Fachartikel

Neue Strategien für Endpoint Security

Derzeit ist sowohl eine große Steigerung bei Advanced Persistant Threats als auch bei individualisierten Ransomware-Angriffen zu verzeichnen. Wie können Administratoren ihr Unternehmen gegen diese Cybercrime-Taktiken schützen? Anbieter für Endpoint Security reagieren mit vier Ansätzen: Vorhersage von Angriffen, Vorbeugung von Schäden, Beobachtung verdächtiger Applikationen und einer planvollen Reaktion für den Fall einer erfolgreichen Attacke. Dieser Fachbeitrag beschreibt die Ansätze und wie Hersteller sie mit Hilfe von Tools wie Big Data, künstlicher Intelligenz sowie Introspektion in virtuelle Maschinen realisieren.
Um Clients in Zeiten von APTs und immer neuen Angriffswegen zu schützen, sind auch beim Malware-Schutz neue Technologien gefragt.
Wir stehen mitten im Kreuzfeuer. Nicht weniger als 15 Millionen neue oder neu variierte Schadsoftware tauchen jeden Monat auf. Doch nicht nur die Malware, sondern auch die Mechanismen, sie an ihren Bestimmungsort auszuliefern, sind immer ausgefeilter geworden: Vertrauenswürdige Webseiten werden kompromittiert, um komplexe, Skript-basierte Attacken zu starten, die über mehrere Zyklen Software nachladen, um wiederum Schwachstellen auszunutzen. Schädliche Payloads werden aufwändig verpackt, um sie vor Sicherheitslösungen zu verstecken. Die Malware versucht mit allen Mitteln, Sicherheitsmechanismen zu deaktivieren oder zu überlisten.

Signaturen alleine schützen nicht
Herkömmliche Malware-Erkennung verließ sich auf Signaturen. Diese Fingerabdrücke wurden für jeden bekannten Virus erstellt und sorgten dafür, dass ein aktualisierter Virenscanner sie erkennt und blockiert. Dieser Ansatz, für sich allein genommen, ist überholt und wird angesichts der Masse individualisierter Angriffe nie wieder funktionieren. Unter anderem lässt er ein viel zu großes Zeitfenster für erfolgreiche Angriffe mit längst bekannter Malware.

Auf Angriffsmuster frühzeitig vorbereiten
In ihren Labs arbeiten die Hersteller deshalb daran, Angriffsmethoden vorzubeugen, die möglicherweise noch gar nicht von Cyberkriminellen genutzt werden. Denn diese suchen das Einfallstor, das es für sie am einfachsten macht oder das den größten Nutzen verspricht. Zurzeit machen es zum Beispiel ungepatchte, vernetzte Geräte wie Drucker, Videokameras oder IoT-Geräte den Angreifern besonders einfach.
Security Labs analysieren genau, wie Schädlinge heute vorgehen. Sie nehmen vorweg, wie zukünftige Varianten davon aussehen könnten. Wie könnten auf ähnliche Art weitere Angriffe durchgeführt werden? Welche Idee steckt hinter dem Angriff? Welche weiteren Techniken könnten mit diesem Angriff kombiniert werden? Dafür schreiben die Labs dann Regeln, die vor Gefahren schützen, die noch nicht einmal existieren.

Security Tools nutzen diese Threat Intelligence. Admins sollten zum Beispiel genau hinschauen, wenn die Security-Konsole auf mögliche Schwächen im Netzwerk hinweist. Früher oder später wird jede Lücke genutzt. Und so kann es nötig sein, eine Videokamera auszutauschen oder einen Drucker durch eine vorgelagerte Hardware zu schützen, um ein integres Netzwerk zu behalten.

Mehr Schutz durch Application Control
Die meisten in Unternehmen üblichen Antivirus-Engines schützen zuverlässig vor bekannter Schadsoftware. Die Herausforderung besteht – neben der Vermeidung von Fehlalarmen und der schonenden Beanspruchung der Computing Ressourcen des Endpoints – vor allem in der Abwehr von bislang unbekannten Gefährdungen (Zero Day Attacks).

Eine offensichtliche Verringerung der Angriffsfläche bietet Application Control (auch Application Whitelisting genannt). Damit kann ein Administrator dafür sorgen, dass nur zugelassene Applikationen genutzt werden. Zum Beispiel würde Application Control die Nutzung eines im Unternehmen nicht zugelassenen Browsers erstens blocken und zweitens dem Administrator auf der Management-Konsole melden. Egal, ob ein legitimer User sich Adminstratorenrechte erschlichen und Richtlinien verletzt hat oder ob ein illegitimer Eindringling einen Angriff startet: Application Control verbarrikadiert zahlreiche Angriffswege. Es ist nicht länger möglich, dass ein Angreifer eine gängige, aber angreifbare Applikation installiert, um über diesen Weg weitere Schritte in seinem Angriffsplan zu verwirklichen.

Anwendungen in isolierter Umgebung testen
Eine wichtige Schutzschicht von Endpoint-Security-Lösungen der neuen Generation gegen Zero Day Attacks ist Sandboxing. Sandboxing-Tools führen neue Applikationen oder Files zunächst in einem isolierten Bereich aus und testen, ob sich diese verdächtig verhalten. Oft wird dabei ein zukünftiges Datum simuliert, um auch Viren zu entlarven, die erst nach einer Ruhezeit zuschlagen sollen. Dies geschieht sehr schnell, sodass User kaum eine Verzögerung beim Öffnen einer Applikation bemerken – es sei denn, diese wird geblockt.

Doch die Zeiten, in denen Endpoint Security nur eine Tür war, durch welche die Malware einmal schlupfen musste, um dann ungestört wüten zu können, sind ebenfalls vorbei. Auch Applikationen, für die keine Signatur vorliegt und die beim Sandboxing keinen Verdacht erregen, bleiben unter Beobachtung und werden notfalls sofort gestoppt. Hierzu dienen heuristische Detection-Funktionalitäten wie Active Threat Control.

    Seite 1: Auf Angriffsmuster frühzeitig vorbereiten
    Seite 2: APTs verraten sich im Arbeitsspeicher


Seite 1 von 2 Nächste Seite >>
15.02.2017/ln/Mirco Rohr, Global Evangelist bei Bitdefender

Nachrichten

Neue Firewall-Appliances von Sophos [20.04.2018]

Sophos präsentiert die neue Generation seiner XG- und SG-Series-Desktop-Firewall-Appliances. Das Portfolio umfasst fünf Modelle der XG Series mit XG Firewall (SFOS)-Software und vier Modelle der SG Series mit UTM-Software. Alle Modelle sind zusätzlich als 'w-Modell' mit integriertem WLAN erhältlich. [mehr]

Update: Möglicher Millionenbetrug bei Frankfurter Fintech-Startup [19.04.2018]

Mit Initial Coin Offerings, kurz ICO, bietet sich Fintech-Startups in der Blockchain-Szene ein völlig neues Instrument zur Finanzierung ihrer Geschäftsidee. Dabei geben die Gründer eine eigens kreierte Kryptowährung aus und erhalten im Gegenzug Euro, Dollar oder etwa Bitcoin - oft in Millionenhöhe. Der Inhaber des Frankfurter Startups 'Savedroid' hat diese Gelegenheit möglicherweise genutzt und sich mit dem Geld seiner Investoren aus dem Staub gemacht. [mehr]

Tipps & Tools

Performance der Citrix Provisioning Services erhöhen [8.04.2018]

Bei der Nutzung der Citrix Provisioning Services kann es nach und während des Erstellens einer Windows-10-Vdisk vorkommen, dass beim Streaming eine schlechte Leistung auftritt. Das Problem äußert sich unter anderem darin, dass es sehr lange dauert, um die Vdisk zu erstellen. Außerdem möglich sind langsame Boot- und Login-Zeiten und nicht zuletzt ist auch die Geschwindigkeit der Dateiübertragung im Vergleich zu anderen Rechnern im Netzwerk oft zäh. Doch es gibt Abhilfe. [mehr]

Tastaturprobleme bei XenDesktop beheben [11.03.2018]

In Umgebungen mit XenDesktop 7.15 kann es vorkommen, dass ein Benutzer einen Fehler meldet, bei dem ein iPad oder iPhone mit Citrix Receiver eine Tastatur falsch darstellt, obwohl zuvor die bevorzugte Sprache ausgewählt wurde. Zum Beispiel wählt der Benutzer eine französische Tastatur (AZERTY), erhält aber eine QWERTY-Tastatur. Da sich diese Tastaturen sehr ähnlich sind, wird dieser Fehler vom Benutzer meist erst beim Tippen wahrgenommen werden. Das Problem lässt sich jedoch beheben. [mehr]

Buchbesprechung

Anzeigen