Endpoint Security ist mehr als nur Antivirus!

gepostet am 05.10.2016 von

Sie nutzen eine Antivirus Lösung? Gut! Doch reicht das denn schon aus? Heute gibt es zunehmend mehr Angriffsvektoren als der gute, alte Virus. Es gibt komplizierte Angriffe, die sich aus vielen kleinen Angriffen zusammensetzen. Zum Beispiel die sogenannten "Advanced Persistent Threats" oder zu deutsch "fortgeschrittene, andauernde Bedrohung".

Sie sind aufgrund ihrer Beschaffenheit meist schwer zu erkennen. Eine signaturbasierte Antivirus Lösung ist hier meist chancenlos. „Endpoint Security ist mehr als nur ein Antivirus“ ist deswegen das Thema dieses Beitrages. Wie Sie Ihre digitalen Benutzer und deren Endgeräte richtig schützen können will ich Ihnen erläutern.

Was ist der digitale Mitarbeiter und was sind seine Endgeräte?

Heute ist es schon lange nicht mehr nur der Personal Computer vor dem ein Mitarbeiter sitzt und arbeitet. Wir wollen ständig und überall erreichbar sein. Besser noch! Wir müssen auch von überall und immer arbeiten können. Geht man um die Mittagszeit mal in eines unserer amerikanischen Fast Food Restaurants gewinnt man den Eindruck, dass arbeiten selbst wichtiger als essen geworden ist.

In Zeiten des digitalen Umschwungs ist es eine Leichtigkeit mal eben in der Mittagspause eine Email zu beantworten oder einen Vertrag querzulesen. Smartphones, Notebooks und die beinah flächendeckende LTE Abdeckung machen all das möglich.

Diesen Umständen ist eine vergrößerte Angriffsfläche geschuldet, die es uns in der IT Security umso schwerer macht den digitalen Mitarbeiter bestmöglich abzusichern. Diese größere Angriffsfläche führt auch zu der explosionsartigen Vielfalt von digitalen Bedrohungen, die sich in den letzten Jahren rasant entwickelt haben.

Von Viren, Würmen und Trojanern

Schadsoftware

Angriffe können über die unterschiedlichsten Wege auf Ihr Endgerät erfolgen. Wir haben eingangs festgestellt, dass Sie eine Antivirus Lösung nutzen. Diese Maßnahme schützt Sie vor den bekannten Bedrohungen: Viren, Würmer & Trojaner. Diese Schadsoftware ist ein Stück Programm, das im schlimmsten Fall auf Ihrem Endgerät ausgeführt wird und sofort beginnt schadhaftes Verhalten an den Tag zu legen. Es klaut Dateien, deaktiviert Schutzmaßnahmen, verschickt Dateien von Ihrem Endgerät an dritte oder sperrt Sie aus dem System aus.

Nicht schön, aber leicht zu erkennen und zu verhindern. Eine gute Antivirus Lösung kennt diese Datei. Um sie noch schneller erkennen zu können, wird über die Schadsoftware ein sogenannter „Hashwert“ erzeugt. Das ist eine eindeutige Nummer, die nur für diese eine Schadsoftware gilt. Wird nun eine Datei auf einem Rechner ausgeführt, überprüft die Antivirus Lösung den Hashwert der Applikation und entscheidet so sehr schnell, ob das Programm schadhaft ist oder nicht.

Fortgeschrittene Schadsoftware

Ist eine Schadsoftware etwas klüger als ein einfacher Virus oder Trojaner, so wird sie alles daran tun ihr schadhaftes Verhalten zu verschleiern. Um die signaturbasierte Erkennung zu umgehen, ist fortgeschrittene Schadsoftware meist mit alternierenden Schlüsseln verschlüsselt und kann somit nicht eindeutig identifiziert werden. Außerdem legt sich eine gute Schadsoftware nach dem Ausführen oftmals sofort schlafen und beginnt erst verzögert und nach und nach verschiedene schadhafte Aktionen auszuführen. Diese Aktionen geschehen meist ebenfalls zeitverzögert und kleinschrittig. Hierbei ist ein Zusammenhang dann sehr schwer zu erkennen. Würden all diese Schritte direkt nacheinander ausgeführt werden, ist der Angriff offensichtlich. Diese Schadsoftware ist aber sehr schwierig zu erkennen.

Advanced Persistent Threats

Die „fortgeschrittene, andauernde Bedrohung“, kurz APT, ist ein gezielter Angriff. Hier stecken häufig Intentionen, wie Industriespionage, dahinter. Sie dienen zur gezielten Informationsgewinnung des zu schützenden Guts eines Wirtschaftsunternehmens. Das können Entwürfe sein oder Ideen, die nur noch auf ihr Patent warten. Bei einer solchen Attacke steckt fast immer ein Angreifer dahinter und kein „Roboter“. Wir haben es also hier mit einem Menschen zu tun, der gezielt Sicherheitslücken in Programmen wie zum Beispiel Adobe Flash ausnutzt, um sich dann schrittweise Berechtigungen zu verschaffen. Dadurch ist ein solcher Angreifer am Schluss in der Lage sämtliche Dateien abzuziehen und auf seinen Rechner zu kopieren. Hier sind wir mit einer reinen Antiviren-Lösung absolut chancenlos.

Wie verbreitet sich eigentlich Malware und wie schützen wir uns dagegen?

Bevor die Malware von unserer Endpoint Security Lösung erkannt werden kann, muss sie erst einmal einen Weg auf unser System finden. Hierzu möchte ich gerne die häufigsten Verbreitungswege aufzeigen und wie eine gute Endpoint Protection Suite dies verhindert.

Beim Thema Endpoint Security reden wir nicht über ein Produkt sondern über ein Konzept. Sicherlich gibt es Hersteller, die ganzheitliche Lösungen anbieten. Und das ist auch gut so. Wieso sollten wir es uns im Leben schwerer machen, als notwendig? Aber oftmals ist es notwendig mehrere Produkte von verschiedenen Herstellern zu kombinieren, um den bestmöglichen Schutz zu erreichen. Eine Endpoint Security Suite setzt sich zusammen aus unterschiedlichen Komponenten und deckt im Idealfall alle Bedrohungsszenarien ab.

Filesystem, Email und Web

Spätestens seit den jüngsten Ereignissen mit vermehrtem Auftreten von Ransomware ist klar geworden, dass ein großes Einfallstor für Schadsoftware der Email Client ist. Jeder von uns benötigt heute für sein Tagesgeschäft einen Email Client. Das wissen auch die Angreifer und versenden deshalb immer wieder neue Varianten ihrer Malware per Email.

Hierbei sind die Angreifer immer ausgefuchster und verstecken sich hinter täuschend echt aussehenden Emails von zum Beispiel PayPal oder der Sparkasse. Außerdem werden von uns zunehmend gezielte Angriffe auf Unternehmen beobachtet. Hierbei simulieren die Angreifer zum Beispiel die Email Adresse des eigenen Chefs und fordern dazu auf etwas herunterzuladen oder zu öffnen. Das kann eine Rechnung oder Zahlungsaufforderung sein.

Selbst gestandene IT Security Consultants müssen manchmal genauer hinsehen, um so eine Betrugsmasche aufzudecken.

Auch im Web lauern täglich unsichtbare Bedrohungen. Man kann sich nicht nur versehentlich einen Virus als unliebsames Anhängsel runterladen, wenn man auf einen falschen Downloadlink klickt. Oftmals reicht das reine surfen auf den falschen Seiten um Opfer einer sogenannten „Drive-By Attacke“ zu werden.

Diese Attacke bedient sich an Sicherheitslücken von Webbrowsern. Auch Scriptfähigkeiten der Browser werden hier ausgenutzt. Das heißt, dass die Seite präpariert wird, um beim Besuch der Seite im Hintergrund eine Datei herunterzuladen, die dann ausgeführt wird. So kann sich der Virus ganz unbemerkt im System einnisten, um dann seinen Schaden anzurichten.

In jeder Endpoint Security Suite sollten sich deshalb zumindest eine handvoll Basis Schutzmechanismen finden. So ist es wichtig bei der Auswahl darauf zu achten, dass die Suite einen Antivirus mitliefert. Dieser sollte auch eine HIPS (Host Intrusion Prevention System) Komponente und eine starke Heuristik haben. Denn je besser die zusätzlichen Erkennungsmaßnahmen, wie verhaltensbasierte Analyse während der Laufzeit oder heuristische Erkennung sind, desto unwahrscheinlicher ist es, dass auch fortgeschrittene Malware hier Schaden anrichten kann.

Optimal ist es, wenn die Suite noch weitere Mechanismen hat, wie zum Beispiel eine Bot-Netz Erkennung oder eine explizite APT-Erkennung. Viele Hersteller haben heute sehr gut entwickelte Software. Hier lohnt es sich Zeit zu investieren und zu vergleichen.

Und dabei bietet das fast jeder Hersteller nicht nur für das Dateisystem an, sondern auch für Email und Web, sodass das Endgerät schon geschützt wird, bevor sich der Virus in unserem Dateisystem befindet. Eine gute Lösung scannt Emailanhänge am Client, überwacht das Surfverhalten, warnt rechtzeitig vor Bedrohungen und blockiert diese.

Wechselmedien

Haben Sie schon einmal einen USB Stick auf dem Parkplatz gefunden? Wenn ja, sollten Sie diesen nicht einfach so in Ihren PC stecken um herauszufinden, was sich darauf verbirgt. Dieser Angriff erfolgt sehr oft gezielt auf größere Unternehmen. Hierbei vertraut der Angreifer auf die uns angeborene Neugier. Und Sie würden sich wundern wie oft das tatsächlich funktioniert.

Wechseldatenträger können so präpariert werden, dass beim Einstecken automatisch darauf befindliche Schadsoftware ausgeführt wird. Dabei gibt es sogar ganz spezielle USB Sticks, die aussehen wie ein Wechseldatenträger, in deren Hülle sich aber ein kleiner Minicomputer befindet. Dieser gaukelt dem System vor eine Tastatur zu sein und tippt dann heimlich Befehle ein, um Ihren Rechner zu verseuchen.

Um sich vor der Verbreitung durch Wechseldatenträger zu schützen sollte eine gute Endpoint Security Suite eine sogenannte „Device Control“ beinhalten. Hierbei handelt es sich um einen Schutz vor nicht autorisierten Wechseldatenträgern. Das bedeutet der Administrator gibt die USB Geräte frei, die er an die Benutzer verteilt. Andere USB Geräte werden per default abgelehnt. Findet also nun ein Mitarbeiter einen USB Stick und steckt ihn aus Neugier an sein Endgerät, so wird der Stick sofort gesperrt und potentielle Malware kann sich nicht in das System einnisten.

Alte Softwarestände

Die nächste Bedrohung, die ich hier aufzeigen möchte sind alte Softwarestände. Wer nicht regelmäßig Updates seiner Fachanwendungen vornimmt läuft Gefahr, dass ein Angreifer diese verwendet um via Sicherheitslücke in das System zu kommen. Hat sich ein Angreifer erst einmal Adminzugriff auf Ihr System verschafft, so kann er dort anrichten, was er möchte. Die „üblichen Verdächtigen“ für veraltete Softwarestände mit den größten Sicherheitslücken sind hierbei Java, Adobe und auch Microsoft. Diese werden sehr oft vernachlässigt und bieten eine große Angriffsfläche für Hacker.

Gegen diese Bedrohung bringt eine gute Endpoint Security Suite zum Beispiel eine „Application Control“ mit. Hierbei wird auch neben dem Sperren nicht autorisierter Apps oft ein Patchmanagement mit angeboten. Das ist gut, wenn man sich gegen alte Patchstände von Fachanwendungen schützen will. Eine gute Suite bietet eine Übersicht über die Versionsstände Ihrer Fachanwendungen. Ist die Komponente sehr gut entwickelt, bietet sich Ihnen die Möglichkeit die Anwendungen auch vom zentralen Server aus zu patchen. So stellen Sie immer sicher, dass Ihre Anwendungen aktuell sind und Sie keine unnötigen Sicherheitslücken offen lassen.

Auch im Bereich Applikationen finden wir immer wieder fortgeschrittene Technik, die Anwendungen während der Laufzeit beobachten, um zu erkennen, wenn eine Anwendung für schädliche Zwecke ausgenutzt wird. Dabei werden zum Beispiel die Prozesse überwacht auf die eine Anwendung zugreift oder Registrierungseinträge, die von der Anwendung erzeugt werden. Hier kann meist ausgemacht werden, ob sich eine Anwendung schadhaft verhält oder nicht.

Mobilgeräte (BYOD)

Die Mobilgeräte der Mitarbeiter können auch ein Verbreitungsweg sein. Während Sie meist die Kontrolle darüber haben, was Ihre Mitarbeiter und Kollegen mit der firmeneigenen Hardware anstellen, können Sie nicht kontrollieren was sie mit ihren Privatgeräten machen. Der Mitarbeiter schützt erfahrungsgemäß sein privates Smartphone oder Notebook nicht immer so gut wie ein Unternehmen. Darf er nun das Gerät auch noch mit in die Firma bringen und stöpselt es vielleicht noch im Unternehmensnetz an, so kann es zu einer raschen Verbreitung von Malware kommen.

Wenn Sie Ihren Mitarbeitern einen mobilen Arbeitsplatz bieten, in Form eines Notebooks zum Beispiel, so kann es auch durch Diebstahl zu Datenverlust kommen. Der Mitarbeiter kann auch versehentlich das Firmengerät vergessen, im Zug oder im Café.

Mit einer Endpoint Security Suite, oder zumindest ergänzend, bieten die meisten Hersteller auch eine Mobile Device Management Lösung an. Hierbei werden Smartphones sicher ans Unternehmensnetz angebunden.Sie können verschlüsselt Ihre Emails und Termine auf dem Gerät empfangen und verwalten.

Je nach Funktionsumfang können hier unterschiedliche Einstellungen vorgenommen werden. Die meisten Produkte lassen einem die Möglichkeit gewisse Funktionen am Endgerät an- oder auszuschalten. So kann ich zum Beispiel an meinem Smartphone die Kamera deaktivieren oder bestimmte Apps blockieren.

Die meisten Hersteller liefern auch gerade für Android basierte Smartphones zusätzliche Antiviren Lösungen auf dem Endgerät. Diese werden meist über das MDM zentral mitverwaltet und ausgewertet.

Viele MDM lassen es auch zu bei Verlust des Endgerätes das Gerät zu sperren oder gar aus der Ferne komplett zu löschen. So sind Ihre Daten auch bei Verlust des Gerätes sicher.

Manche MDM Lösungen bieten auch eine verschlüsselte Ablage von Daten auf dem Endgerät, falls sich ein Angreifer einmal unbemerkt physikalischen Zugriff auf das Gerät verschaffen kann.

Sinnvolle Ergänzung – Full Disk Encryption und erweiterte Verschlüsselung

Will man nun noch seine Daten auf den Notebooks der Mitarbeiter schützen, so gibt es zusätzlich immer die Möglichkeit eine Encryption Lösung heranzuziehen.

Die meisten Encryption Lösungen bieten die Funktionalität der sogenannten „Full Disk Encryption“. Hierbei wird die Festplatte des Endgerätes vollständig verschlüsselt. Eine gute Encryption Lösung verlangt dann beim Boot des Endgerätes ein Kennwort, damit die Festplatte entschlüsselt werden kann. Sehr gute Encryption Lösungen bieten dann auch noch ein Disaster Recovery Szenarion, bei dem der Benutzer des Endgerätes mithilfe eines Helpdesk-Mitarbeiters sein Endgerät wieder entsperren kann, sollte er mal sein Kennwort vergessen haben. Auch ein zweiter Faktor (USB Token, Smartcard) zur Anmeldung ist hier nicht unüblich.

Fortgeschrittenere Produkte liefern hier oft weitere starke Features. Eine dateibasierte Verschlüsselung kann zum Beispiel auf Netzlaufwerke angewendet werden, sodass abfließende Daten hier nicht mehr ausgelesen werden können, wenn sie unberechtigt das Unternehmen verlassen haben.

Eine Verschlüsselung von Daten auf einem Wechseldatenträger ist auch ein gängiges Feature, mit dem Daten dann auf einem USB Stick sicher mitgenommen werden können. Geht der Stick verloren, so kann der Finder des Gerätes nichts mit den Daten anfangen.

Sehr gute Verschlüsselungslösungen können auch erkennen, wenn Daten in öffentliche Cloudspeicher, wie Dropbox oder OneDrive, hochgeladen werden. Dann werden die Dateien dort verschlüsselt abgelegt und können im Falle eines Datenlecks nicht entschlüsselt werden. Oft bieten die Hersteller dann für das mobile Bearbeiten Apps für iOS und Android um die Daten auf den Smartphones entschlüsseln zu können.

Fazit

Ein gutes Endpoint Security Konzept besteht nicht nur aus der konventionellen Antiviren Lösung. Signaturbasierte Erkennung von Viren ist heute der kleinste Bestandteil eines schlüssigen Konzeptes.

Geben Sie acht auf den Umfang der angebotenen Lösungen. Analysieren Sie für sich, welche Bedrohungen und Verbreitungswege bei Ihnen am ehesten auftauchen. Suchen Sie sich ein Produkt, dass modular aufgebaut ist, sodass Sie schnell und einfach Features nachlegen können.

Halten Sie Ausschau nach folgenden Modulen (Name kann pro Hersteller variieren). Sie sind auf jeden Fall für Sie hilfreich und erstrebenswert:

  • Antivirus & HIPS
  • Liveschutz
  • Webkontrolle
  • Gerätekontrolle
  • Applikationskontrolle
  • Schutz vor Potentially Unwanted Adware
  • Eigenschutz / Manipulationsschutz
  • Patchmanagement
  • Client Firewall
  • Network Monitor / Attack Blocker

Ergänzen Sie ein Mobile Device Management und eine Verschlüsselungslösung. Schützen Sie sich auch vor Verlust der Endgeräte und gegen Diebstahl.

Suchen Sie sich einen kompetenten Partner, der Sie berät und Ihnen während der Einführung einer solchen Lösung zu Seite steht. Ein guter Partner begleitet Sie durch einen Proof of Concept einer oder mehrerer Hersteller. Vergleichen und testen Sie ruhig mehr als nur einen Anbieter.

Schauen Sie auch bald wieder zurück in unseren Blog und lesen Sie den Folgebeitrag dieser Serie zum Thema „Verschlüsselung ist gar nicht mehr so schwer wie früher!“

Autor/in

Patrick
Hener

IT-Security Consultant

Top Blogbeiträge

Verlehrsschilderwald
Wissen Sie, was auf ihrer Firewall vor sich geht?
Corona-Warn-App – Welche Daten werden geteilt?
MVSS
Vulnerability Scan – Grenzen und Chancen
Advanced Persistent ThreatsAntivirusAPTEndpoint ProtectionEndpoint SecurityMalwareMobile Device ManagementRansomwareTrojanerVerschlüsselung

2 Kommentare

  1. Pingback: Was ist eigentlich ein Breach Prevention System? - TO Blog
  2. Pingback: Und täglich grüßt das Murmeltier - Notfall-Patch für Adobe Flash Player - TO Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *