Die Meinung des Spezialisten Mark Johnson, Presales-Engineer für Stormshield Endpoint Security
Angesichts der zunehmenden Digitalisierung aller Wirtschaftszweige und der wachsenden Anzahl an mobilen Arbeitsplätzen kann bei Missbrauch selbst die kleinste Schwachstelle oder fehlerhafte Konfiguration von Arbeitsrechnern katastrophale Folgen haben. Zukunftsweisende Sicherheitstechnologien und -lösungen passen sich jedoch an diese neuen Gegebenheiten an.
Die Quelle der Infektion frühzeitig identifizieren
Hauptziel eines Cyberkriminellen ist es, sensible persönliche, industrielle oder kommerzielle Daten zu erbeuten, sie zu verschlüsseln und Lösegeld zu verlangen, sie zu veröffentlichen bzw. die Produktion des Unternehmens zu stören. Zum Ziel gelangen Cyberkriminelle über „Einstiegspunkte“, die oft Mitarbeiter-Workstations sind. Sobald sie kompromittiert sind, kann der Angreifer – auch bei nicht vorhandenen Administratorrechten auf der Maschine – tiefer in das System eindringen.
Um dies zu bewerkstelligen, können Angreifer sowohl menschliche Schwachstellen mit zunehmend gezieltem Phishing (“Spear-Phishing”) als auch Schwachstellen in unzureichend geschützten Systemen ausnutzen. Beispielhaft genannt seien RDP-Server, die dem Internet ausgesetzt sind, oder nicht aktualisierte Anwendungen. Um sicherzustellen, dass Angreifer keinen tieferen Zugriff auf das System erlangen können, ist es wichtig, solche Angriffe direkt zu erkennen, schädliche Prozesse zu stoppen und ihre Ausbreitung auf dem betreffenden Rechner oder der betreffenden Anwendung sofort zu unterbinden.
Das Schutzniveau an die Umgebung anpassen
Die Sicherheit von Arbeitsrechnern zu gewährleisten, war bereits in den Firmenräumlichkeiten eine große Herausforderung. Mit der zunehmenden Verbreitung von Laptops – und vor allem angesichts der für jede Firma spezifischen Mobilitätsbedürfnisse – ist die Aufgabe noch komplexer geworden.
Der für Endgeräte gebotene Schutz darf daher nicht mehr statisch sein, sondern muss dynamisch werden – angepasst an den Kontext und an die verschiedenen Mobilitätsszenarien innerhalb der Organisation. Das bedeutet zum Beispiel, dass die zugelassenen Wi-Fi-Netzwerke kontrolliert und deaktiviert werden, wenn eine LAN-Verbindung verfügbar ist. Im Fall einer VPN-Nutzung sollte derweil jede Nicht-VPN-Verbindung verhindert werden, um Smurf-Angriffe zu vermeiden.
Auf Schutz durch Agenten setzen: mit einem verhaltensbasierten Ansatz
Es ist immer einfacher und risikoärmer, ein bösartiges Element am Eintrittspunkt (Workstation oder Server) zu identifizieren und zu stoppen, bevor es die Chance hat, sich zu verbreiten. Dies ist der Zweck eines Systems zum Schutz von Arbeitsrechnern. Herkömmliche signaturbasierte Antivirensoftware reicht nicht aus, um die immer raffiniertere Ransomware zu bekämpfen. Unbekannte Zero-Day-Angriffe werden auch nicht sofort erkannt.
Um diesen Mangel zu beheben, setzen verhaltensbasierte HIPS bei ihren Analysen auf die Ermittlung „abnormalen“ Verhaltens eines Hosts oder seiner Anwendungen. Wenn verdächtige Aktivitäten in legitimen Anwendungen entdeckt werden, löst das System sofort eine Warnung aus (oder blockiert die fraglichen Aktivitäten), um das Risiko der Ausbreitung zu begrenzen. Obwohl die Implementierung etwas komplexer ist, lässt sich das System problemlos auf jede Art von Organisation zuschneiden und ist in der Lage, unbekannte Zero-Day-Angriffe abzuwehren.
Angriffe proaktiv unterbinden und künftige Attacken antizipieren
Es ist natürlich wichtig zu wissen, wie man einen Angriff – ob bekannt oder unbekannt – unterbindet. Aber um noch einen Schritt weiterzugehen, ist es notwendig, aus diesen Attacken zu lernen, um ihnen künftig besser vorzubeugen. Dies ist eine der Aufgaben, die den EDR-Lösungen („Endpoint Detection & Response“) zugewiesen werden können: Neben der unmittelbaren Reaktion erhöht die Untersuchung von deren Protokollen – nach eingehender Analyse – die Wirksamkeit der Lösungen bei der Ermittlung von Angriffen.
In diesem Zusammenhang sind zwei Ansätze möglich. Der auf Cloud-Lösungen ausgerichtete Ansatz basiert auf dem Feedback eines Thin-Clients, der auf jedem Endgerät installiert wird und alle Vorteile der künstlichen Intelligenz bietet, wobei die Geräte selbst stets mit dem Internet verbunden sein müssen. Im Gegensatz dazu bietet eine eigenständige, Agenten-basierte Lösung einen proaktiven Echtzeitschutz für jedes Endgerät und liefert gleichzeitig Informationen, die eine weitere Analyse des Angriffs ermöglichen. Systeme von Drittanbietern sind dann in der Lage, diese Ereignisse zu berücksichtigen und sie in einem Kontext künstlicher Intelligenz zu korrelieren.
Die Sicherheit des Schutzsystems selbst gewährleisten
Das Hauptziel von Cyberangreifern sind Firmendaten. Doch auch die Sicherheitssysteme eines Unternehmens sind stark gefährdet. Wenn es nämlich Angreifern gelingt, die Schutzmechanismen zu deaktivieren – oder schlimmer noch: die erweiterten Berechtigungen dieser Lösungen auszunutzen –, steht ihnen die Tür zum Informationssystem weit offen.
Wie bei der Bereitstellung jeder Hardware sollte man auch bei Workstations und Anwendungen das Risiko eines Konfigurationsfehlers oder des Auftretens einer Schwachstelle so weit wie möglich einschränken. Dies kann mittels der Bereitstellung einer gehärteten, hochwirksamen Konfiguration realisiert werden, die der Tragweite der jeweiligen Angriffsfläche Rechnung trägt. Aufgrund der erweiterten Privilegien, die Schutzsystemen üblicherweise gewährt werden, ist deren Angriffsfläche naturgemäß groß. Daher sollte auch bei ihrer Entwicklung ein Security-by-Design-Ansatz gefördert werden.