Tag Archives: Beratung

WiseVector 2.72: Großes Update und kommerzielle Version für Februar 2021 angekündigt

Über WiseVector StopX hatte ich schon mehrfach berichtet, deshalb möchte ich mich heute auf die wichtigsten Änderungen seit meinem letzten Blogbeitrag konzentrieren, da sich doch einiges hinter den Kulissen getan hat. WiseVector StopX hat aus meiner Sicht mittlerweile einen Reifegrad und eine Stabilität erreicht, der diesen Malwareschutz auf Basis von künstlicher Intelligenz definitiv empfehlenswert macht. Da ich WiseVector StopX wie gesagt schon vorgestellt habe, verweise ich an dieser Stelle auf die entsprechenden Beiträge im Blog:

WiseVector StopX: ML 2.0 Engine mit verbesserter Erkennung für speicherbasierte Angriffe

WiseVector 2.0 mit Behavior Analysis und AI-basierter statischer Scripterkennung

WiseVector Advanced Antimalware mit AI-basierter Erkennung von Bedrohungen

History

Neben der mittlerweile hervorragenden Erkennungsrate in Bezug auf Malware jeglicher Coleur (Ransomware, file-less malware, Trojaner, speicherbasierte Angriffe usw.), die WiseVector StopX zu bieten hat, steht eine weitere wichtige Komponente kurz vor der Veröffentlichung. WiseVector spricht von “network protection”, und man kann sich das ganze als AI-basierte Erkennung von Netzwerkaktivitäten vorstellen. Damit können beispielsweise auch hochentwickelte Angriffstechniken entdeckt und geblockt werden, die von traditionellen (Personal) Firewalls nicht entdeckt werden. Diese Funktionalität wird allerdings der Premium-Version von WiseVector StopX vorbehalten sein, die im Gegensatz zur Standard-Version kostenpflichtig sein wird.

WiseVector plant die Veröffentlichung der ersten Premium-Version von StopX im Februar 2021, und nach meinen bisherigen Erfahrungen mit WiseVector StopX bin ich sicher, dass diese Version hinsichtlich der Leistungsfähigkeit Lösungen von bekannten Anbietern wie McAfee, Bitdefender, Kaspersky usw. im SOHO-Bereich (Small Office/Home User) Paroli bieten wird und problemlos mithalten kann. Der Preis für die Premium-Variante ist bislang noch nicht bekannt, ich gebe aber davon aus, dass er konkurrenzfähig sein wird.

MSITC ist ab sofort offizieller ESET Silver Partner

Wir freuen uns mitteilen zu können, dass wir ab sofort Silver Partner von ESET sind. ESET ist einer der führenden Anbieter von leistungsstarken Endpoint Security-Lösungen im Home- und Business-Bereich.

Mit über 30 Jahren Erfahrung im Endpoint Security-Markt zählt ESET zu den ältesten und nach wie vor inhabergeführten Unternehmen und schützt mehr als 110 Millionen Anwender weltweit mit moderner Endpoint Protection-Technologie. Dazu gehören auch bekannte Namen wie Allianz Suisse, Mitsubishi Motors, Google uvm. ESET-Lösungen zeichnen sich insbesondere durch ihre ausgezeichnete Performance auch auf älteren Endgeräten sowie mehrschichtige Technologien für maximale Erkennungsraten aus. Darüber hinaus bietet ESET eine einfache Implementierung im Unternehmen sowie zentrale und nutzerfreundliche Verwaltung aller Lösungen.

Last but not least ermöglicht ESET auch kleinen Unternehmen (ab fünf Endgeräten) den Einsatz moderner Technologien sowie Cloud-Administration, die bei Mitbewerbern häufig erst ab wesentlich mehr Endgeräten zur Verfügung stehen. Sie sind an ESET-Produkten interessiert? Wir beraten Sie gerne. Zögern Sie nicht und kontaktieren uns per e-mail unter info @ msitc.eu oder über das Kontaktformular.

Homeoffice mit Nextcloud für kleine und mittlere Unternehmen in der Corona-Krise

Die aktuelle Corona-Situation hat sowohl kleine als auch große Unternehmen hart getroffen und dazu geführt, dass zumindest im kaufmännischen Bereich viele Mitarbeiter mittlerweile zu Hause im Homeoffice arbeiten. Gerade kleine und mittlere Unternehmen sehen sich hierbei jedoch mannigfaltigen Herausforderungen ausgesetzt, denn KMU-IT-Infrastrukturen sind üblicherweise nicht darauf ausgelegt, dass dutzende von Mitarbeitern gleichzeitig per VPN mit dem Firmennetzwerk verbunden sind, um auf Dokumente oder Anwendungen wie SAP zugreifen zu können.

Hier kommt die eigene Nextcloud-Instanz mit ihren vielfältigen Kollaborationsmöglichkeiten und etlichen Vorteilen ins Spiel:

  • Mit Nextcloud stellen Sie Ihren Mitarbeitern eine sichere Plattform zum gemeinsamen Arbeiten zur Verfügung, über die Sie die volle Kontrolle haben
  • Für den Zugriff auf Dokumente oder Informationen ist lediglich ein moderner Webbrowser erforderlich
  • Eine eigene Nextcloud-Instanz auf einem vServer am Standort Deutschland ist für den Bruchteil der Kosten verfügbar, die für entsprechende IT-Infrastruktur (VPN, VDI usw.) aufgewendet werden müssen. Dies macht Nextcloud auch für kleine und mittlere Unternehmen erschwinglich und erlaubt Arbeiten auch unter erschwerten Bedingungen.
  • Gruppenchats ermöglichen Ihren Mitarbeitern eine schnelle, sichere und effiziente Kommunikation
  • Weitere Anwendungsmöglichkeiten finden Sie in diesem Artikel. Wir beraten Sie gerne unverbindlich, wie sich Nextcloud auch in Ihrem Unternehmen optimal einsetzen lässt, um die Corona-Krise besser überstehen zu können. Sie können uns jederzeit per Mail (info AT msitc.eu) oder via Kontaktformular erreichen.

Fünf gute Gründe für den Einsatz von Nextcloud in Unternehmen

Einführung

Nicht erst seit der Einführung der DSGVO in der EU macht es sich bezahlt, Herr über seine Daten zu sein und auch zu bleiben. Darüber hinaus gibt es auch noch weitere gute Gründe, auf einen eigenen Nextcloud-Server zu setzen – die fünf wichtigsten haben wir für Sie nachfolgend zusammengefasst.

Kontrolle

Können Sie als Geschäftsführer oder Verantwortlicher garantieren, dass niemand außer authorisierten Mitarbeitern oder Geschäftspartnern Zugriff auf Ihre in der Cloud gespeicherten Daten hat? Möchten Sie gerne die vollständige Kontrolle über Ihre in der Cloud gespeicherten Daten? Nextcloud macht es möglich.

Schutz von geschäftskritischen Daten

Man kann von Cloud-Technologie halten, was man möchte. Fakt ist: Selbst kleine und mittlere Unternehmen (KMU) kommen heutzutage nicht mehr daran vorbei, da die Vorteile in der Regel überwiegen. Allerdings sollte man sich darüber im klaren sein, dass die Gefahr eines Datenabflusses durchaus real ist. US-amerikanische Nachrichtendienste sind bekanntermaßen nicht zimperlich, wenn es um Industriespionage und den Zugriff auf interessante Informationen geht. Im Klartext bedeutet das: Wer seine Daten in einer öffentlichen Cloud eines amerikanischen Anbieters speichert, sollte besser davon ausgehen, dass Dritte im schlimmsten Fall auch darauf zugreifen können. Mit Ihrer eigenen Nextcloud-Instanz lässt sich nicht nur dieses Risiko drastisch reduzieren.

Nextcloud am Standort Deutschland

Im internationalen Vergleich wird Datenschutz in Deutschland großgeschrieben. Bei einer eigenen Nextcloud-Instanz auf einem vServer bei einem deutschen Webhoster hat außer Ihnen niemand Zugriff auf die dort gespeicherten Daten – weder der Webhoster oder neugierige Admins, noch Nachrichtendienste. Voraussetzung dafür ist eine professionell eingerichtete Kombination aus virtuellem Server (vServer) und Nextcloud-Instanz.

Erweiterbarkeit der Cloud-Funktionalität

Das Ökosystem von Nextcloud kann sich mit über 200 Apps definitiv sehen lassen. Bereits eine Basisinstallation mit allen wichtigen Erweiterungen wie Groupware-Apps (Kalender, gemeinsames Bearbeiten von Dokumenten usw.) erhöht die Produktivität und Kollaboration Ihrer Mitarbeiter deutlich. Alle in einer Nextcloud-Instanz gespeicherten Daten können auf allen unterstützten Endgeräten bearbeitet und synchronisiert werden. Eine Übersicht der wichtigsten Nextcloud-Features finden Sie hier. (https://www.ms-it-consulting.biz/blog/2020/01/nextcloud-fur-kleine-und-mittlere-unternehmen-kmu/)

Kostenfaktor und ROI

Eine eigene Nextcloud-Instanz zu betreiben, kostet kein Vermögen und rechnet sich schnell. Die inviduelle und schnelle Anpassung an die Bedürfnisse und Erfordernisse speziell von kleinen und mittleren Unternehmen (KMU) ist ein weiterer Pluspunkt von Nextcloud. Die Betriebskosten für eine eigene Serverinstanz beginnen bereits bei einem zweistelligen Betrag pro Monat.

Was dürfen wir für Sie tun?

Haben wir Sie neugierig gemacht? Sie haben weitere Fragen zu Nextcloud oder würden gerne auf einem Testsystem die Möglichkeiten von Nextcloud zunächst erkunden, bevor Sie sich für eine eigene Nextcloud-Instanz entscheiden? Sie benötigen professionelle Unterstützung bei der Einrichtung Ihrer Nextcloud-Instanz?

Wir unterstützen Sie gerne in allen Belangen rund um Nextcloud. Sie können uns via Mail unter info AT msitc.eu oder per Kontaktformular erreichen.

SparkCognition DeepArmor vs. Hermes/Rapid-Ransomware

Ransomware ist immer noch als permanente Bedrohung präsent. Bekannte Varianten wie GandCrab werden regelmäßig aktualisiert, und auch weniger bekannte Namen können in einem Unternehmen für viel Ärger sorgen. Signaturbasierte Scanner haben nach wie vor Probleme mit der Erkennung von 0-day-Malware oder Ransomware (s. VirusTotal-Screenshot), während SparkCognition DeepArmor mit seiner AI Engine auch diese neue Ransomware problemlos erkennt und wirkungsvoll stoppt.

Hermes-Ransomware wird von 3/68 AV engines erkannt:

image

Erkennung durch AI Engine von DeepArmor Enterprise:

image

Eine ähnlich miserable Erkennungsrate erzielen traditionelle signaturbasierte AV-Scanner bei einem Rapid Ransomware-Sample:

image

image

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

SparkCognition DeepArmor: AI-basierte Erkennung von maliziösen PowerShell-Scripts

DeepArmor Enterprise ist ein leistungsfähiger Vertreter aus dem Bereich der Next Generation AV-Lösungen. Next Gen-Lösungen verwenden in der Regel künstliche Intelligenz (AI) sowie machine learning oder deep learning, um auch neue und unbekannte Bedrohungen wirkungsvoll erkennen und stoppen zu können. In der aktuellen Version 1.44 ist DeepArmor die erste Lösung, die maliziöse PowerShell-Scripts ausschließlich mit Hilfe der AI Engine erkennt. Die sog. “in-memory protection” sorgt dafür, dass selbst stark obfuskierte Scripte erkannt und geblockt werden. In unserem Demovideo sehen Sie, wie DeepArmor Enterprise sowohl unbehandelte als auch modifizierte PowerShell-Scripts problemlos erkennt und die Ausführung wirkungsvoll verhindert, während im Vergleich dazu eine signaturbasierte AV-Lösung die obfuskierten Versionen nicht erkennt und demnach auch nicht blocken würde.

Warum ist das ganze so interessant? Zum einen sind bösartige PowerShell-basierte Scripts mittlerweile stark verbreitet und kommen sowohl bei aktuellen Malspam-Kampagnen zum Einsatz (meist in Form von weaponized documents, also präparierte Office-Dokumente) als auch bei gezielten Angriffen gegen Unternehmen (APT = Advanced Persistant Threat). Die Bedrohung durch maliziöse PowerShell-Scripts wird laut einem Bericht von Symantec noch weiter wachsen. Um es anhand von Zahlen zu verdeutlich: Die Verwendung von maliziösen PowerShell-Scripts ist im Zeitraum der zweiten Jahreshälfte 2017 bis zum Ende des ersten Halbjahrs 2018 um 661(!) Prozent gestiegen.

Angreifer passen ihre TTPs (Tools, Tactics and Procedures) regelmäßig an. Dass insbesondere in Unternehmen das Whitelisting bzw. Blacklisting von Scripts zu einem hohen administrativen Aufwand mit entsprechenden Personalaufwand und Kosten führen kann und deshalb häufig vermieden wird, wissen professionelle Angreifer natürlich auch. Hinzu kommt, dass PowerShell ein Betriebssystembestandteil ist und bösartige Scripts deshalb auf jedem Endgerät ausgeführt werden können, auf dem PowerShell installiert ist. Konventionelle Lösungen versuchen mit Hilfe von Behavior Monitoring (Verhaltensanalyse von Anwendungen), Sandboxing oder HIPS die Ausführung von maliziösen Scripts zu verhindern. Hierbei kommt es allerdings oft zu false positives und damit verbunden auch zu einem hohen administrativen Aufwand. SparkCognition DeepArmor hingegen verwendet ausschließlich seine AI Engine und wurde mit einem umfangreichen Dataset trainiert, um bösartige von legitimen PowerShell-Scripts unterscheiden zu können.

Machen Sie sich selbst ein Bild von der Leistungsfähigkeit von SparkCognition DeepArmor, denn AI ist die Zukunft.

Kontaktieren Sie uns, wenn Sie mehr über SparkCognition DeepArmor Enterprise erfahren wollen. Wir sind offizieller DeepArmor-Partner und helfen gerne weiter.

SparkCognition DeepArmor vs. Vega Stealer: Schützen Sie Ihr Unternehmen vor Datenabfluss!

Proofpoint hat eine neue Malware namens Vega Stealer entdeckt, die im Rahmen einer malspam campaign an diverse Unternehmen und Organisationen ausgeliefert wurde. Vega stealer versucht sensible Daten wie gespeicherte Anmeldedaten für Websites oder Kreditkartennummern sowie sensitive Dokumente von infizierten Endgeräten zu stehlen und diese an einen Command & Control-Server zu übermitteln. Davon abgesehen, dass diese Malware in der Lage ist, sensible Daten zu stehlen, ist es (wieder einmal!) interessant zu sehen, wie die Erkennungsrate bei Virustotal aussieht – erschreckend wäre wohl das richtige Wort dafür, denn Stand 13.05.18 0132h erkennen gerade einmal 12 von 62 Engines(!) diese Malware:

image

SparkCognition DeepArmor als typische Next-Generation-Lösung, die vollständig auf AI (Artificial Intelligence) und machine learning basiert, erkennt diese Malware mit einer Sicherheit von 100%.

image

DeepArmor arbeitet vollständig ohne Signaturen und kann mit Hilfe der AI Engine auch brandneue Bedrohungen erkennen, für die herkömmliche AV-Lösungen ein Signaturen-Update benötigen. Angesichts der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) ist es umso wichtiger, eine Endpoint Protection-Lösung zu verwenden, die auch unbekannte Bedrohungen zuverlässig abwehren kann. Signaturen waren gestern, AI ist heute. Bei einem data breach (Datenabfluss) muss innerhalb von 72 eine Meldung an die entsprechende Aufsichtsbehörde erfolgen, andernfalls drohen Unternehmen empfindliche Geldstrafen, die bis zu 4% des Jahresumsatzes betragen können.

Als deutscher SparkCognition-Partner beraten wir Sie gerne zum Einsatz von DeepArmor in Ihrem Unternehmen. Bei Fragen erreichen Sie uns per Mail unter info AT deeparmor.de oder über das Kontaktformular auf unserer Website. Für kleine und mittlere Unternehmen bieten wir einen Managed Service (MSITC Managed Endpoint Protection) an und unterstützen Sie beim Deployment von DeepArmor.

SparkCognition DeepArmor vs. new and dangerous wiper malware

Please use the excellent translation service Deepl for an English translation and copy & paste the text into the input field.

Ich habe heute einen sog. Wiper entdeckt, dessen Aufgabe darin besteht, sinnlos Dateien und wichtige Bereiche von Festplatten wie den MBR (Master Boot Record) zu überschreiben bzw. zu löschen und damit möglichst viel Schaden anzurichten. Bemerkenswert an diesem Sample sind für mich vor allem zwei Dinge:

1. Bekannte Namen wie KAV, Panda, EMSISOFT, Avira, Bitdefender usw. waren laut den auf Malwaretips durchgeführten Tests (nur für registrierte User sichtbar!) mit Hilfe von Verhaltenserkennung (behavior analysis) und/oder anderen dynamischen Erkennungsmethoden teilweise nicht in der Lage, diese gefährliche Malware zu erkennen und zu stoppen

2. Den vollen Schutz bieten viele konventionelle AV-Programme nur, solange ein Endgerät online ist. Sobald ein Endgerät keine Online-Verbindung mehr hat, ist der Malware-Schutz deutlich geschwächt

Die Erkennungsraten bei VirusTotal machen deutlich, dass die Erkennung von neuer Malware alleine durch Signaturen meines Erachtens in einer Sackgasse angelangt ist. DeepAmor verwendet machine learning und AI (Artificial Intelligence), um auch polymorphe Malware sowie 0-day threats wirkungsvoll erkennen und stoppen zu können.

Wie der Wiper zuschlägt, kann man in diesem Video ab 03:20 verfolgen. Als Beispiel kommt Panda Dome zum Einsatz:

SparkCognition DeepArmor stoppt diese Bedrohung sowohl im Offline- als auch im Online-Betrieb wirkungsvoll:

SparkCognition DeepArmor vs. Backdoors

Dass SparkCognition DeepArmor auch bei der Erkennung von Backdoors gute Leistungen zeigt, dürfte keine allzu große Überraschung sein. Um dies anhand eines praxisnahen Beispiels unter Beweis zu stellen, habe ich fünf Backdoors mit phantom-evasion erstellt. Mit Hilfe von phantom-evasion ist es möglich, payloads bzw. backdoors zu erstellen, die von einem Großteil der traditionellen AV-Scanner nicht erkannt werden. Gelingt es einem Angreifer, unerkannt in einem Unternehmen damit auf Endgeräten die Kontrolle zu übernehmen, ist es bis zum Data Breach (Datenabfluss) nicht mehr weit, was angesichts der ab 25. Mai 2018 EU-weit gültigen DSGVO (Datenschutzgrundverordnung/GDPR) extrem teuer werden kann, da in nicht gemeldeten Fällen von Datenabfluss an die zuständige Aufsichtsbehörde Bußgelder in Höhe von bis zu 4% des Jahresumsatzes eines Unternehmens verhängt werden können.

image

Zurück zum Thema. phantom-evasion habe ich als Beispiel dafür ausgewählt, wie traditionelle signaturbasierte Virenscanner bei der Erkennung und der Abwehr von aktuellen Bedrohungen immer mehr ins Hintertreffen geraten. Um die Leistungsfähigkeit von SparkCognition DeepArmor unter Beweis zu stellen, habe ich fünf Samples mit phantom-evasion erstellt und diese ebenfalls mit einem second opinion scanner (EMSISOFT EEK) und VirusTotal gegengeprüft. Die Ergebnisse sind in den folgenden Screenshots zu sehen, vorab möchte ich sie wie folgt zusammenfassen:

  • EMSISOFT EEK hat bei einem signaturbasierten Scan keines der Samples erkannt
  • VirusTotal bzw. die Scan Engines scheinen auch keines der Samples erkannt zu haben
  • DeepArmor hat alle Samples mit einer Wahrscheinlichkeit zwischen 63% und 90% erkannt, und zwar ausschließlich auf Basis von künstlicher Intelligenz (AI)

Die Wahrscheinlichkeit, dass es durch eine eingeschleuste Backdoor auf einem Endgerät in einem Unternehmensnetzwerk zum Datenabfluss kommen kann, ist heutzutage realer denn je. Dies gilt natürlich auch für kleine und mittelständische Unternehmen.

image

image

image

image

image

image

Sie sind an DeepArmor interessiert? Verwenden Sie das Kontaktformular oder senden uns eine E-Mail an info AT deeparmor.de, um mehr über DeepArmor und wirkungsvollen Schutz für Ihre Endgeräte im Unternehmen zu erfahren.

MSITC FFRI Yarai vs. Ransomware samples

 

image

www.msitc.eu

www.securedsector.com

FFRI Yarai Ransomware test

You can find more details on FFRI web site. I would like to abbreviate it at this point:
•    Yarai has five core protection engines (ZDP engine against 0-day vulnerabilities in applications, static analysis, sandbox, HIPS and machine learning) and hybrid security approach provides in-depth endpoint defense
•    Yarai doesn´t use signatures like legacy AV applications do
•    Yarai works completely offline and doesn´t need an internet connection

Read more about Yarai here: https://www.ffri.jp/en/products/yarai.htm

Blog post in German about Yarai: https://www.securedsector.com/ffri-yarai-next-generation-endpoint-protection-mit-fnf-engines-und-verhaltenserkennung/

 

Goal of this test:
–    To prove yarai’s performance capability
–    To prove the efficiency of yarai in offline operation

 

Notes:
–    Yarai works behavior-oriented. For the test that means that malware is not always detected by static analysis engine but by one of the other engines (sandbox, HIPS or machine learning) at runtime
–    While most legacy AV applications rely on their cloud intelligence and fail in many cases regarding detection of 0-day malware or new ransomware samples when they work in offline mode, Yarai is designed to work offline and doesn´t therefore need internet access
–    Windows Defender is turned off, although it can be activated to run along with Yarai to achieve a maximum protection level

 

Test methodology:
1.    All samples have been downloaded from testmyav.com (50 samples) and from any.run (single ransomware samples)

2.    Virtual network adapter was disabled to make sure that Yarai has no internet connection and works fully in offline mode

3.    Samples have been extracted from archives to check whether they are being detected by static analysis engine during on-access scan. As mentioned before, static analysis can detect many malware variations but not all. To test whether the other engines were able to detect and block all threats the samples have been executed either manually or via command line