Ein großes europäisches Finanzinstitut bietet wichtige Bank- und Finanzdienstleistungen für Unternehmen und Privatpersonen weltweit an und zählt zu den kritischen Infrastrukturen (KRITIS). Angesichts des sensiblen Charakters der Aktivitäten unterliegt das Institut strengen Cybersicherheitsmaßnahmen, um Transaktionen, Kundendaten und kritische Dateiübertragungen zu schützen.

Was ist die Herausforderung?

Laut dem Internationalen Währungsfonds haben sich die Angriffe auf den Finanz- und Versicherungssektor in den letzten zehn Jahren mehr als verdoppelt, wobei die potenziellen jährlichen Verluste von 300 Millionen Dollar im Jahr 2017 auf heute 2,2 Milliarden Dollar eskalieren. Da Finanzorganisationen weiterhin Hauptziele sind, ist die Stärkung der Cybersicherheits-Verteidigungen unerlässlich, um die operative Resilienz und die Einhaltung gesetzlicher Vorschriften zu gewährleisten. 

Angesichts der zunehmenden gezielten Angriffe und steigenden regulatorischen Anforderungen erkannte die Bank, dass u. a. eine traditionelle Antivirenlösung nicht ausreicht, um moderne, aber auch evasive Cyberangriffe zu stoppen. Gleichzeitig sollte die Nachbearbeitung von potenziell maliziösen und riskanten Dateien ermöglicht werden, um false negative Entscheidungen wirkungsvoll zu verhindern.

Wie reagiert das Finanzinstitut darauf?

Die europäische Bank hat sich für ein kaskadiertes Sicherheitskonzept zur Erkennung von Malware und der Nachbehandlung markierter Dateien entscheiden, um Effizienz und Sicherheit zu verbessern. Als erste Abwehrmaßnahme gegen Schadsoftware hat man sich für MetaDefender Core Anti-Malware Multiscanner entschieden. Dateien werden dabei mit mindestens 8 bis maximal >30 Anti-Malware-Engines verschiedener Hersteller aus unterschiedlichen Regionen, sowohl statisch als auch heuristisch gescannt. Durch die gleichzeitige, parallele Überprüfung wird die Lösung trotz massiver Erhöhung der Erkennungsraten auch bei großen Datenmengen nicht zum Flaschenhals. 

Höhere Erkennungsraten bedeuten automatisch, dass mehr Dateien als potenziell maliziös erkannt werden als das mit einer «normalen» Antivirenlösung der Fall ist. Dadurch kann es vorkommen, dass einige Dateien nicht von allen Anti-Malware Engines als verdächtig markiert werden. Auch suchte das Finanzinstitut nach einer umfassenderen Methode, um tiefere Einblicke in verdächtige Dateien und detaillierte IoCs (Indicators of Compromise) zu erhalten.

Um potenziell gefährliche Dateien risikolos zu validieren, implementierte die Institution MetaDefender Sandbox in einem isolierten (air-gapped) Segment. In der Sandbox von OPSWAT ist die tiefe Inspektion von Dateien möglich, indem eingebettete Skripte extrahiert und versteckter Payload (in Dateien eingebetteter schädlicher Code) aufgedeckt wird, die traditionellen Erkennungsmethoden entgehen können.

Herkömmliche Sandbox-Lösungen basieren oft auf Cloud-Konnektivität und es kann Minuten dauern, um einzelne Dateien zu analysieren, was für diese Institution, deren Operationen zeitkritisch sind, keine Option war.

MetaDefender Sandbox hingegen bewertet das Risiko von Dateien in etwa 10 Sekunden und gewährleistet eine schnelle Bedrohungserkennung. Die emulationsbasierte Dateiinspektion erhöhte, aufgrund der abgeschotteten Konfiguration die Infrastruktur der Bank nicht.

Das Szenario der aufeinander abgestimmten Workflows sehen Sie am folgenden Schema.

 

Das Ergebnis

Durch die Kombination von MetaScan Multiscanning und MetaDefender Sandbox verbessert die Bank ihre Fähigkeit, potenzielle Bedrohungen zu erkennen, zu analysieren und darauf zu reagieren. Die integrierte und modulare Cybersecurity bietet mehrere Schutzschichten bei gleichzeitiger Aufrechterhaltung der Effizienz. 

Aufgrund der Art des Geschäfts wurde der Name der vorgestellten Organisation anonym gehalten, um die Integrität ihrer Arbeit zu schützen.

Mehr erfahren

• Anti-Malware Multiscanner 
• MetaDefender Sandbox