Denys Rudyi - Fotolia

Advanced Endpoint Security: Technologien für mehr Sicherheit

Weil traditionelle Sicherheitsmaßnahmen längst nicht mehr ausreichen, lassen sich viele Clients mit geringem Aufwand kompromittieren.

Cyberkriminelle scheinen leichtes Spiel zu haben: Wie eine Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt, waren ein Drittel aller deutschen Unternehmen in den vergangenen sechs Monaten von Ransomware betroffen. Auch Advanced Persistent Threats sind immer häufiger erfolgreich. Dies zeigt, wie verwundbar viele Unternehmen sind – obwohl sie Sicherheitsvorkehrungen getroffen haben. Das Problem: Traditionelle Schutzmaßnahmen stoßen immer häufiger an ihre Grenzen.

Anders als früher erfolgen Angriffe heutzutage mit maßgeschneidertem Schadcode. Virenschutzlösungen mit Signaturerkennung oder Firewalls können vor diesen Attacken nicht ausreichend schützen. Im Fokus der Angriffe stehen häufig Clients, Desktops oder Notebooks, weil sie im Gegensatz zu Tablets oder Smartphones unbegrenzten Zugriff in die Unternehmensnetze haben.

Dabei nutzen Angreifer bekannte Schwachstellen der am häufigsten genutzten Anwendungen: Browser mit ActiveX, Flash und Java, Adobe Reader und Microsoft Office. Viele dieser Angriffe lassen sich bereits mit einem guten Patch-Management verhindern. Allerdings birgt auch ein optimal gepatchter Client Risiken, denn Angreifer nutzen immer häufiger nicht veröffentlichte Schwachstellen, für die keine Patches existieren. Diesen Zero-Day-Exploits sind Clients mit traditionellen Sicherheitsmaßnahmen schutzlos ausgeliefert, oft werden die Angriffe nicht einmal bemerkt.

Neue Denkweise: Assume Breach

Diese Situation führt dazu, dass jedes Unternehmen individuell definieren muss, mit welcher Intensität es Widerstand leisten will. Um das festzulegen, sollten Unternehmen die Bewertung einer potenziellen Schadenshöhe eines Angriffs und den Wert potenziell gestohlener Daten heranziehen.

Darüber hinaus ist zu berücksichtigen, wie Clients innerhalb eines Unternehmens integriert sind. Bei einer Architektur, in der Clients Bestandteil der Unternehmensinfrastruktur sind, eröffnet ein kompromittierter Client Cyberkriminellen deutlich mehr Möglichkeiten als eine Architektur, bei der Clients lose an das Unternehmen gekoppelt sind

Grundsätzlich sollten Unternehmen immer davon ausgehen, dass Clients bereits kompromittiert sind (Assume Breach). Daher sind unbedingt Maßnahmen erforderlich, die einen Angriff erkennen und eine Ausbreitung auf andere Systeme erschweren. Zudem müssen die Methoden gegen zielgerichtete Angriffe schützen, sich bestmöglich mit bestehenden Lösungen integrieren lassen und die Bedürfnisse der Anwender berücksichtigen.

Vorbereitung und Planung ist wichtig

Um Clients vor zielgerichteten Attacken zu schützen, ist eine umfassende Vorbereitung notwendig. Zwingende Voraussetzung hierfür: Clients und Anwendungen müssen bekannt sein. Daher beginnt die Vorbereitung mit der Definition des Ist-Zustands. Hier hilft eine Inventarliste aller Clients und aller installierten Anwendungen – inklusive der Schatten-IT. Ergänzt wird dies durch den Soll-Zustand, der alle erlaubten Anwendungen definiert. Diese Auswahl wird mit dem „Ist“ aus der Inventarliste abgeglichen und Abweichungen werden behoben.

Um eine geeignete Auswahl von Schutzmaßnahmen und eine Schutzbedarfsfeststellung zu treffen, werden die Clients nach Typen und Gruppen sortiert (Administratoren, Entwicklungsabteilungen oder mobile Clients mit Remote-Zugängen etc.). Zudem ist ein Review bestehender Sicherheitsprodukte sinnvoll, insbesondere für die eingesetzten Virenschutzlösungen. Grundvoraussetzung für wirksame Advanced Endpoint Security sind sauber aufgesetzte Prozesse und klare Zuständigkeiten.

Advanced Endpoint Security

Im Gegensatz zu klassischen Sicherheitsarchitekturen gehören zu modernen Architekturen neben präventiven auch detektive und reaktive Maßnahmen. Moderne präventive Maßnahmen hindern einen Schadcode bei der Zulieferung zum Client, an der Ausnutzung einer Schwachstelle oder an der Installation. Zu den präventiven Maßnahmen zählen Exploit Mitigation, Anwendungsisolation sowie Application Control und Privilege Management.

Exploit Mitigation (EM) erschwert es, Speicherbereiche zu überschreiben und Code des Angreifers auszuführen; dadurch lassen sich einfache Exploit-Techniken nicht nutzen. Da sich diese Methode zudem auf die Exploit-Techniken selbst stützt, ist sie auch gegen Zero-Day-Angriffe wirksam.

Application Containment

Application Containment gehört ebenfalls zu den präventiven Methoden. Dabei läuft eine Applikation in einem isolierten Kontext, so dass sich der Schadcode ebenfalls nur in einem isolierten Kontext einnisten kann und keine weiteren Auswirkungen hat. Application Containment wird für Browser und Anwendungen (Textverarbeitung, Office und Adobe Reader) eingesetzt, die Daten aus dem Internet verarbeiten. Bekannte Techniken sind Remote-Controlled Browsers Systems (RECOBS), Browser-Virtualisierung und Sandboxing. Für Applikationen, die Nutzer selbst installiert haben, bietet diese Methode jedoch keinen Schutz.

Mikro-Virtualisierung

Ein noch recht neuer, aber vielversprechender Ansatz des Application Containments ist die Mikro-Applikations-Virtualisierung. Dabei greifen Anwendungen nicht direkt auf das Betriebssystem zu, sondern über die Hardware-Virtualisierung des Prozessors. Sie werden also vollständig vom Client isoliert, so dass die Auswirkungen von Malware verhindert werden. Der große Vorteil daran: Anwender können sorglos jede Datei öffnen, die sie per E-Mail empfangen oder sich aus dem Internet herunterladen.

Application Control und Privilege Management

Auch Application Control und Privilege Management haben präventive Wirkung. Dabei lässt sich mit verschiedenen Regelsätzen Application Whitelisting konfigurieren. Basis hierfür ist die Client-Virtualisierung und die Einschränkung der Nutzerrechte. Durch Client-Privilege-Management-Lösungen lassen sich Administrationsrechte dediziert einsetzen. Durch die Kombination der Nutzerrechte und Applikationskontrolle erhöht sich die Widerstandsfähigkeit gegen zielgerichtete Angriffe.

Detektion: Zielgerichtete Angriffe erkennen

Maßnahmen mit detektiver Wirkung entdecken einen Schadcode anhand bestimmter Eigenschaften oder seines Verhaltens – nachdem er sich festgesetzt hat. Für die Erkennung von zielgerichteten Angriffen, die über das Unternehmensnetzwerk eindringen, eignen sich netzwerkbasierte Malware-Protection-Systeme (NMPS) besonders gut. Hierbei wird die Client-Kommunikation im Netzwerk abgegriffen und Inhalte mit unbekanntem Vertrauensstatus geprüft. Dazu wird eine Sandbox als virtueller Client genutzt. Zusätzlich kann der ausgehende Verkehr zum Internet auf potenzielle Kommunikation mit einem Command & Control Center oder auf ungewöhnlich hohe Datenaufkommen untersucht werden.

„Unternehmen müssen zum Schutz vor Cyberattacken eine umfassende Strategie für Advanced Endpoint Security verankern. Einen 100-prozentigen Schutz gibt es aber nicht.“

Carsten Dibbern, Computacenter

xxx

Eine weitere detektive Methode ist Endpoint Threat Detection and Response. Sie bündelt verschiedene Funktionen in unterschiedlichen Ausprägungen, um die Detektion von Schadcode am Client zu unterstützen. Diese wurden als Kernel-Modul entwickelt und sind daher für Applikationen unsichtbar. EDTR-Tools bieten Funktionen wie Verhaltensanalyse, Endpoint-Forensik, Endpoint Containment und Endpoint Remediation zur Wiederherstellung eines Clients.

UEBA – auffälliges Verhalten erkennen

Mit UEBA-Lösungen (User and Entity Behavior Analytics) lassen sich ebenfalls kompromittierte Clients erkennen. Diese detektive Maßnahme setzt nicht am Client an, sondern nutzt die Tatsache, dass Angreifer im Netz und in der IT-Infrastruktur Spuren hinterlassen – denn Angreifer verhalten sich von Natur aus anders als Nutzer. UEBA-Lösungen erkennen mit „Machine Learning“ und statistischer Analyse Auffälligkeiten. Dabei gibt es zwei verschiedene Varianten.

Die eine Variante analysiert Netflow-Daten im Netzwerk, die andere nutzt bestehende Logdaten im Security Information and Event Management (SIEM). Durch die enormen Fortschritte in der Datenanalyse können Analysen durchgeführt werden, die über die bisherigen statischen Korrelationen von bekannten Angriffsmustern weit hinausgehen. Das besondere an UEBA ist, dass es auch dann Angreifer erkennen kann, wenn alle anderen detektiven und präventiven Maßnehmen überwunden wurden – damit passt diese Methode ideal zum Security-Paradigma Assume Breach.

Fazit

Nur wenn Unternehmen eine umfassende Strategie für Advanced Endpoint Security im Unternehmen verankern, die sowohl aus präventiven als auch detektiven und reaktiven Komponenten besteht, sind sie vor aktuellen Cyberattacken geschützt. Eines bleibt dabei aber Fakt: Einen 100-prozentigen Schutz gibt es nicht.

Über den Autor:
Carsten Dibbern ist Solution Manager Secure Information bei Computacenter.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close