BRANDMAUER_IT_SECURITY_Verlauf_1920x800px_200707

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Wie Sie die Ausbreitung von Malware im Netzwerk verhindern

Eric Weis | 13.08.2020 22:00:00 | Lesezeit ca. 4 Minuten

Was hat die Corona-Pandemie mit Ihrer IT Sicherheit zu tun? Bei Corona geht es darum, mit dem Virus infizierte Personen möglichst schnell zu isolieren und Infektionsketten zu durchbrechen. Ebenso sollte die IT Sicherheit eines Unternehmens in der Lage sein, mit Schadsoftware infizierte Clients schnell zu isolieren und so zu verhindern, dass sich die Malware im Netzwerk ausbreitet. Am besten funktioniert das mit dem Synchronized Security Konzept von Sophos. Was genau dahinter steckt und wieso Sie Ihren Virenschutz damit auf ein Level heben können, das der klassische Virenschutz nie erreicht, erfahren Sie in diesem Artikel.

Was bedeutet Synchronized Security?

Der Begriff Sychronized Security beschreibt im Grunde ein Modell einer IT Sicherheitsinfrastruktur, bei dem die Komponenten (vor allem Firewall und Virenschutz) ständig miteinander kommunizieren. Durch diese Kommunikation soll eine Synchronisation in dem Sinne erreicht werden, dass mit möglichst geringer Verzögerung an allen relevanten Stellen im System auf Bedrohungen reagiert werden kann. Im Gegensatz dazu arbeiten die Sicherheitskomponenten bei klassischen Ansätzen eher unabhängig voneinander. Daraus ergeben sich jedoch Verzögerungen und Lücken, die von Schadsoftware ausgenutzt werden können. Der Synchronized Security Ansatz bietet hier klare Vorteile, die gleich erläutert werden.

 

Synchronized Security gegen die Ausbreitung von Schadsoftware

Angenommen, ein Client bzw. ein Benutzer greift auf eine infizierte Webseite zu und lädt sich Schadsoftware auf seinen PC. Die Firewall erkennt anschließend am Traffic, dass es sich um eine infizierte Webseite bzw. einen Malware-Server handelt. Die Schadsoftware beginnt währenddessen unabhängig davon auf dem PC zu arbeiten, d.h. zum Beispiel Dateien zu verschlüsseln und weiteren Schadcode nachzuladen. Zudem wird die Schadsoftware versuchen, sich im Netzwerk weiter auszubreiten.

Die Herausforderung besteht nun darin, den infizierten Client möglichst schnell zu isolieren, um zu verhindern, dass sich die Malware weiter ausbreiten kann. Bei dem Sophos Synchronized Security Konzept kann die Firewall in dem Moment, in dem sie erkennt, dass die Malware verdächtigen Traffic produziert, dafür sorgen, dass der infizierte Client direkt im Netzwerk isoliert wird.

Anmerkung: Wie kann es sein, dass die Firewall eine Verbindung auf eine infizierte Webseite bzw. zu einem Malware-Server zulässt, aber anschließend erkennt, dass Malware heruntergeladen wurde? Das liegt daran, dass es Zero-Day-Angriffe gibt. Die Firewall wird ständig aktualisiert, um gefährliche IP Verbindungen in ihren Filter aufzunehmen. Zero-Day-Angriffe umgehen dieses Konzept, da neue Malware über Server verbreitet wird, die der Firewall noch nicht bekannt sind. In diesem kurzen Zeitraum (in der Regel weniger als ein Tag), in dem der Malware-Server noch nicht von der Firewall erkannt wird (eben weil er so neu ist), kann Schadsoftware verbreitet werden.

Das könnte Sie auch interessieren: Welche Arten von Malware und Web-Bedrohungen gibt es?

Ebenso kann es sein, dass der Virenschutz erkennt, dass Schadsoftware auf dem Client aktiv ist (und z.B. Dateien verschlüsselt). In dem Fall meldet der Virenschutz dies der Firewall und die Firewall blockt daraufhin sämtlichen Traffic von diesem Client. Damit wird die Verbindung der Malware zu Ihren Command and Control Servern unterbrochen. Der Cyberangriff wird damit gestoppt. Auch wenn die Schadsoftware zu diesem Zeitpunkt bereits andere Clients im Netzwerk infiziert hat, kann das Sophos Synchronized Security Konzept reagieren. Das verdächtige Verhalten auf den betroffenen Clients wird erkannt und die infizierten Clients werden isoliert und somit die Ausbreitung im Netzwerk verhindert. Durch dieses Isolieren infizierter Clients wird sichergestellt, dass die Schadsoftware möglichst wenige PCs im Netzwerk infizieren kann. Bei einem Netzwerk mit mehreren hundert oder tausend Clients verbreitet sich Schadsoftware extrem schnell, sodass es von großer Bedeutung ist, die Ausbreitung früh zu stoppen.

Im Gegensatz dazu kann ein klassischer Ansatz, bei dem die Sicherheitskomponenten nicht miteinander kommunizieren, die Ausbreitung der Schadsoftware kaum verhindern. Die Firewall mag zwar erkennen, dass Schadsoftware heruntergeladen wurde und kann den Traffic bestenfalls stoppen. Das nützt aber nichts, wenn der Client tags darauf im Homeoffice einen Internetzugang bekommt. In dem Moment, in dem der Client die schützende Firewall verlässt, wird der Malware Angriff ungehindert fortgesetzt. Bei mobilen Clients ist das die Regel. Im klassischen Ansatz kann außerdem eine Ausbreitung der Malware im Netz nicht verhindert werden.

 

Fazit

Die Kommunikation und die Zusammenarbeit der IT Sicherheitskomponenten in Echtzeit ist das, wodurch sich das Sychronized Security Konzept von Sophos auszeichnet. Diese Kommunikation ermöglicht es zum Beispiel Firewall und Virenschutz zusammenzuarbeiten und dadurch infizierte Clients möglichst früh zu isolieren, sodass sich Schadsoftware nicht im Unternehmensnetzwerk ausbreiten kann. Die isolierten Clients können dann von einem Administrator in aller Ruhe untersucht werden, da keine Gefahr mehr von ihnen ausgeht. Bei einem klassischen Konzept können zum Beispiel Firewall und Virenschutz zwar Bedrohungen erkennen, aber nur eingeschränkt darauf reagieren. Damit stellt das Sychronized Security Konzept ein Beispiel moderner IT Sicherheit dar, mit der auch auf die aktuellsten Cyber-Bedrohungen reagiert werden kann.

Die dafür benötigten Komponenten wie Sophos XG Firewall und Sophos Intercept X können bei BRANDMAUER IT zu besonders attraktiven Konditionen erworben werden. Auf Wunsch auch als Managed Firewall Service inkl. Implementierung und zum monatlichen Fixpreis mit Abrechnung auf Basis natürlicher Anwender. Schauen Sie doch mal in unsere Sophos Produktseite und in unserem Online Shop vorbei und informieren Sie sich über die Produkte und Preise.

 

Jetzt die IT-Sicherheit deines Unternehmens erhöhen Zum BRANDMAUER IT Shop

Themen: IT Sicherheit, Virenschutz

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de

Aktuellste Beiträge

Cyberversicherung

Schützen Sie Ihr Unternehmen im Falle einer Cyberattacke!

Cyberversicherung

Mehr erfahren
Managed IT Security Training Service

Mitarbeiter für IT-Sicherheit sensibilisieren ab 2 Euro pro User/Monat

Security Online Training

Mehr erfahren

Blog abonnieren

Gratis Downloads für Ihre IT Sicherheit
Serverlandschaft_ IT Services_550x300_170526

Keine Planungs- und Betriebssicherheit?

Managed IT Services

Mehr erfahren