Fachartikel

Neue Strategien für Endpoint Security

Derzeit ist sowohl eine große Steigerung bei Advanced Persistant Threats als auch bei individualisierten Ransomware-Angriffen zu verzeichnen. Wie können Administratoren ihr Unternehmen gegen diese Cybercrime-Taktiken schützen? Anbieter für Endpoint Security reagieren mit vier Ansätzen: Vorhersage von Angriffen, Vorbeugung von Schäden, Beobachtung verdächtiger Applikationen und einer planvollen Reaktion für den Fall einer erfolgreichen Attacke. Dieser Fachbeitrag beschreibt die Ansätze und wie Hersteller sie mit Hilfe von Tools wie Big Data, künstlicher Intelligenz sowie Introspektion in virtuelle Maschinen realisieren.
Um Clients in Zeiten von APTs und immer neuen Angriffswegen zu schützen, sind auch beim Malware-Schutz neue Technologien gefragt.
Wir stehen mitten im Kreuzfeuer. Nicht weniger als 15 Millionen neue oder neu variierte Schadsoftware tauchen jeden Monat auf. Doch nicht nur die Malware, sondern auch die Mechanismen, sie an ihren Bestimmungsort auszuliefern, sind immer ausgefeilter geworden: Vertrauenswürdige Webseiten werden kompromittiert, um komplexe, Skript-basierte Attacken zu starten, die über mehrere Zyklen Software nachladen, um wiederum Schwachstellen auszunutzen. Schädliche Payloads werden aufwändig verpackt, um sie vor Sicherheitslösungen zu verstecken. Die Malware versucht mit allen Mitteln, Sicherheitsmechanismen zu deaktivieren oder zu überlisten.

Signaturen alleine schützen nicht
Herkömmliche Malware-Erkennung verließ sich auf Signaturen. Diese Fingerabdrücke wurden für jeden bekannten Virus erstellt und sorgten dafür, dass ein aktualisierter Virenscanner sie erkennt und blockiert. Dieser Ansatz, für sich allein genommen, ist überholt und wird angesichts der Masse individualisierter Angriffe nie wieder funktionieren. Unter anderem lässt er ein viel zu großes Zeitfenster für erfolgreiche Angriffe mit längst bekannter Malware.

Auf Angriffsmuster frühzeitig vorbereiten
In ihren Labs arbeiten die Hersteller deshalb daran, Angriffsmethoden vorzubeugen, die möglicherweise noch gar nicht von Cyberkriminellen genutzt werden. Denn diese suchen das Einfallstor, das es für sie am einfachsten macht oder das den größten Nutzen verspricht. Zurzeit machen es zum Beispiel ungepatchte, vernetzte Geräte wie Drucker, Videokameras oder IoT-Geräte den Angreifern besonders einfach.
Security Labs analysieren genau, wie Schädlinge heute vorgehen. Sie nehmen vorweg, wie zukünftige Varianten davon aussehen könnten. Wie könnten auf ähnliche Art weitere Angriffe durchgeführt werden? Welche Idee steckt hinter dem Angriff? Welche weiteren Techniken könnten mit diesem Angriff kombiniert werden? Dafür schreiben die Labs dann Regeln, die vor Gefahren schützen, die noch nicht einmal existieren.

Security Tools nutzen diese Threat Intelligence. Admins sollten zum Beispiel genau hinschauen, wenn die Security-Konsole auf mögliche Schwächen im Netzwerk hinweist. Früher oder später wird jede Lücke genutzt. Und so kann es nötig sein, eine Videokamera auszutauschen oder einen Drucker durch eine vorgelagerte Hardware zu schützen, um ein integres Netzwerk zu behalten.

Mehr Schutz durch Application Control
Die meisten in Unternehmen üblichen Antivirus-Engines schützen zuverlässig vor bekannter Schadsoftware. Die Herausforderung besteht – neben der Vermeidung von Fehlalarmen und der schonenden Beanspruchung der Computing Ressourcen des Endpoints – vor allem in der Abwehr von bislang unbekannten Gefährdungen (Zero Day Attacks).

Eine offensichtliche Verringerung der Angriffsfläche bietet Application Control (auch Application Whitelisting genannt). Damit kann ein Administrator dafür sorgen, dass nur zugelassene Applikationen genutzt werden. Zum Beispiel würde Application Control die Nutzung eines im Unternehmen nicht zugelassenen Browsers erstens blocken und zweitens dem Administrator auf der Management-Konsole melden. Egal, ob ein legitimer User sich Adminstratorenrechte erschlichen und Richtlinien verletzt hat oder ob ein illegitimer Eindringling einen Angriff startet: Application Control verbarrikadiert zahlreiche Angriffswege. Es ist nicht länger möglich, dass ein Angreifer eine gängige, aber angreifbare Applikation installiert, um über diesen Weg weitere Schritte in seinem Angriffsplan zu verwirklichen.

Anwendungen in isolierter Umgebung testen
Eine wichtige Schutzschicht von Endpoint-Security-Lösungen der neuen Generation gegen Zero Day Attacks ist Sandboxing. Sandboxing-Tools führen neue Applikationen oder Files zunächst in einem isolierten Bereich aus und testen, ob sich diese verdächtig verhalten. Oft wird dabei ein zukünftiges Datum simuliert, um auch Viren zu entlarven, die erst nach einer Ruhezeit zuschlagen sollen. Dies geschieht sehr schnell, sodass User kaum eine Verzögerung beim Öffnen einer Applikation bemerken – es sei denn, diese wird geblockt.

Doch die Zeiten, in denen Endpoint Security nur eine Tür war, durch welche die Malware einmal schlupfen musste, um dann ungestört wüten zu können, sind ebenfalls vorbei. Auch Applikationen, für die keine Signatur vorliegt und die beim Sandboxing keinen Verdacht erregen, bleiben unter Beobachtung und werden notfalls sofort gestoppt. Hierzu dienen heuristische Detection-Funktionalitäten wie Active Threat Control.

    Seite 1: Auf Angriffsmuster frühzeitig vorbereiten
    Seite 2: APTs verraten sich im Arbeitsspeicher


Seite 1 von 2 Nächste Seite >>
15.02.2017/ln/Mirco Rohr, Global Evangelist bei Bitdefender

Nachrichten

E-Mail-Inspektor [17.02.2017]

SonicWall stellt seine 'E-Mail Security' in Version 9.0 vor. Mit an Bord ist der sogenannte 'Capture Advanced Threat Protection Service', der den E-Mail-Verkehr überprüft und schädliche Dateien blockiert. Mit der Betaversion von SonicOS 6.2.7 zeigt der Hersteller zudem neue Features des Appliance-Betriebssystems. [mehr]

Verdächtige Nutzeraktivitäten maschinell erkennen [16.02.2017]

Centrify gibt den Startschuss für seinen neuen 'Analytics Service', der Benutzerkonten gegen Missbrauch absichern soll. Dabei nutzt der Dienst zur Risikoeinschätzung maschinelles Lernen, basierend auf dem sich ständig verändernden Anwenderverhalten. So etwa ermöglicht das Werkzeug, bei Zweifeln an der Identität eines Nutzers eine zusätzliche Multifaktor-Authentifizierung anzufordern. [mehr]

Tipps & Tools

IT-Administrator Intensiv-Seminar 'Hyper-V' [13.02.2017]

War VMware über lange Zeit hinweg unbestrittener Marktführer bei der Servervirtualisierung, hat Microsofts Hypervisor in den letzten Jahren mächtig aufgeholt. Unser fünftägiges Intensiv-Seminar im März und Mai zeigt deshalb optimale Vorgehensweisen bei der Einführung von Hyper-V, behandelt anschließend die Themen Cluster und Hochverfügbarkeit und verschafft Einblicke in die Möglichkeiten, die sich Administratoren zum Beispiel mit Hyper-V Replica bieten. Das alles anhand der neuesten Ausgabe der Virtualisierungstechnologie, eingeführt mit Windows Server 2016. [mehr]

Citrix Store-Front-Cluster richtig updaten [5.02.2017]

Regelmäßige Upgrades sind auch in einer Citrix-Umgebung empfehlenswert, um das Beste aus Hard- und Software herauszuholen und etwaige Probleme schon proaktiv zu verhindern oder bestenfalls ganz zu beheben. Dies trifft besonders auf Unternehmen zu, die NetScaler für das Load Balancing eines Store-Front-Clusters nutzen. Bei diesem Upgrade sind allerdings einige Dinge zu beachten. [mehr]

Buchbesprechung

SQL Hacking

von Justin Clarke et al.

Anzeigen