Beschleunigte Erkennung von so genannter Zero Day-Malware

Erkennung, Analyse und Priorisierung von Malware, die von herkömmlichen Sicherheits-Tools nicht erfasst wird

(18.10.11) - RSA, die Security Division von EMC, erweitert "RSA NetWitness Spectrum" um neue Funktionen. Bei NetWitness Spectrum handelt es sich um eine Plattform zur Sicherheitsanalyse und -überwachung von Unternehmensnetzwerken. Zu den neuen Fähigkeiten gehört eine erweiterte Liste von Content-Typen, die im Zusammenhang mit einigen der gefährlichsten neuartigen IT-Angriffen stehen.

NetWitness Spectrum 1.1 baut auf der Netzwerk-Sicherheitsplattform "RSA NetWitness" auf, mit der Unternehmen ihren gesamten Netzwerkverkehr aufzeichnen und analysieren können. NetWitness Spectrum nutzt die aufgezeichneten Daten und untersucht sie mit vier unterschied-lichen Techniken, die auch Softwareexperten einsetzen würden. Hierbei werden Ereignisse überprüft, die im Zusammenhang mit Malware-Aktivitäten stehen könnten.

NetWitness Spectrum prüft automatisch alle ausführbaren Inhalte, die im Netzwerk übertragen werden. Dabei analysiert die Software das gesamte Verhalten der Dateien in Bezug auf das Netzwerk. Zusätzlich versucht die Software, Beziehungen zu Sicherheitsinformationen aus einem breiten Spektrum von Informationsanbietern herzustellen.

So können die Sicherheitsexperten eine Reihe von wichtigen Fragen automatisch schneller beantworten, als dies vorher der Fall war: Welche Dateien sind verdächtig? Warum könnten sie gefährlich sein? Was genau versucht die Datei zu tun? Wo im Netzwerk ist sie noch vorhanden? Welche Dateien benötigen mehr Aufmerksamkeit als andere?

NetWitness Spectrum 1.1 analysiert nun auch Adobe PDF-Dateien, Microsoft Office Dokumente und JAR-Archive. Da immer mehr gezielte Attacken PDF-Dokumente als Vehikel nutzen, untersucht NetWitness Spectrum alle PDFs, Microsoft Office Dokumente und JAR-Dateien genauso intensiv wie ausführbare Dateien. Dazu setzt es vier unterschiedliche Analysetechniken ein: Sandboxing, externe Sicherheitsinformationen aus der breiten Partner-Community sowie Analysen des Dateiinhalts und des Verhaltens der Datei im Netzwerk. So entsteht eine umfassende Beurteilung, die von den Mitarbeitern der Sicherheitsabteilung direkt genutzt werden kann.

Darüber hinaus hat RSA neue externe Partner für die Beurteilung der IT-Bedrohungslage und Sandboxing-Provider hinzugewonnen. Zum Funktionsumfang von NetWitness Spectrum 1.1 gehören dadurch jetzt auch dynamische Malware-Analysetools von ThreatGrid sowie GFI Sandbox. Zusätzlich wurden die analytischen Fähigkeiten von NetWitness Spectrum durch sicherheits-relevante Inhalte weiterer Informationsanbieter und Whitelist-Provider ergänzt. (EMC: ra)