiteten Ransomware. Eine umfassende Spam-
Kampagne, die Locky zusammen mit einer weiteren Ransomware namens FakeGlobe verteilte, startete
Millionen Angriffe an einem einzigen Tag. Bemerkenswert auch, dass eine der neuesten Locky-Varianten
Word-Dokumente mit bösartigen Makros nutzte, die so programmiert waren, erst beim Schließen des Word-
Dokuments die Ransomware herunterzuladen und auszuführen.
Verbesserte Sicherheit für Office 365 durch das Blocken von 3,4 Millionen hochriskanter Bedrohungen
5 | Report zu Trend Micro Cloud App Security 2017
Die Mail-nutzende Cerber Ransomware, die zur fruchtbarsten Ransomware-Familie in der
Bedrohungslandschaft erklärt wurde, ist in dieser Hinsicht bemerkenswert. Auf der Höhe ihres Erfolgs
2017 versuchte die Malware die Machine-Learning-Lösungen von Sicherheitsanbietern auszuhebeln. Die
Variante verbreitete sich über Mails, die vorgaben, von Versorgungswerken zu kommen. Um das System
zu infizieren, enthielten sie einen Link auf ein selbst-extrahierendes Archiv, und die Betreiber hinter Cerber
Verbesserte Sicherheit für Office 365 durch das Blocken von 3,4 Millionen hochriskanter Bedrohungen
6 | Report zu Trend Micro Cloud App Security 2017
beabsichtigten, die Nutzer dazu zu bringen, es herunterzuladen und zu öffnen. Das Flussdiagramm zeigt,
was danach passiert:
Trend Micro fand bei der Recherche von Cerber Samples heraus, dass die am meisten betroffenen Länder
USA, Japan, Taiwan und Australien waren.
Gegen Ende 2017 entdeckten die Sicherheitsforscher eine Ransomware-Variante, die neue Verhaltensweisen
zeigte. Samples von qkG infizierten das Microsoft Word „Normal“-Template (normal.dot), auf dem alle noch
leeren Word-Dokumente beruhen. qkG sticht dadurch hervor, dass es sich dabei um die erste Ransomware
handelt, die eine Datei (und Dateitypus) mit einer anderen seltenen dateiverschlüsselnden Malware mischte,
die komplett in Visual Basic für Applications (VBA) Makros geschrieben war. Ungewöhnlich auch, dass
sie den Makro-Code selbst für bösartige Zwecke missbrauchte, während andere Familien üblicherweise
Makros vor allem zum Download von Ransomware einsetzen.
Zusätzlich zu den erwähnten Ransomware-Bedrohungen stellen andere Mail-basierte Malware-Familien
neue Gefahren dar. Beispielsweise ist der Banken-Trojaner TrickBot, eine Abart der älteren Schadsoftware
DYRE/Dyreza, mit neuen Fähigkeiten ausgestattet worden, um in Outlook gespeicherte Daten zu stehlen,
indem der Schädling die entsprechenden Registry Keys öffnet.
Auch Hackergruppen wie Pawn Storm missbrauchen Email-Dienste in ihren Kampagnen, die nicht nur
Unternehmen sondern auch Regierungen im Visier haben. In der zweiten Hälfte 2017 startete Pawn Storm
Credential Phishing-und Spear-Phishing-Angriffe auf mehrere Organisationen, indem die Hacker das
Vorschau-Fenster von Outlook Web Access (OWA) zweckentfremdeten.
Verbesserte Sicherheit für Office 365 durch das Blocken von 3,4 Millionen hochriskanter Bedrohungen
7 | Report zu Trend Micro Cloud App Security 2017
Im Rückblick mag es einfach erscheinen, bösartige Mails einfach durch Beobachtung zu erkennen, ohne dass
komplexe Sicherheitslösungen notwendig sind. Doch tatsächlich können Unternehmen mit ausgeklügelten
BEC-Betrügereien immer noch fehlgeleitet werden.
BEC-Betrügereien haben sich als so hinterlistig erwiesen, dass sogar Software- und Technologieunternehmen
darauf hereingefallen sind. Anfang 2017 gab es Angriffe über Social Engineering-Taktiken auf Google und
Facebook, und die beiden Giganten wurden um mehr als 100 Millionen $ gebracht, und das von einem
Mann, der mutmaßlich gefälschte Rechnungen nutzte und beide Unternehmen davon überzeugen konnte,
ein Mitglied eines Fertigungspartners zu sein. Glücklicherweise ließen sich die Verluste beider Unternehmen
nach dem Vorfall rückgängig machen.
Trend Micro prognostiziert für dieses Jahr eine starke Zunahme der BEC-Vorfälle, wobei die Verluste
weltweit 9 Milliarden $ erreichen. Das Federal Bureau of Investigation (FBI) erklärte, dass BEC-Betrügereien
mittlerweile in mehr als hundert Ländern angezeigt werden und eine Steigerung von 2.370 Prozent bei
identifizierten Verlusten zwischen Januar 2015 und Dezember 2016 erreichten.
BEC-ANGRIFFE – AUSGEFUCHST UND TEUER
Verbesserte Sicherheit für Office 365 durch das Blocken von 3,4 Millionen hochriskanter Bedrohungen
8 | Report zu Trend Micro Cloud App Security 2017
Angesichts der Tatsache, dass Mail immer noch der häufigste Infektionsvektor für Malware-Bedrohungen
darstellt, benötigen Unternehmen mehrere Schutzschichten, um diese Bedrohungen zu bekämpfen.
Im letzten Jahr wurde Trend Micro der erste Emailsicherheitsanbieter, der auf Machine Learning beruhende
Antimalware-Funktionalität in seinen Sicherheitslösungen einsetzte. Die Vor-Ausführung eingesetzte Machine
Learning-Technologie findet unbekannte Schadsoftware vor der Sandbox-Analyse und bietet somit einen
zusätzlichen Schutz und die Möglichkeit, schnellere Entscheidungen zu verdächtigen Dateien zu treffen.
Innerhalb von Cloud App Security kann die fortschrittliche Sicherheitstechnologie Office 365-Anwender
schützen.
EINSATZ VON STATE-OF-THE-ART SCHUTZ VOR MAILBEDROHUNGEN
Verbesserte Sicherheit für Office 365 durch das Blocken von 3,4 Millionen hochriskanter Bedrohungen
9 | Report zu Trend Micro Cloud App Security 2017
Cloud App Security enthält eine Engine für die Erkennung von Dokumenten-Exploits, die in Office-
Dateien versteckte Schadsoftware entdeckt, sowie eine Funktionalität mit künstlicher Intelligenz umfasst,
die das Mailverhalten prüft, um BEC-Betrug zu identifizieren. Das Feature entdeckt mithilfe des breiten
Bedrohungswissens aus dem Smart Protection Network ankommende und interne Phishing-Angriffe und
findet beziehungsweise blockt Links, die in der Nachricht oder in den Anhängen verborgen vorhanden sind
und zu Schadsoftware führen. Cloud App Security scannt interne Mail- und Datei-Sharing-Dienste, um
bereits laufende Angriffe zu erkennen sowie kriminelle Versuche der Infiltrierung von Unternehmen über
kompromittierte Konten oder Geräte zu entdecken. Zusätzlich erkennt die Lösung unbekannte Malware
durch patternlose Technologien, indem verhaltensbasierte Analysen sowie Sandbox Techniken verwendet
werden. Das System tauscht zudem auch während der Analyse gesammeltes Wissen mit anderen
Sicherheitsschichten aus.
Verbesserte Sicherheit für Office 365 durch das Blocken von 3,4 Millionen hochriskanter Bedrohungen
10 | Report zu Trend Micro Cloud App Security 2017
Ransomware, BEC und andere Bedrohungen werden weiterhin Email missbrauchen, weil sich die Plattform
als das am einfachsten einzusetzende Mittel erwiesen hat, um sich in einem Unternehmen festzusetzen.
Neben einer mehrschichtigen Mail-Sicherheitslösung spielen die Mitarbeiter eine Schlüsselrolle beim Schutz
vor Cyberkriminellen. Deshalb ist der Aufbau einer Sicherheitskultur eine absolute Notwendigkeit bei der
Abwehr von Mailbedrohungen.
AUFBAU EINER SICHERHEITS-KULTUR, UM MAIL- BEDROHUNGEN ABZUWEHREN
Verbesserte Sicherheit für Office 365 durch das Blocken von 3,4 Millionen hochriskanter Bedrohungen
11 | Report zu Trend Micro Cloud App Security 2017
Als Mittel gegen BEC-Betrug hilft ein mehrschichtiger Identifizierungsprozess für Geldüberweisungen.
IT-Profis und Mitarbeiter sollten dafür geschult werden, BEC-Indikatoren zu erkennen. Auch ist es wichtig,
geeignete Best Practices im Umgang mit Mail aufzusetzen, etwa das Prüfen von ankommenden und
ausgehenden Nachrichten. Das Stoppen von auf E-Mail basierender Ransomware ist durch Aufklärung zu
so genannten Social Engineering Taktiken möglich.
Cyberkriminelle nutzen verschiedene Social Engineering Taktiken, um potenzielle Opfer dazu zu bringen,
Dateien herunterzuladen oder vertrauliche Informationen preiszugeben. Deshalb ist es so wichtig, Mitarbeiter
dafür zu schulen, wie sich Phishing-Angriffe vermeiden lassen. Als sehr nützlich haben sich bereits einfache
Schritte, wie Bookmarking von vertrauenswürdigen Websites und Vermeiden von Links, die mit verdächtigen
Versprechen zum Klicken auffordern.
Netzwerkadministratoren sollten sicherstellen, dass Antispam-Filter, einschließlich Policy Management und
Schwellenwerte für Threat Detection Level, richtig konfiguriert sind. IT-Profis sollten Sicherheitsmaßnahmen
aufsetzen, wie etwa Sender Policy Framework (SPF), Sender ID, DomainKeys Identified Mail (DKIM) und
Domain-basierte Message Authentication, Reporting & Conformance (DMARC), um das Spoofing der
Unternehmensdomänen zu verhindern.
Für den Fall, dass Cyberkriminelle bereits erfolgreich ins Unternehmensnetzwerk eingedrungen sind, gibt
es Wiederherstellungsschritte, die befolgt werden sollten. Gelegentliche oder unabsichtlich entstandene
Lücken können immer wieder vorkommen, und die Wiederherstellung nach Angriffen auf die Lücken hängt
vom Szenario und der Payload der Bedrohung ab. Bei Phishing-Angriffen sollte in erster Linie ein Passwort-
Reset gefolgt vom proaktivem Löschen von Mail erfolgen. Netzwerkadministratoren müssen zudem Nutzer
vorher darauf aufmerksam machen, nicht auf ungeprüfte Mail-Links oder ausführbare Dateien zu klicken.
Email-Bedrohungen sind fortgeschritten, allgegenwärtig und kostspielig, doch wenn die Kombination aus
geschulter Belegschaft und Lösungen wie Trend Micro Cloud App Security vorhanden ist, können sie
gestoppt werden, bevor sie Schaden anrichten.
Über Trend MicroAls einer der weltweit führenden IT-Sicherheitsanbieter verfolgt Trend Micro das Ziel, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Die innovativen Lösungen für Privatanwender, Unternehmen und Behörden bieten mehrschichtigen Schutz für Rechenzentren, Cloud-Umgebungen, Netzwerke und Endpunkte.Die Lösungen von Trend Micro sind für führende Umgebungen wie Amazon Web Services, Microsoft® und VMware® optimiert. Mit ihnen können Organisationen den Schutz ihrer wertvollen Daten vor aktuellen Bedrohungen automatisieren. Die miteinander kommunizierenden Produkte bilden einen vernetzten Schutzmechanismus, der durch zentrale Transparenz und Kontrolle eine schnellere und bessere Absicherung ermöglicht.Zu den Kunden von Trend Micro zählen 45 der Top-50-Unternehmen der Fortune® Global 500 sowie alle der zehn jeweils führenden Unternehmen in den Branchen Automotive, Bankenwesen, Telekommu-nikation und Erdöl.Mit nahezu 6.000 Mitarbeitern in über 50 Ländern und der fortschrittlichsten Analyse globaler Cyberbedrohungen schützt Trend Micro zuverlässig vernetzte Unternehmen.Die deutsche Niederlassung von Trend Micro befindet sich in Hallbergmoos bei München. In der Schweiz kümmert sich die Niederlassung in Wallisellen bei Zürich um die Belange des deutsch- sprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien. Weitere Informationen zum Unternehmen und seinen Lösungen sind unter www.trendmicro.de verfügbar, zu aktuellen Bedrohungen unter blog.trendmicro.de sowie blog.trendmicro.ch. Anwender können sich auch unter @TrendMicroDE informieren.
TREND MICRO Deutschland GmbH Zeppelinstrasse 1 • 85399 Hallbergmoos Germany Tel. +49 (0) 811 88990–700 Fax +49 (0) 811 88990–799 TREND MICRO Schweiz GmbH Husacherstrasse 3 • 8304 Wallisellen Switzerland Tel. +41 (0) 44 82860–80 Fax +41 (0) 44 82860–81 TREND MICRO Österreich Wienerbergstrasse 11 • 1100 Wien Vienna Twin Tower B Austria www.trendmicro.com
© 2018 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.