Beiträge

Sophos ACE das Adaptive Cybersecurity Ecosystem als innovativer Schutz gegen fortschrittliche Bedrohungen.

Sophos ACE: Adaptive Cybersecurity Ecosystem gegen fortschrittliche Bedrohungen

Remote-Work und Homeoffice sind Trends, die aus der heutigen Zeit nicht mehr wegzudenken sind. Immer mehr Arbeitnehmer verrichten ihre berufliche Tätigkeit in den den eigenen vier Wänden, was durch die Corona-Pandemie zusätzlich angetrieben wurde. Doch aufgrund mangelnder technischer Ausstattung ist die Cybersicherheit gefährdet, was sich in der Zunahme an Hackerangriffen zeigt. Eine große Herausforderung der IT-Branche ist es deshalb, Cyberattacken abzuwehren sowie Angriffen automatisiert und manuell entgegenzuwirken. Eine Lösung für dieses Problem bietet der Security-Hersteller Sophos mit dem Adaptive Cybersecurity Ecosystem (ACE), das stetig weiterentwickelt wird.

Aktuelle Trends und Herausforderungen

Das Umfeld, für das ein hohes Maß an Cybersicherheit erforderlich ist, befindet sich in einem stetigen Wandel. Das Geschäftsumfeld und die Art der Angriffe entwickeln sich immer wieder neu. Eine Verschiebung des Arbeitsplatzes vom Büro ins eigene Zuhause basiert daher auf völlig neuen Anforderungen. Diesen Herausforderungen wird Sophos ACE mit dem Adaptive Cybersecurity Ecosystem gerecht. Um die Produktivität und Effizienz einzelner Arbeitsschritte zu erhöhen, bedarf es einer gut durchdachten Vernetzung an Technologie und Infrastruktur. Eine Einbeziehung von Daten und Anwendungen in eine Cloud bietet viele Vorteile, die von flexiblen Arbeitsbedingungen über geringere Betriebskosten bis hin zur verbesserten Leistung reichen.

Eine gute und sichere Vernetzung als Voraussetzung

Spätestens seit Beginn der Coronakrise ist eine gute und sichere Vernetzung wichtiger denn je. Unternehmen sind aufgefordert, die Reichweite ihres Netzwerks sowie alle damit verbundenen Systeme zu sichern. Umso wichtiger ist es, die Angriffe adaptiver und beharrlicher Gegner abzuwehren. Eine wichtige Anforderung der IT-Security ist es daher, kritische Systeme und Daten so gut wie möglich zu verteidigen.

Neue Methoden für Angriffe: Von automatisiert zu betriebsbereit

Neue Nachrichten rund um Attacken auf Sicherheitssysteme sind allgegenwärtig. Doch dadurch werden Unternehmen und Betroffene immer wieder daran erinnert, präventive Maßnahmen zu ergreifen. Allerdings haben Firmen gute Karten, da Cybersicherheit heutzutage wesentlich effektiver funktioniert. Neue Tools und Sicherheitsdienste sind kosteneffizienter denn je. Ein großer Vorteil ist hierbei ein frei zugänglicher Zugriff auf Technologien wie Exploit Prävention, Anti-Phishing oder Anti-Ransomware.

Virtuellen Angreifern das Handwerk legen

Die Entwicklung solcher Technologien wird durch maschinelles Lernen und Künstliche Intelligenz zusätzlich beschleunigt. Es gilt, mögliche Optionen auf Zugriffe zu schließen und Blockiertechniken anzuwenden. Mittlerweile sind Verbesserungen für Cybersecurity so ausschlaggebend, dass virtuellen Angreifern das Leben wesentlich erschwert wird. Automatisierte Malware wird mittlerweile durch einen umfassenderen Ansatz abgelöst, eine Automatisierung mit sogenanntem Hands-on Hacking. Angreifer versuchen, sich wie Mitarbeiter zu verhalten und deshalb nicht erkannt zu werden. Mithilfe lokaler Tools planen sie ausgeklügelte Angriffe, die den Opfern teuer zu stehen kommen.

Anforderungen an die IT-Sicherheit

Zur Vermeidung dieser Schäden vollzieht sich ein Wandel von Security Management zu Security Operations. Organisationen stehen einem intelligenteren Gegner gegenüber, der seine Maßnahmen stets individuellen Entwicklungen anpasst. Moderne IT-Security muss in der Lage sein, verdächtige Aktivitäten so zeitig wie möglich zu identifizieren und auch schwächere Signale zu erkennen. Deshalb ist eine stetige Weiterentwicklung unabdingbar. Eine Bedingung ist ein schrittweiser Wechsel von Sicherheitsmanagement zu Sicherheitsoperationen. Es genügt nicht mehr, Sicherheits-Richtlinien einfach zu aktivieren und sich blind auf deren Funktionsweise zu verlassen. Um eine Angriffskette so zeitig wie möglich zu unterbrechen, müssen Sicherheitsteams vorzeitig nach verdächtigen Aktivitäten Ausschau halten.

Adaptive Sicherheitssysteme gegen fortschrittliche Bedrohungen

Für Unternehmen gilt es daher, bereits schwache Angriffssignale ausfindig zu machen und auf diese zu reagieren. Mithilfe bestimmter IT-Tools können IT-Probleme identifiziert und behoben werden, bevor diese von Gegnern für Angriffe eingesetzt werden. Eine starke Vernetzung basiert auf gut funktionierender IT-Sicherheit. Es sind adaptive Sicherheitssysteme erforderlich, die Angriffe automatisch verhindern. Die Zukunft der IT-Sicherheit ist ein System, das mithilfe einer Feedback-Schleife stetig dazulernt und sich permanent verbessert. Somit können Nutzer der Systeme zur Cybersicherheit verdächtige Ereignisse schnell identifizieren und Risiken für etwaige Vorfälle auf ein Minimum reduzieren.

Sophos ACE als vielversprechende Lösung

Eine umfassende Lösung bietet hier Sophos ACE. Das Adaptive Cybersecurity Ecosystem vereint die Automatisierung als Schutz vor virtuellen Angreifern sowie die Kompetenz menschlicher Spezialisten. Eine Stärke von Sophos ACE ist dabei, sich stetig zu verbessern und dadurch das Maß an Cybersicherheit zu erhöhen. Zahlreiche von menschlichen Spezialisten erkannten Ereignisse und Informationen können automatisiert werden. Dieser Ansatz hat zur Folge, dass sich die Anzahl neuer Angriffe auf ein Minimum reduziert. Während Automatisierung eine schnelle Analyse und Reaktion von Verhaltensweisen und Ereignissen ermöglicht, können menschliche Analysten verdächtige Signale sowie deren Bedeutung einfacher analysieren.

Sophos ACE im Detail

Das Sicherheitsprogramm Sophos ACE basiert auf einer Künstlichen Intelligenz, die Analysedaten der SophosLabs sowie Sophos Security Operations vereint. Zu den Sophos Security Operations gehören Analysten, die mithilfe von Managed Threat Response in unzählige Kundenumgebungen integriert sind. Ein wichtiger Bestandteil des Systems ist ein sogenannter Data Lake, der die gewonnenen Informationen aus Threat Intelligence sowie weiteren Security-Lösungen zusammenfasst. Mithilfe von Echtzeit-Analysen werden Einbrüche verhindert, indem Signale geortet und aufgefunden werden. Zusätzlich interagieren offene APIs mit dem System. Eine zentrale Verwaltung erfolgt dabei über die Cybersecurity-Plattform Sophos Central.

Cybersecurity die sich anpasst und lernt

Das Ziel ist ein anpassungsfähiges Cybersecurity-Ökosystem, das sich stetig verbessert und dazulernt. Für eine einfachere Anwendung können Sicherheitsexperten Sophos ACE von jedem beliebigen Standort aus verwalten. Das System wurde konzipiert, um von Menschen verursachten sowie kontrollierten Attacken effektiv zu begegnen und ergänzend die digitale vernetzte Welt zu unterstützen. Das leistungsfähige und umfassende Ecosystem ist aus zahlreichen individuellen Elementen nach Bedarf wählbar. Systemerweiterungen sind im ebenfalls problemlos möglich.

Sophos ACE als stetig verbesserndes System

Die Architektur von Sophos ACE baut dementsprechend auf einer Analyse, Automatisierung sowie kollektivem Input von Entwicklern, Kunden, Partnern und Produkten von Sophos sowie anderen Security-Anbietern auf. Dadurch entsteht durch ein sich permanent entwickelndes System auch ein sich stetig verbessernder Schutz. Basierend auf einer umfassenden Datensammlung werden verwertbare Erkenntnisse aus Sophos-Services und Sophos-Lösungen angewandt. Zugleich greift der Anbieter auf offene Anwendungs-Programmierungsschnittstellen zurück, um mithilfe interagierender Systeme neue Tools und Lösungen zu erschaffen.

Echtzeit-Schutz durch Synchronized Security

Ein wichtiger Eckpfeiler des Schutzes der Sophos-Produkte besteht darin, einen Austausch von Echtzeitinformationen über ein Sicherheitssystem zu ermöglichen und automatisiert auf Vorfälle zu reagieren. Das Sophos Adaptive Cybersecurity Ecosystem basiert auf einer Integration und Automatisierung von Synchronized Security und erweitert das bislang bestehende Cyber-Sicherheitssystem. Dieser Echtzeit-Schutz bietet unterschiedliche Vorteile wie folgend dargestellt.

Bessere Sichtweite

Menschliche Operatoren können nur schwer alle Angriffe überwachen. An dieser Stelle setzt das System an, dessen Nutzer auf schnell aufkommende Bedrohungen reagieren können. Zur Erweiterung des bisherigen Ecosystems nutzt Sophos beispielsweise APIs und Extended Detection and Response von Sophos.

Mehr Daten

Der sogenannte Data Lake vereint und korreliert von all diesen Sensoren gewonnene Informationen, um Ergebnisse produktübergreifend zu präsentieren. Eine Abfrage des Data Lakes ist beispielsweise über Sophos XDR möglich.

Mehr Intelligenz

Die Anbieter sind durch Services wie Managed Threat Response in der Lage, Echtzeitdaten potentieller Gefahrenquellen um Erkennungsdaten zu ergänzen. Zusätzlich entwickelt Sophos Modelle der Künstlichen Intelligenz sowie Inputs für eine Erkennung von Bedrohungen stets weiter.

Zunehmende Integration

Aufgrund der engen Zusammenarbeit zwischen Sophos AI, SophosLabs und Sophos Security Operations profitieren Kunden von gebündeltem Know-How, der in einen virtuellen Kreislauf integriert wird. Beispielsweise sind MTR-Betreiber bemüht, zwischen guter sowie schlechter PowerShell-Nutzung zu differenzieren. Dadurch erhöht sich der Kundenschutz.

Weitere Vorteile der Synchronized Security

Darüber hinaus bietet Synchronized Security den Vorteil, einen wesentlich genaueren Einblick in den Netzwerkverkehr sowie dessen Besucher zu erhalten. Zudem wird die komplette IT-Infrastruktur an einem Ort verwaltet. Da der gesamte Schutz in einer zentralen Cloud-Plattform konsolidiert wird, kann die eigene Sicherheit auch ohne Ressourcen skaliert werden. Zudem reduziert sich das generelle Maß an Sicherheitsbedrohungen aufgrund automatisierter Reaktionen.

Sophos ACE als offene Plattform

In der heutigen vernetzten Welt ist es unerlässlich, Cybersicherheit in umfassende Geschäftsfelder zu integrieren. IT-Security gibt es somit in vielen Facetten. Umso wichtiger ist es, dass die Systeme auch vielfältige Sicherheitsanforderungen erfüllen. Während Managed Security Service Provider, kurz MSSPs, eine Bereitstellung fortschrittlicher Cyber-Abwehr von Kunden unterstützen, begünstigen Chanel-Partner eine Straffung von Geschäftsprozessen. Weiterhin ermöglichen es Internet Service Provider, eine Sicherheit zur Verfügung gestellter Internetservices zu gewährleisten. Für kleine und mittlere Unternehmen ist es von Vorteil, dass ihnen benutzerdefinierte Tools zur Kontrolle und Aktivierung von Sicherheits-Funktionen bereitgestellt werden.

Mit zusätzlichem Schutz für Linux-Server und Container

Das Adaptive Cybersecurity Ecosystem von Sophos ist kein klassisches Produkt, sondern vielmehr eine offene Plattform, die Sicherheitsprodukte vernetzt. Darüber hinaus ist Sophos ACE darauf ausgelegt, zusätzliche Schnittstellen und Integrationen bereitzustellen. Beispielsweise ist ein Schutz für Linux-Server und Container möglich. Generell sind Linux-Server ein beliebtes Ziel für alle Angreifer, welche sich der High-End-Infrastruktur der Server bedienen, um andere Plattformen anzugreifen. Weil sich auf den Servern zumeist kostbare Daten befinden, fokussieren sich Angreifer vermehrt auf Ransomware-Attacken oder Datendiebstahl. Nutzen Angreifer die Systeme zu ihren Gunsten, verwenden sie häufig weitere Skripte zur Ausführung automatisierter Aktionen. Hierzu gehört unter anderem eine Ablage von SSH-Schlüsseln, um direkten Zugriff zu bekommen.

Fazit und Ausblick

Mittlerweile ist Cybersicherheit so fortgeschritten, dass täglich unzählige Hackerangriffe vereitelt werden. Deshalb sind potentielle Angreifer zunehmend gezwungen, praktisches Hacking und Automatisierung zu kombinieren. Weiterentwickelte IT-Sicherheit ist unerlässlich, um eigene virtuelle Welten effektvoll zu schützen. An dieser Stelle setzt das Sophos Adaptive Cybersecurity Ecosystem an. Dieses System können Anwender ausschließlich mit einem Sicherheitsprodukt aus dem Hause Sophos nutzen. Ein beliebter Ausgangspunkt ist die Firewall als Hardware, Software oder virtuell. Neben einer Verbindung mit dem Sophos Managed Threat Response ist eine Anbindung an Sophos Intercept X für Server oder Endpoints mit einer Option auf EDR- oder XDR-Funktionalität möglich. Darüber hinaus profitieren Kunden mit Sophos ACE von zahlreichen Vorteilen. Das flexibel anwendbare System ermöglicht einen einfachen Einstieg. Zudem steht es Nutzern frei, eigene Ökosysteme nach Belieben zu erweitern oder auf Anforderungen des Unternehmens abzustimmen.

/von
Behebung der Sophos-Sicherheitslücke

Behebung von Sophos XG-Sicherheitslücke mit Hotfix

Sophos erhielt am 22. April 2020 um 20:29 UTC einen Bericht über eine XG Firewall mit einem verdächtigen Feldwert, der in der Verwaltungsoberfläche sichtbar war. Sophos leitete eine Untersuchung ein und der Vorfall wurde als Angriff auf physische und virtuelle XG Firewall-Einheiten ermittelt. Der Angriff nutzte eine zuvor unbekannte Pre-Auth-SQL-Injection-Schwachstelle, um Zugang zu exponierten XG-Geräten zu erhalten. Sie wurde entwickelt, um XG Firewall-residente Daten zu exfiltrieren. Kunden mit betroffenen Firewalls sollten annehmen, dass die Daten kompromittiert wurden.

Wie hat Sophos reagiert?

Sophos begann sofort mit einer Untersuchung, bei der die mit dem Angriff verbundenen Artefakte abgerufen und analysiert wurden. Nachdem die Komponenten und Auswirkungen des Angriffs ermittelt wurden, stellte Sophos ein Hotfix für alle unterstützten XG Firewall/SFOS-Versionen bereit. Dieser Hotfix beseitigte die SQL-Injection-Schwachstelle, die eine weitere Ausnutzung verhinderte, stoppte den Zugriff der XG-Firewall auf die Infrastruktur des Angreifers und bereinigte alle Überbleibsel des Angriffs.

Wurde meine XG-Firewall kompromittiert?

Der von Sophos eingesetzte Hotfix für die XG-Firewall enthält eine Meldung auf der XG-Verwaltungsoberfläche, die anzeigt, ob eine bestimmte XG-Firewall von diesem Angriff betroffen war oder nicht.

Schutz durch Upgrade auf aktuelle Versionen der XG-Firewall-Firmware

Die Schwachstelle betraf alle Versionen der XG-Firewall-Firmware sowohl auf physischen als auch auf virtuellen Firewalls. Alle unterstützten Versionen der XG-Firewall-Firmware / SFOS erhielten den Hotfix (SFOS 17.0, 17.1, 17.5, 18.0). Kunden, die ältere Versionen von SFOS verwenden, können sich durch ein sofortiges Upgrade auf eine unterstützte Version schützen.

Wichtige Hinweise:

  • Wenn Sie “Automatische Installation von Hotfixes zulassen” deaktiviert haben, finden Sie im folgenden KBA Hinweise zur Anwendung des erforderlichen Hotfixes: https://community.sophos.com/kb/en-us/135415
  • Die Hotfix-Warnmeldung verschwindet nicht, sobald der Hotfix angewendet wurde. Die vollständige Warnmeldung bleibt in der XG-Verwaltungsoberfläche sichtbar, auch nach erfolgreicher Anwendung des Hotfixes und selbst nach Abschluss aller zusätzlichen Abhilfeschritte.
  • obwohl Kunden immer ihre eigenen internen Untersuchungen durchführen sollten, sind Sophos zu diesem Zeitpunkt keine weiteren Remote-Zugriffsversuche bekannt, die XG-Geräte mit den gestohlenen Zugangsdaten betreffen.

Zum vollständigen Bericht von Sophos.

/von

Exim Sicherheitslücke ohne Auswirkung auf Sophos Produkte

In den verangengen Tagen wurde die Exim-Schwachstelle CVE-2019-15846 in zahlreichen Foren und Online Magazinen (u. a. heise) bekannt und diskutiert. Was ist das für eine Schwachstelle? Bin ich angreifbar? Diese Fragen wollen wir im Hinblick auf die Verwendung von Sophos Produkten klären.

Was ist CVE-2019-15846?

CVE-2019-15846 ist eine Schwachstelle in Exim, die es bei einer speziell entwickelten SNI-Endung erlaubt, willkürlichen Code auf dem entsprechend anfälligen Server auszuführen und ggf. Schadesoftware zu installieren, Daten auszuspionieren oder anderweitigen Schaden anzurichten.

Kann die Schwachstelle bei Sophos Produkten ausgenutzt werden? Nein!

Laut Hersteller selbst, kann diese Schwachstelle bei keinem der Sophos Produkte ausgenutzt werden.

Der Grund dafür liegt schnell auf der Hand: Zahlreiche Produkte verzichten auf den Einsatz von Exim. Auf anderen Produkten ist die Software auf der UTM zwar vorhanden, jedoch wird ein erfolgreicher Angriff der Schwachstelle dadurch verhindert, dass die für die Ausnuztung verwendeten TLS-Header bereits erkannt und entfernt werden, bevor diese den gefährdeten Code bzw. das Modul erreichen.

Obwohl die Schwachstelle aufgrund der gegebenen Architektur von Sophos XG- und UTM-Produkten nicht ausnutzbar ist, plant der Hersteller im kommenden Maintenance-Release ein Exim-Update für die betreffenden Plattformen zu veröffentlichen.

/von

Links

Über netgo
Jobs
Events
Newsletter

© 2021 – netgo group GmbH

ImpressumDatenschutzerklärungAGB

KundenbereichExtranetFernwartungRMA

Links

Über netgo
Jobs
Events
Newsletter

© 2021 – netgo group GmbH

ImpressumDatenschutzerklärungAGB

KundenbereichExtranetFernwartungRMA

Links

Über netgo
Jobs
Events
Newsletter

© 2021 – netgo group GmbH

ImpressumDatenschutzerklärungAGB

KundenbereichExtranetFernwartungRMA