Dienstleistungen im Bereich der
Prävention

Dienstleistungen im Bereich der Prävention

Dienstleistungen im Bereich der
Detektion

Dienstleistungen im Bereich der Detektion

Dienstleistungen im Bereich der
Reaktion

Dienstleistungen im Bereich der Reaktion

News von IOprotect

13.9.2016Im Juni 2016 hat die Firma FireEye erwähnt, wie das Exploit Kit Angler EMET umgeht. IOprotect hat einen Flash Exploit angepasst, welcher die EMET Version 5.5 aushebelt. Ein entsprechendes Demo-Video zeigt, wie der Taschenrechner ausgeführt wird.

IOprotect ist dennoch ein grosser Verfechter von EMET. Die diversen Schutzmassnahmen von EMET erhöhen den Aufwand und damit auch die Kosten für Angreifer, einen zuverlässigen Exploit zu entwickeln. Festzuhalten ist jedoch, dass die EMET Versionen 5.x ein Problem mit dem Loggen der Events aufweisen. Die Exploits werden zwar gestoppt, aber EMET erstellt keinen Eintrag in den Windows Event Logs. Unternehmen, welche Windows Events auf den Client-Systemen auswerten sind deshalb angehalten, die Events mit der ID 1000 bzw. 1001 ebenfalls in das Monitoring einzubeziehen (mit entsprechend niedrigerem Risikorating und Korrelation mit anderen, aussagekräftigeren Monitoring Use Cases).

Die neuen Exploit Trends sollten zudem zwingend bei der Evaluation von APT-Detektions-/Präventions-Produkten einbezogen werden. Einige dieser Produkte versuchen eine bestimmte Angriffstechnik zu detektieren und zu blocken, die von den aktuellen Exploits jedoch bereits nicht mehr genutzt werden. Der Flash Exploit basiert beispielsweise nicht auf ROP-Techniken. Durch detaillierte Tests mit aktuellen Exploits können kostspielige Fehlinvestitionen vermieden werden.
5.3.2016Im Rahmen von Incident Response ist es essentiell den Ablauf eines Vorfalls im Detail zu verstehen, um Massnahmen daraus ableiten zu können. Ein mögliches Vorgehen zur Analyse des zeitlichen Ablaufs sind Timelines. Diese werden im verlinkten Dokument näher beleuchtet.
26.6.2015Wie schätzen Sie das Risiko von LNK-Dateien (Windows Shortcuts) ein? Blocken Sie diese an der Peripherie? Sollten Sie, wie die neuste Fallstudie von IOprotect aufzeigt. LNK-Dateien können als Infektionsvektoren auf einfachste Art ein Client-System trotz funktionierender Web-Proxy-Infrastruktur und ausgereifter Schutzmassnahmen mit Schadcode infizieren. Ganze Remote Administration Tool (RAT) Funktionen lassen sich in eine LNK-Datei packen. Whitepaper und Video sind unter dem oben aufgeführten Link verfügbar.

 News-Archiv

Aktuelle Informationen

11.6.2015Die Kosten zur Behebung von IT-Sicherheitsvorfällen werden selten quantifiziert. Welche Dimensionen sie jedoch annehmen können, zeigt aktuell das Beispiel des Deutschen Bundestages (News NZZ). Der Neuaufbau des gesamten Netzwerkes wird diskutiert, nachdem Hacker Zugriff auf das interne Netz erlangt haben. Es wird vermutet, dass es sich dabei um einen gezielten APT-Angriff handelt. Ein effektives Security Monitoring gepaart mit gezielten Verbesserungen im Bereich der Prävention sowie Massnahmen im Bereich der Reaktion vermindern Auswirkungen und Kosten derartiger Angriffe drastisch.
21.4.2015Websense hat kürzlich ihren Threat Report 2015 veröfentlicht. Darin greift Websense Themen auf wie die Rückkehr der Makro Problematik in Office Dokumenten, die Notwendigkeit Angriffe in den verschiedenen Phasen der Kill-Chain zu stoppen oder auch die Wichtigkeit eines Security-Monitoring ergänzt um Security Analysten - alles Themen, welche IOprotect seit Langem ebenfalls aktiv promotet.
13.11.2014Am 11.11.2014 hat Microsoft wiederum verschiedene Schwachstellen geschlossen. Unter anderem auch diverse Lücken im Internet Explorer. Dabei sticht vor allem CVE-2014-6332 heraus. Diese Schwachstelle ist seit IE 3 bis und mit IE 11 vorhanden. V.a. besorgniserregend ist, dass aufgrund der Art der Schwachstelle sämtliche Schutzmassnahmen wie DEP, ASLR, EMET, Protected Mode usw. ausgehebelt werden. Ein Exploit wird in Kürze öffentlich werden. IOprotect empfiehlt deshalb dringend, den Patch einzuspielen. Wichtig: Dabei handelt es sich um MS14-064 und nicht um MS14-065!
Diese Schwachstelle zeigt einmal mehr, dass die Infektion eines Client-Systems nie zu 100% verhindert werden kann. Entsprechend wichtig ist es, dass dadurch nicht die gesamte Windows Domain Security wie ein Kartenhaus zusammenfällt. IOprotect unterstützt Kunden seit längerem im Bereich der Client-Sicherheit wie auch im Bereich der Windows Domain Sicherheit und unterstützt auch Sie gerne dabei, sich vor derartigen Gefahren besser zu schützen.

 Info-Archiv