Fachartikel

Neue Strategien für Endpoint Security

Derzeit ist sowohl eine große Steigerung bei Advanced Persistant Threats als auch bei individualisierten Ransomware-Angriffen zu verzeichnen. Wie können Administratoren ihr Unternehmen gegen diese Cybercrime-Taktiken schützen? Anbieter für Endpoint Security reagieren mit vier Ansätzen: Vorhersage von Angriffen, Vorbeugung von Schäden, Beobachtung verdächtiger Applikationen und einer planvollen Reaktion für den Fall einer erfolgreichen Attacke. Dieser Fachbeitrag beschreibt die Ansätze und wie Hersteller sie mit Hilfe von Tools wie Big Data, künstlicher Intelligenz sowie Introspektion in virtuelle Maschinen realisieren.
Um Clients in Zeiten von APTs und immer neuen Angriffswegen zu schützen, sind auch beim Malware-Schutz neue Technologien gefragt.
Wir stehen mitten im Kreuzfeuer. Nicht weniger als 15 Millionen neue oder neu variierte Schadsoftware tauchen jeden Monat auf. Doch nicht nur die Malware, sondern auch die Mechanismen, sie an ihren Bestimmungsort auszuliefern, sind immer ausgefeilter geworden: Vertrauenswürdige Webseiten werden kompromittiert, um komplexe, Skript-basierte Attacken zu starten, die über mehrere Zyklen Software nachladen, um wiederum Schwachstellen auszunutzen. Schädliche Payloads werden aufwändig verpackt, um sie vor Sicherheitslösungen zu verstecken. Die Malware versucht mit allen Mitteln, Sicherheitsmechanismen zu deaktivieren oder zu überlisten.

Signaturen alleine schützen nicht
Herkömmliche Malware-Erkennung verließ sich auf Signaturen. Diese Fingerabdrücke wurden für jeden bekannten Virus erstellt und sorgten dafür, dass ein aktualisierter Virenscanner sie erkennt und blockiert. Dieser Ansatz, für sich allein genommen, ist überholt und wird angesichts der Masse individualisierter Angriffe nie wieder funktionieren. Unter anderem lässt er ein viel zu großes Zeitfenster für erfolgreiche Angriffe mit längst bekannter Malware.

Auf Angriffsmuster frühzeitig vorbereiten
In ihren Labs arbeiten die Hersteller deshalb daran, Angriffsmethoden vorzubeugen, die möglicherweise noch gar nicht von Cyberkriminellen genutzt werden. Denn diese suchen das Einfallstor, das es für sie am einfachsten macht oder das den größten Nutzen verspricht. Zurzeit machen es zum Beispiel ungepatchte, vernetzte Geräte wie Drucker, Videokameras oder IoT-Geräte den Angreifern besonders einfach.
Security Labs analysieren genau, wie Schädlinge heute vorgehen. Sie nehmen vorweg, wie zukünftige Varianten davon aussehen könnten. Wie könnten auf ähnliche Art weitere Angriffe durchgeführt werden? Welche Idee steckt hinter dem Angriff? Welche weiteren Techniken könnten mit diesem Angriff kombiniert werden? Dafür schreiben die Labs dann Regeln, die vor Gefahren schützen, die noch nicht einmal existieren.

Security Tools nutzen diese Threat Intelligence. Admins sollten zum Beispiel genau hinschauen, wenn die Security-Konsole auf mögliche Schwächen im Netzwerk hinweist. Früher oder später wird jede Lücke genutzt. Und so kann es nötig sein, eine Videokamera auszutauschen oder einen Drucker durch eine vorgelagerte Hardware zu schützen, um ein integres Netzwerk zu behalten.

Mehr Schutz durch Application Control
Die meisten in Unternehmen üblichen Antivirus-Engines schützen zuverlässig vor bekannter Schadsoftware. Die Herausforderung besteht – neben der Vermeidung von Fehlalarmen und der schonenden Beanspruchung der Computing Ressourcen des Endpoints – vor allem in der Abwehr von bislang unbekannten Gefährdungen (Zero Day Attacks).

Eine offensichtliche Verringerung der Angriffsfläche bietet Application Control (auch Application Whitelisting genannt). Damit kann ein Administrator dafür sorgen, dass nur zugelassene Applikationen genutzt werden. Zum Beispiel würde Application Control die Nutzung eines im Unternehmen nicht zugelassenen Browsers erstens blocken und zweitens dem Administrator auf der Management-Konsole melden. Egal, ob ein legitimer User sich Adminstratorenrechte erschlichen und Richtlinien verletzt hat oder ob ein illegitimer Eindringling einen Angriff startet: Application Control verbarrikadiert zahlreiche Angriffswege. Es ist nicht länger möglich, dass ein Angreifer eine gängige, aber angreifbare Applikation installiert, um über diesen Weg weitere Schritte in seinem Angriffsplan zu verwirklichen.

Anwendungen in isolierter Umgebung testen
Eine wichtige Schutzschicht von Endpoint-Security-Lösungen der neuen Generation gegen Zero Day Attacks ist Sandboxing. Sandboxing-Tools führen neue Applikationen oder Files zunächst in einem isolierten Bereich aus und testen, ob sich diese verdächtig verhalten. Oft wird dabei ein zukünftiges Datum simuliert, um auch Viren zu entlarven, die erst nach einer Ruhezeit zuschlagen sollen. Dies geschieht sehr schnell, sodass User kaum eine Verzögerung beim Öffnen einer Applikation bemerken – es sei denn, diese wird geblockt.

Doch die Zeiten, in denen Endpoint Security nur eine Tür war, durch welche die Malware einmal schlupfen musste, um dann ungestört wüten zu können, sind ebenfalls vorbei. Auch Applikationen, für die keine Signatur vorliegt und die beim Sandboxing keinen Verdacht erregen, bleiben unter Beobachtung und werden notfalls sofort gestoppt. Hierzu dienen heuristische Detection-Funktionalitäten wie Active Threat Control.

    Seite 1: Auf Angriffsmuster frühzeitig vorbereiten
    Seite 2: APTs verraten sich im Arbeitsspeicher


Seite 1 von 2 Nächste Seite >>
15.02.2017/ln/Mirco Rohr, Global Evangelist bei Bitdefender

Nachrichten

Schnell und Quanten-sicher [22.11.2017]

genua hat seine Firewall- und VPN-Appliance 'genuscreen' mit einer neuen Version versorgt. Bei genuscreen 6.1 stand die Steigerung der Performance im Mittelpunkt. Die Appliance erreicht nun laut Hersteller bis zu 20 GBit/s Datendurchsatz. So sollen sich auch hochperformante Schnittstellen absichern und ein leistungsstarkes VPN beitreiben lassen. [mehr]

Banking-Trojaner hat umgeschult [17.11.2017]

Der Banking-Trojaner Terdot, der ursprünglich auf Online-Banking und Zahlungsvorgänge abzielte, feiert offenbar sein Comeback als Instrument zum Diebstahl von Daten und Anmeldeinformationen. Die Malware kann unter anderem durch einen Man-in-the-Middle-Proxy sensible Daten aus dem gesamten Internet-Verkehr eines Users filtern und weiterleiten. [mehr]

Tipps & Tools

Neue Trainings im Frühjahr 2018 [20.11.2017]

Schon im Kinderlied heißt es, dass 'die Jahresuhr niemals still steht'. Das gilt auch für die Veranstaltungen des IT-Administrator. Pünktlich zum Frühlingsbeginn starten wir Ende März mit neuen Trainings. Mit dem Thema 'EU-Datenschutz umsetzen' machen wir Sie fit für die im Mai 2018 in Kraft tretende Datenschutz-Grundverordnung der EU. Und im Training 'Microsoft Hybrid Cloud' füllen wir das Buzzword Hybrid Cloud dann mit viel Inhalt. Sputen Sie sich mit der Anmeldung, denn erfahrungsgemäß werden die Kurse bald ausgebucht sein. [mehr]

ESXi 6.5 vom USB-Stick auf eine SSD installieren [5.11.2017]

Die Installation von VMware ESXi 6.5 ist im Prinzip kein Hexenwerk und gestaltet sich alles in allem recht einfach. Trotzdem ist auch IT-Profis nicht jeder Schritt stets vor Augen. Wir beschreiben deshalb in dieser kompakten Anleidtung, wie sich ESXi 6.5 von einem USB-Stick oder einer CD-ROM auf eine SSD installieren lässt. [mehr]

Buchbesprechung

Citrix XenMobile 10

von Thomas Krampe

Anzeigen