Traditionelle Sicherheitsmaßnahmen reichen nicht aus

Advanced Endpoint Security - Von der Kür zur Pflicht

31.05.2019 von Carsten Dibbern
Cyber-Kriminalität ist alltäglich geworden. Im Mittelpunkt vieler Attacken stehen Clients, Desktops oder Notebooks. Das hat einen einfachen Grund: Unternehmensclients verfügen über Zugriff auf die Unternehmensnetze, verarbeiten Daten aus dem Internet und nutzen Anwendungen, die aufgrund ihrer Komplexität über Fehler im Programmcode verfügen.
Die meiste Gefahr droht von den Endpoints
Foto: Computacenter

Cyber-Kriminelle nutzen Schwachstellen von Applikationen aus, um Schadsoftware zu platzieren - ganz einfach über Dokumente als E-Mail-Anhang oder über eine infizierte Webadresse. Häufig betroffen: Browser mit ActiveX, Flash und Java, Adobe Reader und Microsoft Office.

Wer ein gutes Patch-Management betreibt, kann viele dieser Attacken verhindern. Allerdings kann auch ein perfekt gepatchter Client durch Ausnutzung noch nicht veröffentlichter Schwachstellen angegriffen werden. Klassischer Virenschutz hilft hier nicht weiter, da Angreifer den Schadcode zielgerichtet für Angriffe ändern und somit die Signaturen noch nicht im Virenschutz enthalten sein können.

Traditionelle Sicherheitsmaßnahmen reichen nicht aus
Foto: Computacenter

Um sich an die neue Bedrohungslandschaft anzupassen, müssen sich Unternehmen entscheiden, mit welcher Intensität sie Angriffe bekämpfen wollen und können. Dazu sind die mögliche Schadenshöhe einer Attacke und der Wert der potenziell gestohlenen Daten zu bewerten. Die grundlegende Annahme sollte immer sein, dass ein 100-prozentiger Schutz nicht erreicht werden kann (Assume Breach).

Folglich müssen Maßnahmen implementiert werden, die auch einen erfolgreichen Angriff erkennen können und eine Ausbreitung auf andere Systeme erschweren. Gleichzeitig sollten die Schutz-Methoden vor zielgerichteten Angriffen schützen, sich bestmöglich mit bereits existierenden Lösungen integrieren lassen und die Bedürfnisse der Nutzer berücksichtigen.

Klare Prozesse und Zuständigkeiten

Um sich vor zielgerichteten Angriffen zu schützen, bedarf es einer umfassenden Planung. Diese setzt voraus, dass Clients und Applikationen bekannt sind. Deshalb sollte zunächst der Ist-Zustand definiert werden, wobei eine Inventarliste aller Clients und Anwendungen (inklusive Schatten-IT) hilfreich ist. Außerdem ist der Soll-Zustand festzulegen, der alle erlaubten Anwendungen beinhaltet. Ist und Soll werden regelmäßig abgeglichen, und Abweichungen behoben.

Wirksame Security-Lösungen sind gefragt
Foto: Computacenter

Die Clients werden nach Typen und Gruppen sortiert (Administratoren, Entwicklungsabteilungen, mobile Clients mit Remote-Zugängen etc.) und die eingesetzten Sicherheitsprodukte überprüft. Last but not least ist eine Advanced Endpoint Security nur wirksam, wenn auch klare Prozesse und Zuständigkeiten für Clients und Schadcode-Meldungen existieren.

Gute Grundlage: präventive Maßnahmen

Eine moderne Sicherheitsarchitektur besteht aus präventiven, detektiven und reaktiven Maßnahmen. Präventive Maßnahmen verhindern, dass ein Schadcode bei der Zulieferung zum Client Schwachstellen ausnutzen oder sich installieren kann. Das kann mit verschiedenen Wirkweisen erreicht werden:

Detektive Methoden erkennen zielgerichtete Attacken

Detektive Methoden erkennen einen Schadcode anhand bestimmter Eigenschaften oder seines Verhaltens, wenn er sich bereits festgesetzt hat:

Fazit

Einen 100prozentigen Schutz vor Cyber-Angriffen wird es nicht geben. Doch mit einer durchdachten Strategie für Advanced Endpoint Security, die präventive, detektive und reaktive Komponenten beinhaltet, sind Unternehmen gut gegen Attacken gerüstet. (rw)