Mein persönliches PDF

Links teilen PDF anfordern
Hier sehen Sie die Seiten, die Sie bisher besucht haben. Fordern Sie ein PDF dieser Seiten an, oder teilen Sie die besuchten Seiten. Mit einem Klick auf eine Seite können Sie diese aus der Auswahl entfernen.

Sicherheitslücken schließen

Advanced Endpoint Security – Experteninterview

Sicherheitslücken schließen

Traditionelle Schutzmaßnahmen reichen nicht aus!

Carsten Dibbern, Solution Manager Secure Information bei Computacenter erläutert, wie Unternehmen Sicherheitslücken durch Advanced Endpoint Security wirkungsvoll schließen können.

Die IT-Sicherheitslage in Unternehmen hat sich in den vergangenen Jahren massiv verändert. Viele Unternehmen werden Opfer von Angriffen, obwohl sie Sicherheitsvorkehrungen getroffen haben. Woran liegt das?

Carsten Dibbern: „Die Attacken der Cyberkriminellen sind mittlerweile zielgerichtet, es wird also maßgeschneiderter Schadcode verwendet. Schutzmaßnahmen wie Firewalls oder Antiviren-Programme sind nicht geeignet, wirkungsvoll vor dieser Art von Attacken zu schützen – viele Unternehmen setzen allerdings noch auf diese traditionellen Maßnahmen. Das führt dazu, dass die meisten Clients mit minimalem Aufwand kompromittiert werden können, wie das Beispiel der aktuell verbreiteten Erpressungssoftware (Ransomware) zeigt.

Interessant ist dabei, dass im Fokus der Attacken vor allem klassische Endgeräte wie Desktops oder Notebooks stehen. Smartphones und Tablets sind momentan noch weniger betroffen. Die Erklärung dafür ist simpel: Es ist schlicht erfolgreicher, die klassischen Endgeräte anzugreifen.“

Einen hundertprozentigen Schutz gibt es nicht, erfolgreiche Angriffe wird es immer geben. Was müssen Unternehmen tun, um sich besser zu schützen?

Carsten Dibbern: „Generell sind Maßnahmen notwendig, die sowohl einen nicht optimal gepatchten Client absichern, als auch vor fortgeschrittenen Angriffen durch Zero-Day-Exploits schützen. Es gilt, den Angreifern mehr Widerstand entgegenzusetzen. Besonderen Bedarf an neuen Lösungen sehen wir dabei auf dem Endpunkt.“

Was können Unternehmen konkret tun?

Carsten Dibbern: „Wir empfehlen, mit den grundlegenden Dingen anzufangen, beispielsweise mit der Inventarisierung aller Client-Anwendungen, dem Entzug von Admin-Rechten für Nutzer und der Überprüfung der bestehenden Incident Response Prozesse. Dann lassen sich die Clients nach Typen und Gruppen sortieren – beispielsweise Clients von Administratoren, Clients in Entwicklungsabteilungen oder mobile Clients mit Remote-Zugängen ins Unternehmen – und diese mit geeigneten Schutzmaßnahmen versehen.“

Und welche Anforderungen muss eine wirkungsvolle Lösung erfüllen?

Carsten Dibbern: „Sie muss erfolgreich Widerstand gegen zielgerichtete Angriffe leisten – auch bei Zero-Day-Angriffen – und darüber hinaus einen mehrschichtigen Schutz bieten. Außerdem ist es essenziell, dass diese Lösungen innerhalb sowie außerhalb des Netzwerks wirksam sind und keine Einschränkungen für den Anwender mit sich bringen.“

Welche Lösungen erfüllen diese Anforderungen und wie funktionieren sie?

Carsten Dibbern: „Eine umfassende Advanced-Endpoint-Security-Lösung sollte aus präventiven, detektiven und reaktiven Komponenten bestehen. Eine solche Lösung enthält einerseits vorbeugenden Schutz, weil sie bereits in der Phase der Zulieferung zum Client verhindert, dass Schadcode installiert wird oder eine Schwachstelle ausnutzen kann. Maßnahmen mit detektiver Wirkung wiederum bieten Funktionen, die einen Schadcode anhand bestimmter Eigenschaften oder seines Verhaltens entdecken, nachdem er sich festgesetzt hat. Ist ein Schadcode entdeckt, werden im Rahmen der Reaktion Indicators of Compromise (IOCs) definiert, mit denen sich Schutzkomponenten konfigurieren lassen und eine weitere Verbreitung eingedämmt wird. Zu diesen Maßnahmen mit reaktiver Wirkung zählt beispielsweise die Client-Wiederherstellung.“

Wie sieht das konkret bei einer Advanced-Endpoint-Security-Lösung aus?

Carsten Dibbern: „Unser Partner Bromium beispielsweise arbeitet mit dem völlig neuen Ansatz der Micro-Virtualisierung: Anwendungen, die Daten aus dem Internet verarbeiten, werden hier vollständig vom Client isoliert. Der Anwender kann so sorglos jede Datei öffnen, die er per E-Mail empfängt oder sich aus dem Internet herunterlädt.

Ein weiterer Ansatz ist Exploit-Mitigation. Auch wenn es täglich neue Exploits gibt, so sind die Möglichkeiten, wie ein Exploit den Arbeitsspeicher manipulieren kann, begrenzt. Hier setzt Exploit Mitigation an, indem es die Speicherzugriffe so manipuliert, dass die Exploit-Techniken der Angreifer nicht möglich sind.  Unser Partner Palo Alto nutzt unter anderem diese Technik in seinem Produkt Traps.

In einem mehrschichtigen Konzept ist auch eine Komponente notwendig, die Angreifer entdecken kann, die Clients bereits kompromittiert haben. Hier machen sich Hersteller die enormen Fortschritte im Machine Learning zunutze. Mit statistischer Analyse aus Netzwerk-Flow-Daten, oder Logdaten wird auffälliges Verhalten erkannt. Sogenannte Endpoint Detection & Response (ETDR)-Tools helfen dem Analysten  genau nachzuvollziehen, was auf dem Client vorgefallen ist. Damit können weitere betroffene Clients gefunden und Rückschlüsse auf den Angreifer gezogen werden – wichtiger Input für ein Cyber Defence Operation Center.“


ENTDECKEN SIE COMPUTACENTER

Session NSX

Session NSX

Das Thema Software Defined ist in aller Munde – angesichts des...

Lesen Sie mehr
Lesen Sie mehr

Lesen Sie mehr

Ein Client für das ganze Land: Client-Rollout bei der...

Referenz IT.Niedersachsen
Computacenter eröffnet neue Geschäftsstelle in Dresden

Computacenter eröffnet neue Geschäftsstelle in Dresden

Computacenter eröffnet neue Geschäftsstelle in Dresden

Lesen Sie mehr
Kontaktieren Sie uns