2018-06-09 07:23:18

Endpunktsicherheit auf dem Prüfstand

Was herkömmliches Antivirus nicht leisten kann – und wie sich effektive Endpunktsicherheit messen lässt...

Unternehmen kämpfen darum, sich vor Sicherheitsverletzungen zu schützen. Sie implementieren verschiedene Sicherheitstools und -lösungen, um ihre Netzwerke, Anwendungen, Clouds und Endpunkte zu schützen. Sie bemühen sich um die Einhaltung von Vorschriften. Ihre Sicherheitsteams durchkämmen scheinbar endlose Sicherheitswarnungen. Dennoch gibt es eine stetige Zunahme erfolgreicher Cyberangriffe. Palo Alto Networks nimmt die Sicherheit der Endpoints unter die Lupe, die vielerorts noch in den Händen von Antivirus-Lösungen liegt.

Während sich die Bedrohungen und Angreifer weiterentwickelt haben, war dies bei vielen Sicherheitslösungen eher nicht der Fall war. Die aktuellen Bedrohungen sind ausgefeilter, automatisierter, billiger in der Ausführung und können verschiedene Formen annehmen. Die Angreifer agieren in größerem Stil und mit höherem Tempo. Darauf sind viele Unternehmen nicht vorbereitet. All dies hat sich nach Meinung von Palo Alto Networks in den vergangenen Jahren verschärft, während viele Sicherheits-Tools, -Lösungen und -Plattformen dieselben Praktiken wie vor Jahrzehnten beibehalten haben. Antivirus ist ein perfektes Beispiel dafür, das sich ein Ansatz zunehmend als ungeeignet für den Schutz der Systeme vor Sicherheitsverletzungen erweist. 

Im Folgenden sind die vier wichtigsten Anforderungen aufgeführt, die von Antivirus nicht angegangen werden, die aber eine effektive Endpunktsicherheitslösung abdecken sollte:

1. Cybersicherheitsvorfälle nehmen zu, ohne dass ein Ende in Sicht ist.

Um Sicherheitslücken und Datenverluste einzudämmen, implementieren Unternehmen eine Reihe von Sicherheitslösungen auf den Endpunkten. Unglücklicherweise haben diese Lösungen und insbesondere traditionelle Antivirenprodukte mit dem Schutz der Unternehmenssysteme zu kämpfen – und scheitern oft daran. Dies hat zu einer Zunahme der Häufigkeit, Vielfalt und Komplexität von Sicherheitsverletzungen geführt.

Die Sicherheitsbranche konzentriert sich in erster Linie auf die Verbesserung der Erkennungs- und Reaktionszeit, was dazu führt, dass nur das Fenster vom Zeitpunkt eines Angriffs bis zum Zeitpunkt der Erkennung eines Angriffs eingegrenzt wird. Dies trägt wenig zur Notwendigkeit bei, wertvolle Daten zu schützen, bevor ein Unternehmen einen Sicherheitsvorfall erleidet. Um die Häufigkeit und die Auswirkungen von Sicherheitsvorfällen zu verringern, muss eine Verlagerung stattfinden: weg von der nachträglichen Erkennung und Reaktion auf Vorfälle, nachdem kritische Ressourcen bereits kompromittiert wurden, und hin zur Prävention. Es gilt zu verhindern, dass es die Angreifer und Bedrohungen überhaupt schaffen, ins Unternehmen einzudringen.

2. Antivirus-Lösungen verhindern nicht eine Zunahme erfolgreicher Cyberangriffe.

Angreifer verwenden oft kostenlose und kostengünstige Tools, um neue und einzigartige, verschlüsselte oder polymorphe Malware zu generieren, die die Erkennung durch herkömmliche signaturbasierte Antiviren-Programme umgehen kann. Angriffe, die unbekannte Exploits und Zero-Day-Exploits nutzen, sind in der Lage, dem Antiviren-Schutz auszuweichen. Um sich vor solchen Techniken zu schützen, muss eine effektive Endpunktsicherheitslösung in der Lage sein, die Endpunkte vor bekannter und unbekannter Malware und Exploits in der Kernphase des Angriffs zu schützen.

3. Immer mehr mobile Benutzer verlangen von Unternehmen, dass Endpunkte außerhalb des herkömmlichen Netzwerkumfangs gesichert werden.

Unternehmen nutzen Cloud-basierte Software-as-a-Service- (SaaS) und Speicherlösungen, um sich mit internen Ressourcen von überall auf der Welt innerhalb und außerhalb des Netzwerkbereichs des Unternehmens zu verbinden. Diese Dienste und Lösungen synchronisieren und verteilen Dateien unternehmensweit, wodurch sie die Verarbeitung und gemeinsame Nutzung von Daten im Unternehmen optimieren. Sie belasten aber möglicherweise auch das gesamte Unternehmen mit Malware und Exploits. Zu dieser Gefährdung tragen in SaaS-Anwendungen Bedrohungen wie Malware-Verteilung, versehentliche Offenlegung von Daten und Exfiltration bei.

Cyberangriffe zielen auf Endbenutzer und Endpunkte dort ab, wo das Netzwerk nicht vollständig überwachbar ist, sodass Mitarbeiter außerhalb des Unternehmensnetzwerks häufiger auf Malware stoßen. Um diese Bedrohungen zu bewältigen, muss die Endpunktsicherheit auch die Systeme jenseits des herkömmlichen Netzwerkperimeters schützen.

4. Unternehmen haben Probleme mit dem Patch-Management und dem Schutz von End-of-Life-Software und -Systemen.

Mit Schwachstellen in Anwendungen und Systemen ist stets zu rechnen. Das Problem ist, dass Schwachstellen lange vor der Veröffentlichung von Patches existieren und die Implementierung von Patches, kritisch oder nicht, nicht garantiert ist. Darüber hinaus sind Unternehmen, die Altsysteme und Software einsetzen, die das Ende ihrer Nutzungsdauer erreicht haben, besonders anfällig, da Sicherheits-Patches nicht mehr verfügbar sind. Dadurch können diese Unternehmen Risiken ausgesetzt sein, die unbekannt und schwer in den Griff zu bekommen sind.

Situationen wie diese stellen Angreifer vor die Möglichkeit, diese Schwachstellen zu nutzen und ungepatchte Anwendungen und Systeme zu kompromittieren. Mit der wachsenden Anzahl von Software-Schwachstellen, die jeden Tag entdeckt werden, und mit Exploit-Kits, die auf dem Untergrundmarkt verfügbar sind, haben selbst „Hobby-Angreifer“ die Fähigkeit, hoch entwickelte Angriffe zu starten. Um nicht-gepatchte oder veraltete Systeme und Software zu schützen, ist eine effektive Sicherheitslösung erforderlich, die sowohl bekannte als auch unbekannte Bedrohungen abwehrt.

Drei Möglichkeiten, um Endpunktsicherheit zu messen

Unternehmen sollten nach Meinung von Palo Alto Networks Sicherheitsprodukte auswählen, die sowohl hinsichtlich ihrer Gesamtbetriebskosten als auch ihrer Sicherheitseffektivität überzeugen. Diese Effektivität wird anhand der Fähigkeit der Technologie gemessen, mindestens diese drei Kernfunktionen zu erfüllen:

  1. Performance der beabsichtigten Funktion

Liefert die Technologie die Sicherheitsfunktion, die sie ausführen soll?

Zwei primäre Angriffsvektoren werden verwendet, um Endpunkte zu kompromittieren: schädliche,  ausführbare Dateien (Malware) und Schwachstellen-Exploits. Effektive Endpunktsicherheitsprodukte müssen dafür sorgen, dass Endpunkte und Server von Malware und Exploits nicht kompromittiert werden. Sie müssen ebenso sowohl bekannte als auch unbekannte Varianten von Malware und Exploits verhindern.

  1. Inhärente Persistenz

Verhindert die Lösung, dass Angreifer und Benutzer seine Sicherheitsfunktionen umgehen?

Kein Sicherheitstool oder keine Sicherheitstechnologie ist konzipiert, um leicht umgangen werden zu können. Wenn Angreifer oder Endbenutzer die beabsichtigte Funktion der Technologie dennoch umgehen können, erfüllt sie nicht ihren eigentlichen Zweck. Eine effektive Endpunktsicherheitsplattform sollte es Angreifern weder erlauben, die Sicherheit zu umgehen noch Performanceprobleme verursachen, die Benutzer dazu bringen könnten, sie zu deaktivieren.

  1. Flexibilität

Wird die Technologie weiterentwickelt, um neue Anwendungen, Systeme und Plattformen abzudecken und zu schützen?

Vor einigen Jahrzehnten war die Häufigkeit und Komplexität von Cyberangriffen eher gering. Endpunktsicherheitstools wurden entwickelt, um zu verhindern, dass Viren die Systeme infizieren. Die heutige Bedrohungslandschaft ist jedoch radikal anders und hat Endpunktsicherheitstools wie Antivirenprogramme auf reaktive Tools für die Erkennung und Reaktion reduziert.

Sicherheitsprodukte müssen einen proaktiven Ansatz verfolgen, um Endpunkte angemessen zu schützen. Um die Häufigkeit und die Auswirkungen von Cybersicherheitsverletzungen zu verringern, muss der Schwerpunkt nach Meinung von Palo Alto Networks auf Prävention gelegt werden.

Unternehmen sollten Sicherheitsprodukte auswählen, die ein Höchstmaß an Sicherheit bieten. Die Effektivität einer Sicherheitslösung lässt sich daran ablesen, ob sie die drei oben genannten Anforderungen erfüllen kann. Eine moderne Endpunktschutzlösung ist dazu in der Lage und damit geeignet, die zuvor genannten vier Sicherheitsherausforderungen in Unternehmen problemlos zu bewältigen.

mat

Druckversion

Zum Thema

  • 2018-06-09

    Management von SSH-Schlüssel

    Wie implementieren und verwalten Handelsunternehmen Secure Shell (SSH)? Mehr als 100 IT-Sicherheitsspezialisten aus der Handelsbranche haben bei der Umfrage von Venafi mitgemacht, die eine mangelnde Kenntnis der SSH Security Controls enthüllt.  mehr

  • 2018-06-08

    Malware versteckt sich in verschlüsseltem Traffic

    Der Cisco Annual Cybersecurity Report 2018 (ACR) zeigt, dass sich die verschlüsselte Netzwerk-Kommunikation innerhalb von 12 Monaten mehr als verdreifacht hat. Dies gilt insbesondere für Malware. Zudem nutzen Cyberkriminelle zunehmend Cloud-Services und IoT-Botnetze für ihre Angriffe. Security-Verantwortliche sind gefordert, bestehende Systeme umfassender abzusichern. Dafür setzen schon heute mehr als ein Drittel der Befragten auf Automation, Künstliche Intelligenz (KI) und Maschinelles Lernen (ML) – das Vertrauen sowie die Investitionsbereitschaft wächst.  mehr

  • 2018-06-06

    Die letzte Verteidigungslinie

    Endpoint-Detection and Response (EDR) verspricht die Entdeckung von ausgefeilten Angriffen, die IT-Security-Lösungen nicht verhindern konnten. Mit einem neu entwickelten Ansatz der Verbindung von EDR mit Endpoint-Security können Unternehmen gegen "das letzte Prozent" möglicher IT-Bedrohungen vorgehen.  mehr

  • 2018-03-01

    USA-Zugriff auf Daten in Europa

    Der Oberste Gerichtshof der Vereinigten Staaten steht vor einem wegweisenden Urteil, mit dem er nach dem Willen der US-Regierung tief in den europäischen Datenschutz eingreifen würde. Im Februar 2018 entscheidet er darüber, ob eine US-Behörde von Unternehmen direkten Zugriff auf Personendaten verlangen kann, die außerhalb der USA gespeichert sind.  mehr

  • 2018-06-08

    Weiterer Anstieg bei Cryptomining-Malware

    Check Points Global Threat Index im Januar zeigt, dass die rasante Verbreitung von Cryptomining-Malware Unternehmen schwer zu schaffen macht Check Point stellt in der Auswertung seines monatlichen Global Threat Index fest, dass Cryptomining-Malware Unternehmen in aller Welt betrifft. Der Kryptominer-Schädling Coinhive war demnach für 23 Prozent aller Infektionen verantwortlich.  mehr

  • 2018-06-08

    Immer mehr Microsoft-Sicherheitslücken

    Avecto hat zum fünften Mal seinen jährlichen Bericht zu Microsoft-Schwachstellen veröffentlicht. Er basiert auf einer Untersuchung sämtlicher 2017 gemeldeter Microsoft-Schwachstellen und zeigt, dass deren Zahl beträchtlich gestiegen ist.  mehr

  • 2018-06-08

    Regierungswebsite für illegales Mining gekapert

    Ausgerechnet die Website des „Information Comissioner´s Office“ (ICO) der britischen Regierung wurde Opfer einer illegalen Crypto-Cash-Kampagne. Nach Hinweisen, dass Hacker die Rechner von Besuchern der Website angreifen um illegales Mining von Kryptogeld zu starten, wurde der Internetauftritt des ICO vom Netz genommen.  mehr

  • 2018-06-08

    Jeder Vierte fürchtet Kamera-Spione

    27 Prozent der Nutzer von Computern und Smartphones verdecken ihre Kamera Versteckte Beobachter in den eigenen vier Wänden zu haben – eine Horrorvorstellung für die meisten Menschen. Für Cyberkriminelle bieten Kameras in Computern und Handy genau das: ein mögliches Einfallstor, um Personen auszuspionieren.  mehr

  • 2018-06-06

    Top 10 Sicherheitstipps für die Public Cloud

    Kostenfokussierte Abteilungen in Unternehmen fordern die Verlagerung in die öffentliche Cloud, während das IT-Sicherheitsteam potenzielle Sicherheitsrisiken sieht und versucht, die Kontrolle nicht zu verlieren.  mehr

  • 2018-06-08

    Wenn Angreifer Admin-Tools für Cyberattacken missbrauchen

    Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk besteht darin, dass sich ihr Verhalten an das normale Benutzerverhalten anpasst. Angreifer suchen als erstes nach den Netzwerk-Admin-Tools, da diese standardmäßig vertrauenswürdig sind. Vectra, Experte für automatisierte Sicherheitsanalytik durch künstliche Intelligenz und maschinellem Lernen, beschreibt, wie der Missbrauch von Admin-Tools dennoch enttarnt werden kann.  mehr