zurück zur Übersicht

Taktiküberblick zur Endpoint Protection

Ohne abgestimmte Taktik für die Endpoint Protection hat man schnell verlorenEndpoint Protection ist so wichtig wie nie: Unternehmen sehen sich aktuell einer Unmenge von Angriffen ausgesetzt, die ganz unterschiedliche Angriffsvektoren nutzen. Schadsoftware spielt dabei eine große Rolle und die Anzahl neuer Varianten scheint in den letzten Jahren förmlich zu explodieren. Verschiedenste Methoden werden benutzt, um einer Erkennung durch Sicherheitssysteme zu entgehen. Oft werden altbekannte Schädlinge modifiziert und um Funktionen ergänzt, die eine Erkennung nahezu unmöglich machen sollen (Evasion).

Logindaten absichern

Doch oft benötigen Angreifer nicht einmal solche Hilfsmittel wie ausgefeilte Schadsoftware, um in ein Netzwerk oder System einzudringen. Laut dem aktuellen Data Breach Investigation Report (DBIR2016) der Firma Verizon werden für 62% der Angriffe schwache oder gestohlene Anmeldedaten verwendet. Ein gutes Beispiel dafür ist die kürzlich von Wouter Jansen, einem Forensikspezialisten der Firma Fox-IT, aufgedeckte Masche von Cyber-Kriminellen, vermehrt aus dem Internet erreichbare Terminalserver durch Brute-Force-Angriffe zu kompromittieren und über diese dann Ransomware an die User dieser Server zu verteilen. Die Nutzung von Mehrfaktorauthentisierung (MFA) ist eine Möglichkeit, Logindaten gegen Missbrauch zu schützen.

Wie verhalten sich Benutzer normalerweise?

Doch Unternehmen müssen sich generell damit auseinandersetzen, wie Angriffsmuster zu erkennen sind, die keinerlei Schadsoftware nutzen. Hier können Lösungen für Endpoint Protection Abhilfe schaffen, die gestützt durch maschinelles Lernen das Verhalten von Benutzern auswerten und so Anomalien erkennen, die durch einen Angriff entstehen.

Breit aufgestellte Verteidigung gegen verschiedene Bedrohungen

Endpoint Protection der nächsten Generation muss in der Lage sein, alle nachfolgend genannten Kategorien von Bedrohungen zuverlässig zu erkennen.

  • Malware (ausführbare Dateien mit böswilligen Funktionen)
    • Trojaner, Würmer, RootKits, Ransomware
    • Dateilose, speicherbasierte Schadsoftware
  • Exploits (Ausnutzung von Schwachstellen und Fehlfunktionen)
    • Dokumentenbasierte Exploits in Office-Dokumenten, PDFs oder Emails
    • Browserbasierte Exploits bei Drive-by-Downloads, in iFrames, in Browser-Plugins
  • Live Hacks
    • Script-basierte Angriffe
    • Verwendung von gestohlenen Tokens, Logindaten, Hashes
    • Verwendung spezieller Angriffstools wie Mimikatz

Analyse in Echtzeit

Dabei ist es essenziell, dass die Möglichkeit besteht, verdächtige Aktionen auf Endgeräten nachzuvollziehen und zu überprüfen, während diese vor sich gehen. Nachgelagert sind solche Analysen meist ungleich schwieriger und aufwändiger, weil große Teile des dafür notwendigen Kontextes nicht mehr vorhanden sind.

Der Malware-Lifecycle

Gelangt Malware auf einen Rechner, lässt sich deren Lebenszyklus in 3 Phasen einteilen: Pre-Execution, On-Execution und Post-Execution. Moderne Endpoint-Protection-Lösungen müssen alle 3 Phasen adressieren.
In der Pre-Execution-Phase ist es möglich, die Angriffsfläche deutlich zu reduzieren, indem bekannte Schadsoftware blockiert wird und die Ausführung von Dateien bestimmten Policies (Blacklisting, Whitelisting) unterworfen wird. Beispielweise kann hier festgelegt werden, in welchen Pfaden überhaupt Dateien ausgeführt werden dürfen.

Während der Ausführung (On-Execution) können moderne Schutzlösungen einen Prozess mittels dynamischer Verhaltensanalyse beobachten und eingreifen, wenn dieser verdächtige Aktionen ausführt. Damit kann auch Malware erkannt werden, die auf Netzwerkebene nicht erkannt wurde oder einer Erkennung in einer sandboxbasierten Lösung entgehen konnte.

Wurde eine Bedrohung erkannt (Post-Execution), ist es notwendig die weitere Verbreitung zu verhindern, denn meist können die genutzten Angriffsvektoren nicht zeitnah final blockiert werden, so dass entsprechende kompensierende Maßnahmen notwendig sind. Je höher dabei der Automatisierungsgrad, desto schneller können diese Maßnahmen ergriffen werden. Wurde beispielsweise eine neuartige Schadsoftwarevariante in der On-Execution-Phase auf einem Rechner identifiziert, können automatisiert für die betreffenden Dateien Hashes erstellt werden und auf andere Endpoints und netzwerkbasierte Schutzsysteme verteilt werden, um diese zu blockieren bevor sie auf weiteren Rechnern ausgeführt werden.

Wissen bündeln mit Threat Intelligence

Um Angriffe gezielt abwehren zu können muss man heute auf entsprechende Informationen zugreifen können, die verlässlich darüber Auskunft geben, welche Angreifer gerade welche Systeme und Methoden nutzen, um Attacken auszuführen. Threat Intelligence heißt das Zauberwort und idealerweise ist diese Funktion direkt in die Security-Lösungen integriert und sorgt so dafür, dass kontinuierlich Daten zu aktuellen Bedrohungen ausgetauscht werden. So bleibt die Endpoint Protection immer auf dem neuesten Stand.

Möchten auch Sie Ihre Verteidigung fit machen für die aktuelle Gefahrenlage? Kontaktieren Sie uns, wir beraten Sie gern!

Schreibe einen Kommentar