Zero-Day-Bedrohung

Als Zero-Day-Bedrohungen (manchmal auch Zero-Hour-Bedrohungen) werden neuartige Bedrohungen bezeichnet, die mit keiner der bekannten Malware-Signaturen übereinstimmen. Dadurch werden sie von herkömmlichen Signaturabgleichslösungen nicht erkannt. Dabei kann es sich um die Ausnutzung einer bislang unbekannten Software-Sicherheitslücke (manchmal auch als Zero-Day-Sicherheitslücke bezeichnet) oder auch um eine neue Malware-Variante mit bekanntem Einfallsvektor handeln.

Als der Signaturabgleich noch die einzige verfügbare Strategie zur Erkennung von Malware war, forderte jede neue Zero-Day-Bedrohung mindestens ein (und häufig sehr viel mehr) Opfer. Erst nach dem erfolgreichen Eindringen der Malware in ein Netzwerk konnten Sicherheitsexperten anhand einer Probenanalyse eine entsprechende Signaturdatei erstellen und zur Aktualisierung von Virenschutzprodukten veröffentlichen.

Die Anzahl neuer Cyber-Bedrohungen nimmt laufend zu, und jeden Tag werden Dutzende neuer Zero-Day-Bedrohungen entwickelt. Zum Schutz Ihres Netzwerks sowie Ihrer Anwendungen und Daten ist ein erweitertes System zur Bedrohungsabwehr unverzichtbar, mit dem Dateien, Links und E-Mails aus nicht vertrauenswürdigen Quellen getestet werden können, bevor sie Ihr Netzwerk erreichen.

Heute ist und bleibt Signaturabgleich zwar weiterhin eine unverzichtbare Komponente einer effektiven Virenabwehr. Zur rechtzeitigen Erkennung von Zero-Day-Bedrohungen stehen jedoch neuere Methoden zur Verfügung. Eine gängige Methode ist das sogenannte Sandboxing, bei der verdächtige E-Mails und Dateien in einer isolierten Testumgebung „entschärft“ werden, bevor sie in Ihr Netzwerk gelangen.

Leider ist Sandboxing ziemlich ressourcenintensiv und zeitaufwendig. Deswegen wäre es nicht praktikabel, den gesamten Datenverkehr ein Sandboxing durchlaufen zu lassen. Als sinnvoller hat sich das Vorfiltern des Datenverkehrs mithilfe einer Reihe verschiedener Analysemethoden erwiesen, sodass nur ein sehr geringer Anteil aller Dateien in einer Sandboxing-Umgebung analysiert werden muss.

Barracuda Advanced Threat Protection ist ein Cloud-gehosteter Dienst, der als Add-on für verschiedene Barracuda-Sicherheitsprodukte und -dienste verfügbar ist. Die Mehrzahl aller Bedrohungen wird bereits bei der Vorfilterung des Datenverkehrs anhand von Signaturabgleichen, heuristischen und Verhaltensanalysen sowie statischen Code-Analysen identifiziert und abgefangen. Alle übrigen verdächtigen Dateien werden dann in einer Sandbox mit CPU-Emulation isoliert, damit Zero-Day-Bedrohungen erkannt und blockiert werden können. Advanced Threat Protection ist als Add-on für folgende Barracuda-Produkte erhältlich:

• BARRACUDA EMAIL SECURITY GATEWAY
• Barracuda Email Protection
• Barracuda Web Security Gateway
• Barracuda CloudGen Firewall
• BARRACUDA WEB APPLICATION FIREWALL