Cisco Blog Deutschland

Advanced Threat Response als Alternative zur BSI Warnung bei Nutzung von VirusTotal

1 min read



Problemstellung:

Alternative sichere Nutzung von sog. „Advanced Threat Response“- Funktionen von Cisco Secure – als Antwort zur CSW-Nr. 2022-206270-1032 BSI Meldung zum Thema Datenabfluss im Falle von Dateiüberprüfungen bei VirusTotal.

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-206270-1032.pdf?__blob=publicationFile&v=3

 

VirusTotal bieten neben dem Konsumieren von Hash-Werten auch die Möglichkeit potentielle infektiöse Dateien offside, also außerhalb des Eco-Systems des Kunden, in der Cloud von VirusTotal zu analysieren. Hat der Kunde keine Content-Filter Mechanismen in seiner Infrastruktur aktiv, besteht wie im BSI Statement beschrieben, die Möglichkeit der Datenabwanderung von möglicherweise sensiblen Daten zu dritt-Anbietern und damit zu undefinierten Clouds.

 

Lösung:

Durch einfache zusätzliche Mechanismen mit Cisco-Produkten, kann jedoch diese erweiterte Advanced Threat Analyse im Eco-System des Kunden erfolgen.

Dazu werden Dateien, die von extern, z.B. über eMails zum Kunden gelangen und beispielsweise keine eindeutige Risikobewertung der Dateien zulassen, zusätzlich und additiv in eine Sandbox-Lösung von Cisco analysiert (Cisco Secure Malware Analytics). Dies kann auf Wunsch komplett on-premises erfolgen (Sandbox-Lösung ist im privaten Data-Center des Kunden installiert) oder durch eine dedizierte Tenant-Zuordnung in einem europäischen Datacenter in der Cloud von Cisco erfolgen. Dabei ist in beiden Ansätzen sichergestellt, dass keine Dateien das Eco-Systems des Kunden verlassen. Das additive zusätzliche konsumieren von VirusTotal-Hashes bleibt davon unberührt.

Durch diesen Ansatz wird ein Datenabfluss – auch von nicht klassifizierten Daten, generell unterbunden. Gleichzeitig wird die Sicherheit der Gefahrenerkennung durch die Sandbox-Technologie von Cisco maßgeblich erhöht. Auf Wunsch können weitere Content-Filter Regeln in der Mail-Security Lösung von Cisco aktiviert werden. Kritische Daten verlassen in keinem Fall das Unternehmen und dies bei gleichzeitiger tiefer Inspektion der Dateien auf Anomalien und erweiterte zielgerichtete Angriffsmethoden.

Eine weitere Schutz-Möglichkeit bietet sich über Proxies und Content-Filter an. Beim Cloud-Ansatz über Umbrella oder on-premises Proxies, bei welchem generell ein File-Upload zu VirusTotal unterbunden wird.

 

Sprechen Sie uns an, um mehr über unsere Sandbox-Lösung zu erfahren.

Authors

Rolf Haas

Business Solutions Architect

Cybersecurity - EMEAR

Kommentar hinterlassen