Advanced Endpoint Security - Von der Kür zur Pflicht

Cyber-Kriminelle nutzen Schwachstellen von Applikationen aus, um Schadsoftware zu platzieren - ganz einfach über Dokumente als E-Mail-Anhang oder über eine infizierte Webadresse. Häufig betroffen: Browser mit ActiveX, Flash und Java, Adobe Reader und Microsoft Office.

Wer ein gutes Patch-Management betreibt, kann viele dieser Attacken verhindern. Allerdings kann auch ein perfekt gepatchter Client durch Ausnutzung noch nicht veröffentlichter Schwachstellen angegriffen werden. Klassischer Virenschutz hilft hier nicht weiter, da Angreifer den Schadcode zielgerichtet für Angriffe ändern und somit die Signaturen noch nicht im Virenschutz enthalten sein können.

Um sich an die neue Bedrohungslandschaft anzupassen, müssen sich Unternehmen entscheiden, mit welcher Intensität sie Angriffe bekämpfen wollen und können. Dazu sind die mögliche Schadenshöhe einer Attacke und der Wert der potenziell gestohlenen Daten zu bewerten. Die grundlegende Annahme sollte immer sein, dass ein 100-prozentiger Schutz nicht erreicht werden kann (Assume Breach).

Folglich müssen Maßnahmen implementiert werden, die auch einen erfolgreichen Angriff erkennen können und eine Ausbreitung auf andere Systeme erschweren. Gleichzeitig sollten die Schutz-Methoden vor zielgerichteten Angriffen schützen, sich bestmöglich mit bereits existierenden Lösungen integrieren lassen und die Bedürfnisse der Nutzer berücksichtigen.

Klare Prozesse und Zuständigkeiten

Um sich vor zielgerichteten Angriffen zu schützen, bedarf es einer umfassenden Planung. Diese setzt voraus, dass Clients und Applikationen bekannt sind. Deshalb sollte zunächst der Ist-Zustand definiert werden, wobei eine Inventarliste aller Clients und Anwendungen (inklusive Schatten-IT) hilfreich ist. Außerdem ist der Soll-Zustand festzulegen, der alle erlaubten Anwendungen beinhaltet. Ist und Soll werden regelmäßig abgeglichen, und Abweichungen behoben.

Die Clients werden nach Typen und Gruppen sortiert (Administratoren, Entwicklungsabteilungen, mobile Clients mit Remote-Zugängen etc.) und die eingesetzten Sicherheitsprodukte überprüft. Last but not least ist eine Advanced Endpoint Security nur wirksam, wenn auch klare Prozesse und Zuständigkeiten für Clients und Schadcode-Meldungen existieren.

Gute Grundlage: präventive Maßnahmen

Eine moderne Sicherheitsarchitektur besteht aus präventiven, detektiven und reaktiven Maßnahmen. Präventive Maßnahmen verhindern, dass ein Schadcode bei der Zulieferung zum Client Schwachstellen ausnutzen oder sich installieren kann. Das kann mit verschiedenen Wirkweisen erreicht werden:

• Exploit Mitigation (EM) sorgt dafür, dass sich Speicherbereiche nicht überschreiben lassen und sich dadurch Code des Angreifers nicht ausführen lässt - so können Exploit-Techniken der Ersteller von Schadcode nicht genutzt werden. Diese Methode stützt sich selbst auf die Exploit-Techniken und ist daher auch ein wirksamer Schutz gegen Zero-Day-Angriffe.

• Bei der Applikation-Isolation läuft eine Applikation in einem isolierten Kontext. Der Schadcode kann sich so nur in dem isolierten Kontext einnisten und hat keine weiteren Auswirkungen auf den Client. Es wird für Browser sowie Anwendungen wie Office und Adobe Reader eingesetzt, die Daten aus dem Internet verarbeiten und damit hohen Gefahren ausgesetzt sind.
  
  Besonders trickreich ist der Ansatz der Micro-Applikationsvirtualisierung. Hier greifen Applikationen nicht direkt, sondern über eine Hardware-Virtualisierung des Prozessors auf das Betriebssystem zu. Durch die Nutzung von Prozessorfunktionalitäten gibt es kaum Einschränkungen in der Leistung des Rechners. Die kritischen Anwendungen - und damit auch potentielle Malware - sind vollständig vom Client isoliert. Das große Plus daran: Nutzer können jede beliebige Datei sorglos öffnen.

• Mit Application Control und Privilege Management lässt sich mit verschiedenen Regelsätzen Application Whitelisting konfigurieren. Dieser Ansatz basiert auf Client-Virtualisierung und eingeschränkten Nutzerrechten. Mit Client-Privilege-Management-Lösungen können Administrationsrechte dediziert eingesetzt werden, die Kombination der Nutzerrechte und Applikationskontrolle sorgt für eine höhere Widerstandsfähigkeit gegen zielgerichtete Angriffe.

Detektive Methoden erkennen zielgerichtete Attacken

Detektive Methoden erkennen einen Schadcode anhand bestimmter Eigenschaften oder seines Verhaltens, wenn er sich bereits festgesetzt hat:

• Netzwerkbasierte Malware-Protection-Systeme (NMPS) erkennen zielgerichtete Angriffe, die über das Unternehmensnetzwerk erfolgen. Dabei wird die Client-Kommunikation im Netzwerk abgegriffen, Inhalte mit unbekanntem Vertrauensstatus in einem virtuellen Client ausgeführt und das Verhalten analysiert.
  
  Die meisten NMPS-Lösungen verfügen mittlerweile auch über Client-Agenten, so dass auch von dort unbekannte Dateien abgegriffen und geprüft werden können. Zusätzlich lässt sich ausgehender Verkehr vom Client zum Internet auf potenzielle Kommunikation mit einem Command & Control Center oder auf ungewöhnlich hohe Datenaufkommen untersuchen.

• Endpoint Threat Detection and Response (ETDR) bündelt verschiedene Funktionen in unterschiedlichen Ausprägungen, um die Detektion von Schadcode am Client zu unterstützen. Sie ist als Kernel-Modul entwickelt und für Applikationen unsichtbar. Zu den Funktionen von EDTR-Tools gehören Verhaltensanalyse, Endpoint-Forensik oder Endpoint Remediation zur Wiederherstellung eines Clients. Sie dienen Experten der Cyber Threat Analyse als Werkzeug.

• User and Entity Behavior Analytics (UEBA)-Lösungen haben Angreifer im Fokus, die bereits im Netz sind und Clients kompromittiert haben. Sie machen sich zunutze, dass Cyber-Kriminelle im Netz und in der IT-Infrastruktur Spuren hinterlassen. UEBA-Lösungen verwenden "Machine Learning" und moderne statistische Analysen, um Auffälligkeiten festzustellen. Während eine Variante Netflow-Daten im Netzwerk als Quelldaten verwendet, nutzt die andere bestehende Logdaten im SIEM (Security Information and Event Management).
  
  Es lassen sich so Analysen durchführen, die über die bisherigen statischen Korrelationen von bekannten Angriffsmustern hinausgehen. Größter Vorteil von UEBA ist, dass die Methode Angreifer auch erkennt, wenn alle anderen Maßnahmen überwunden wurden und passt daher perfekt zum Security-Paradigma Assume Breach.

Fazit

Einen 100prozentigen Schutz vor Cyber-Angriffen wird es nicht geben. Doch mit einer durchdachten Strategie für Advanced Endpoint Security, die präventive, detektive und reaktive Komponenten beinhaltet, sind Unternehmen gut gegen Attacken gerüstet. (rw)