Endpoint Protection – neue Ansätze für Sicherheit UND Usability

In einer idealen Welt…

… ist die Umgebung, in der Sie arbeiten, zu 100% sicher. Ihre Nutzer können alle Links klicken und alle E-Mail Anhänge öffnen, ohne verunsichert zu sein oder Ihr Unternehmen zu gefährden. Dabei bleiben Ihre IT-Kosten so niedrig und die Mitarbeiter so produktiv wie möglich. Privilegierte Rechte müssen nicht vergeben werden. Cyber-Attacken sind in einer idealen Welt kein Thema.

Die reale Welt sieht allerdings ganz anders aus.

Laut BSI Lagerbericht 2016 werden täglich ca. 380.000 neue Schadprogrammvarianten gesichtet. Das sind ca. 264 neue Bedrohungen pro Minute. Weiterhin besagt der Bericht, dass zu den häufigsten Infektionswegen E-Mail-Anhänge sowie die vom Anwender unbemerkte Infektion beim Besuch von Webseiten, sogenannte Drive-by Downloads, gehören. Nun können Sie aber beispielsweise nicht verhindern, dass Ihre Personalabteilung Bewerbungen öffnet oder Ihr Marketing fremde Websites besucht. Diese Tätigkeiten gehören zum täglichen Doing Ihrer Mitarbeiter. Durch Mitarbeiterschulungen und Awareness-Kampagnen kann vielen Gefährdungen zwar effektiv vorgebeugt werden, aber es gibt ebenso Attacken, denen auch der bestgeschulte Mitarbeiter zum Opfer fallen kann.

Cyber Attacken werden immer effektiver

Bekannte Antiviren Programme arbeiten detektivisch und reaktiv. Sie erkennen unbefugte Eindringlinge und ergreifen Maßnahmen. Sie melden Vorkommnisse via E-Mail oder Pop-Up oder verschieben den Eindringling in die Quarantäne. Allerdings erkennen diese Programme auch nur Malware, die bereits bekannt ist. Daher bieten sie nur einen Basisschutz. Die Verteilungswelle der Schadprogramme ist häufig schon vorüber, bevor die AV-Signaturen überhaupt eingespielt werden konnten. Kurz gesagt: Hacker sind zeitlich und monetär in der Verfeinerung ihrer Attacken überlegen.

Daher ist es mittlerweile ratsam, vor dem klassischen Modell der „Detection“ einen Ansatz zu wählen, der Angriffe nicht nur reaktiv erkennt, sondern sie proaktiv stoppt.

Für Unternehmen jeder Größe und Art stellt dieser proaktive Schutz eine große Herausforderung dar, da eine höhere Sicherheit im Normalfall auch mit einer eingeschränkten Usability für die Mitarbeiter einhergeht.

Ein Beispiel:
Ihre Mitarbeiter verwalten ihre Notebooks selber, damit sie ad hoc Programme selbstständig installieren können, die sie benötigen. Ein häufiger Fall ist beispielsweise das Anbinden des privaten Druckers im Homeoffice. Dafür bekommt der Nutzer während des Installationsprozesses vorübergehend Administrator-Rechte. Ansonsten besitzen Ihre Mitarbeiter im Normalfall keine Administrator-Rechte, um Ihr System eben vor den genannten Gefahren wie Malware zu schützen. Fängt sich ein Mitarbeiter eine Malware ein, kann diese sich zwar auf dessen Notebook umsehen, kann aber ohne Administrator-Rechte nicht weiter in Ihr System eindringen. Das macht Sinn. Nun wird dieser Schutz mit den vorübergehenden Administrator-Rechten bei Installationen aber ausgesetzt. Das ist in etwa so, als würden Sie Ihre Haustür abschließen, um sich vor Einbrüchen zu schützen und die Terrassentür dabei offen stehen lassen. Denn es gibt auch Schadprogramme, die sogenannten „Advanced Persistant Threats“, die sich erstmal nicht zeigen, sondern erst aktiv werden, wenn sie höhere Rechte bekommen. Mein Kollege hat dazu einen interessanten Artikel zum Thema „Was ist ein APT und muss ich davor Angst haben?“ verfasst.

Nehmen Sie Ihren Mitarbeitern nun aber die gewährten Admin-Rechte grundsätzlich weg, können diese nicht selbstständig Programme auf ihren Notebooks installieren, was zu Frustration und Zeitverlust führt. Abgesehen davon wird Ihr IT-Support mit vermeidbaren Aufgaben beschäftigt, was Ihre IT-Kosten in die Höhe treibt.

Der hier gemeinte proaktive Ansatz umfasst drei wesentliche Elemente:

1. Regulierung der Berechtigung von Benutzern nach dem Prinzip des Least Privilege, also der geringsten notwendigen Berechtigungen für Benutzer
2. Erlauben und Kontrollieren der Applikationen auf einem System durch den Ansatz des Whitelistings
3. Isolation der Dokumente und Daten, die nicht aus einer vertrauenswürdigen Quelle stammen (Content Isolation und Sandboxing)

Eine der herausstechenden Lösungen am Markt ist dazu derzeit Defendpoint von Avecto, die eine ideale Kombination aller drei Elemente des proaktiven Ansatzes kombinieren. Damit lässt sich eine bequeme Balance zwischen Sicherheit und Usability herstellen.

Wie funktioniert Avecto Defendpoint?

Die Lösung Defendpoint kombiniert die drei genannten Elemente zu einer Endpoint Security Suite:

1. Privilege Management:

• Alle Mitarbeiter können als „Standardnutzer“ angelegt werden
• Zugriffsrechte werden nicht mehr den Nutzern, sondern direkt den Anwendungen, Aufgaben, Skripten und Installationsprogrammen zugewiesen
• Ermöglicht den Verzicht auf Admin-Rechte für Nutzer, ohne die Handlungsfähigkeit einzuschränken

2. Application Control

• Anwendungen werden über Whitelisting zugelassen (ohne lange Listen, „Golden Image“ als Basis)
• Vereinfachtes Erstellen von Regeln, die das Betriebssystem und branchenspezifische Anwendungen als vertrauenswürdig einstufen
• Schafft Ressourcen frei, die sich ansonsten nur mit dem Prüfen unbekannter Applikationen beschäftigen würden

3. Content Isolation

• Schutz Ihres Systems vor unbekannten Bedrohungen und Zero-Day-Attacken, die sich ungepatchte Sicherheitslücken zunutze machen
• Automatisches Ausführen und Öffnen von externen Anwendungen und Dokumenten in einer sicheren Umgebung, ähnlich einem Glaskasten
• Innerhalb des Glaskastens können auch infizierte Dokumente bearbeitet und Anwendungen ausgeführt werden, ohne eine Bedrohung für Ihr System darzustellen
• Verwendung des Windows-eigenen Sicherheitsmodells, das das Benutzerkonto und den „Glaskasten“ voneinander trennen
• Keine Kompatibilitäts- und Performance-Probleme

Alle drei Ansätze werden auf einem schlanken Agenten vereint. Mit dieser Kombination können Sie Ihren Mitarbeitern Flexibilität zurückgeben und erhöhen gleichzeitig Ihre IT-Sicherheit. Sie sparen IT-Kosten und lassen den Nutzern ihre Handlungsfähigkeit ohne Admin-Rechte zu vergeben. Nebenbei erfüllen Sie etwaige Compliance Vorgaben, die Ihr Unternehmen berücksichtigen muss.

Kurz gesagt: Sie müssen nicht mehr jeder neuen Bedrohung hinterher rennen und ermöglichen Ihren Mitarbeitern ein entspanntes Arbeiten ohne Angst vor „falschen Klicks“.

Wie so eine Malware, die im Glaskasten sitzt aussieht, können Sie hier beispielhaft sehen:

Die Content Isolation gepaart mit Least Priviledge und Application Control sorgt dafür, dass der Trojaner ausgeführt werden, aber nicht auf das System durchgreifen kann.

Die klassischen Antiviren Programme sind obsolet!

So könnte man jetzt meinen. Das stimmt so aber nicht ganz. Lösungen wie Defendpoint bilden eine grundsolide Basis. Klassische Antiviren-Programme bzw. Endpoint Protection Suites bauen komplementär darauf auf und ergänzen durch zusätzliche Detection.

Ihre IT-Sicherheit sollte weder ausschließlich auf den reaktiven, noch ausschließlich auf den proaktiven Ansatz setzen. Nur eine ausgeglichene Kombination verschiedener Ansätze sorgt für die nötige Absicherung Ihrer Infrastruktur.