Fachartikel

Neue Strategien für Endpoint Security

Derzeit ist sowohl eine große Steigerung bei Advanced Persistant Threats als auch bei individualisierten Ransomware-Angriffen zu verzeichnen. Wie können Administratoren ihr Unternehmen gegen diese Cybercrime-Taktiken schützen? Anbieter für Endpoint Security reagieren mit vier Ansätzen: Vorhersage von Angriffen, Vorbeugung von Schäden, Beobachtung verdächtiger Applikationen und einer planvollen Reaktion für den Fall einer erfolgreichen Attacke. Dieser Fachbeitrag beschreibt die Ansätze und wie Hersteller sie mit Hilfe von Tools wie Big Data, künstlicher Intelligenz sowie Introspektion in virtuelle Maschinen realisieren.
Um Clients in Zeiten von APTs und immer neuen Angriffswegen zu schützen, sind auch beim Malware-Schutz neue Technologien gefragt.
Wir stehen mitten im Kreuzfeuer. Nicht weniger als 15 Millionen neue oder neu variierte Schadsoftware tauchen jeden Monat auf. Doch nicht nur die Malware, sondern auch die Mechanismen, sie an ihren Bestimmungsort auszuliefern, sind immer ausgefeilter geworden: Vertrauenswürdige Webseiten werden kompromittiert, um komplexe, Skript-basierte Attacken zu starten, die über mehrere Zyklen Software nachladen, um wiederum Schwachstellen auszunutzen. Schädliche Payloads werden aufwändig verpackt, um sie vor Sicherheitslösungen zu verstecken. Die Malware versucht mit allen Mitteln, Sicherheitsmechanismen zu deaktivieren oder zu überlisten.

Signaturen alleine schützen nicht
Herkömmliche Malware-Erkennung verließ sich auf Signaturen. Diese Fingerabdrücke wurden für jeden bekannten Virus erstellt und sorgten dafür, dass ein aktualisierter Virenscanner sie erkennt und blockiert. Dieser Ansatz, für sich allein genommen, ist überholt und wird angesichts der Masse individualisierter Angriffe nie wieder funktionieren. Unter anderem lässt er ein viel zu großes Zeitfenster für erfolgreiche Angriffe mit längst bekannter Malware.

Auf Angriffsmuster frühzeitig vorbereiten
In ihren Labs arbeiten die Hersteller deshalb daran, Angriffsmethoden vorzubeugen, die möglicherweise noch gar nicht von Cyberkriminellen genutzt werden. Denn diese suchen das Einfallstor, das es für sie am einfachsten macht oder das den größten Nutzen verspricht. Zurzeit machen es zum Beispiel ungepatchte, vernetzte Geräte wie Drucker, Videokameras oder IoT-Geräte den Angreifern besonders einfach.
Security Labs analysieren genau, wie Schädlinge heute vorgehen. Sie nehmen vorweg, wie zukünftige Varianten davon aussehen könnten. Wie könnten auf ähnliche Art weitere Angriffe durchgeführt werden? Welche Idee steckt hinter dem Angriff? Welche weiteren Techniken könnten mit diesem Angriff kombiniert werden? Dafür schreiben die Labs dann Regeln, die vor Gefahren schützen, die noch nicht einmal existieren.

Security Tools nutzen diese Threat Intelligence. Admins sollten zum Beispiel genau hinschauen, wenn die Security-Konsole auf mögliche Schwächen im Netzwerk hinweist. Früher oder später wird jede Lücke genutzt. Und so kann es nötig sein, eine Videokamera auszutauschen oder einen Drucker durch eine vorgelagerte Hardware zu schützen, um ein integres Netzwerk zu behalten.

Mehr Schutz durch Application Control
Die meisten in Unternehmen üblichen Antivirus-Engines schützen zuverlässig vor bekannter Schadsoftware. Die Herausforderung besteht – neben der Vermeidung von Fehlalarmen und der schonenden Beanspruchung der Computing Ressourcen des Endpoints – vor allem in der Abwehr von bislang unbekannten Gefährdungen (Zero Day Attacks).

Eine offensichtliche Verringerung der Angriffsfläche bietet Application Control (auch Application Whitelisting genannt). Damit kann ein Administrator dafür sorgen, dass nur zugelassene Applikationen genutzt werden. Zum Beispiel würde Application Control die Nutzung eines im Unternehmen nicht zugelassenen Browsers erstens blocken und zweitens dem Administrator auf der Management-Konsole melden. Egal, ob ein legitimer User sich Adminstratorenrechte erschlichen und Richtlinien verletzt hat oder ob ein illegitimer Eindringling einen Angriff startet: Application Control verbarrikadiert zahlreiche Angriffswege. Es ist nicht länger möglich, dass ein Angreifer eine gängige, aber angreifbare Applikation installiert, um über diesen Weg weitere Schritte in seinem Angriffsplan zu verwirklichen.

Anwendungen in isolierter Umgebung testen
Eine wichtige Schutzschicht von Endpoint-Security-Lösungen der neuen Generation gegen Zero Day Attacks ist Sandboxing. Sandboxing-Tools führen neue Applikationen oder Files zunächst in einem isolierten Bereich aus und testen, ob sich diese verdächtig verhalten. Oft wird dabei ein zukünftiges Datum simuliert, um auch Viren zu entlarven, die erst nach einer Ruhezeit zuschlagen sollen. Dies geschieht sehr schnell, sodass User kaum eine Verzögerung beim Öffnen einer Applikation bemerken – es sei denn, diese wird geblockt.

Doch die Zeiten, in denen Endpoint Security nur eine Tür war, durch welche die Malware einmal schlupfen musste, um dann ungestört wüten zu können, sind ebenfalls vorbei. Auch Applikationen, für die keine Signatur vorliegt und die beim Sandboxing keinen Verdacht erregen, bleiben unter Beobachtung und werden notfalls sofort gestoppt. Hierzu dienen heuristische Detection-Funktionalitäten wie Active Threat Control.

    Seite 1: Auf Angriffsmuster frühzeitig vorbereiten
    Seite 2: APTs verraten sich im Arbeitsspeicher


Seite 1 von 2 Nächste Seite >>
15.02.2017/ln/Mirco Rohr, Global Evangelist bei Bitdefender

Nachrichten

Mehr Sicherheit für Mobilgeräte [20.07.2017]

Check Point kündigte die Produktintegration von 'SandBlast Mobile' mit Microsofts 'Enterprise Mobility + Security' (EMS) zur Sicherung von Mobilgeräten im Unternehmen an. Damit soll Firmen ein umfassendes Angebot zur Verwaltung mobiler Geräte und zum Schutz vor Angriffen auf Smartphones, Tablets und Co. zur Verfügung stehen. [mehr]

VPN-Client für iOS [18.07.2017]

Mit dem 'NCP Secure Enterprise iOS Client' ermöglicht NCP nun auch sichere VPN-Verbindungen zwischen iPhone oder iPad und den zentralen Unternehmensnetzen. Dabei ist der Zugriff auf mehrere unterschiedliche Datennetze mit jeweils eigenem VPN-Profil möglich. [mehr]

Tipps & Tools

BrokerAgent-Abfragen verursachen hohe CPU-Last [9.07.2017]

Während in unserer Citrix-Umgebung der BrokerAgent Leistungsabfragen über den WMI-Leistungsadapter startet, kommt es zu einer sehr hohen CPU-Auslastung, verursacht durch die Datei 'WMIPrvSE.exe'. Auf den VDIs wird der WMI Fehler 5858 angezeigt. Wir erklären, was genau die Ursache des Problems ist. [mehr]

Neues Training: Docker und Linux-Container [6.06.2017]

Von Red Hat bis Microsoft reden heute alle von Docker. Dessen Erfolg beruht dabei vor allem auf einem Aspekt: Docker hat eine Infrastruktur für Container-Images entwickelt, die es ermöglicht, Images von anderen Anwendern aus einem Repository zu laden und sie für eigene Zwecke anzupassen. In unserem Training im Herbst erfahren Sie in München und Dortmund, worum es bei Docker geht, wie Container aufgebaut sind, wie Sie eigene Container bauen und mit anderen zu Anwendungen verbinden. [mehr]

Buchbesprechung

Datenschutz-Grundverordnung

von Niko Härting

Anzeigen