mikkolem - Fotolia

Was Endpunktschutz der nächsten Generation leisten muss

Um der sich verändernden Bedrohungslage entsprechend begegnen zu können, müssen Sicherheitslösungen für Endpunkte einige Voraussetzungen erfüllen.

Die erfolgreiche Abwehr von Cyberangriffen wird für Unternehmen mehr und mehr zur Herausforderung, denn Cyberkriminelle werden immer professioneller, ihre Methoden, bestehende Sicherheitsbarrieren zu überwinden, immer ausgefeilter. Gleichzeitig setzt die Verpflichtung zur Umsetzung der EU Datenschutz-Grundverordnung (EU-DSGVO) IT-Verantwortliche und Geschäftsführer unter Druck, da Datenschutzverletzungen dann mit Bußgeldern bis zu einer Höhe von 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes geahndet werden können.

Da traditionelle, auf statischen Signaturen beruhende Sicherheitslösungen, wie Antivirus, Intrusion-Prevention- oder Angriffserkennungssysteme, der aktuellen Bedrohungslandschaft nicht mehr gerecht werden, setzten Unternehmen daher vermehrt auf neue Technologien, die Bedrohungen am Endpunkt mit einem verhaltensbasierten Ansatz erkennen und abwehren.

Anstatt nach bekannten Bedrohungen zu suchen, wie es bei einer signaturbasierten Erkennung der Fall ist, analysiert Endpoint Security der nächsten Generation das Systemverhalten, um verdächtige Aktivitäten zu identifizieren. Administratoren haben hier die Möglichkeit, schnell einzugreifen und können so verhindern, dass sich die Schadsoftware im gesamten Unternehmen ausbreitet. Fortschrittliche Lösungen gehen dabei noch einen Schritt weiter und ergreifen automatisch Maßnahmen, um Angriffe abzuwehren und mögliche Schäden zu beseitigen.

Um für bestmögliche Sicherheit zu sorgen und Unternehmen so gut es geht vor Cyberangriffen zu schützen, sollte eine innovative Endpunktlösung auf sechs Grundpfeilern basieren.

Abwehr bekannter Angriffe

Um bekannte Bedrohungen stoppen zu können, noch bevor sie auf einem Endpunkt ausgeführt werden, sollten Unternehmen eine Endpunkt-Sicherheitslösung wählen, die auf einen großen Bestand von Reputationsdiensten und Sicherheitsdaten verschiedener Provider zurückgreift.

Dabei ist es wichtig, dass der Security-Anbieter Daten aus der Cloud verwendet und Dateien für passive oder selektive Scans indiziert, damit der Endpunktschutz nur eine geringen Speicherbedarf hat und keine ressourcenintensiven Systemscans durchführt.

Dynamische Exploit-Erkennung

In vielen Fällen nutzen Cyberkriminelle Schwachstellen auf Code-Ebene, um in Systeme einzudringen und Malware auszuführen. Dabei kommen häufig Drive-by-Downloads zum Einsatz. Um sowohl anwendungs- als auch arbeitsspeicherbasierte Angriffe verhindern zu können, muss moderner Endpunktschutz daher über Anti-Exploit-Funktionen verfügen.

Diese sollten jedoch nicht auf statischen Maßnahmen wie Shell-Code-Scans beruhen, sondern auf der Erkennung der bei Exploit-Angriffen angewendeten Techniken, wie etwa Heap Spraying, oder Stack Pivots. Dieser Ansatz erkennt unbekannte Angriffe zuverlässiger, da die Exploit-Techniken nicht so einfach verändert oder modifiziert werden können.

Erkennung komplexer Malware

Eine zentrale Aufgabe von Next-Generation-Endpunktschutz ist es, unbekannte Malware und gezielte Angriffe zu erkennen und zu blockieren – auch solche, die keine statischen Indikatoren einer Kompromittierung aufweisen. Hierzu bedarf es dynamischer Verhaltensanalysen, dies bedeutet eine Echtzeit-Überwachung von Anwendungs- und Prozessverhaltensweisen auf Grundlage einer Low- Level-Instrumentierung von Betriebssystemaktivitäten.

Da sich viele Angriffe in Systemprozesse und legitime Anwendungen einklinken und ihre Aktivitäten so verbergen, sind Funktionen zur Überprüfung der Ausführung und Assemblierung des tatsächlichen Ausführungskontexts enorm wichtig. Am erfolgreichsten ist dieser Vorgang, wenn er auf dem Gerät stattfindet – und zwar unabhängig davon, ob das Gerät online oder offline ist. So kann man sich beispielsweise auch vor Angriffen über einen USB-Stick schützen.

Abwehr von Bedrohungen

Das Erkennen von Bedrohungen ist für Sicherheitslösungen unerlässlich. Doch damit ist es nicht getan, denn trotz erfolgreicher Erkennung bleiben viele Angriffe tage-, wochen- oder monatelang aktiv. Zusätzlich zur Bedrohungserkennung bedarf es daher einer automatischen und frühzeitigen Abwehr.

 „Anstatt nach bekannten Bedrohungen zu suchen, analysiert Endpoint Security der nächsten Generation das Systemverhalten, um verdächtige Aktivitäten zu identifizieren.“

Rainer M. Richter, SentinelOne


Dabei sollten die Abwehroptionen richtlinienbasiert und flexibel genug sein, um eine Vielzahl von Anwendungsfällen abzudecken. Hierzu zählt unter anderem das Verschieben einer Datei in die Quarantäne, das Beenden eines bestimmten Prozesses, das Trennen des infizierten Systems vom Netzwerk oder sogar ein komplettes Herunterfahren des Systems.

Rekonstruktion

Während ihrer Ausführung modifiziert oder löscht Malware häufig Systemdateien- und Registrierungseinstellungen und ändert Konfigurationseinstellungen, was zu einer Fehlfunktion oder Instabilität des Systems führen kann.

Next Generation Endpoint Protection muss deshalb in der Lage sein, einen Endpunkt in seinen vertrauenswürdigen Ausgangszustand zurückzuversetzen und gleichzeitig erfolgte Änderungen und erfolgreiche Wiederherstellungen protokollieren.

Echtzeit-Forensik

Da keine Sicherheitslösung von sich behaupten kann, hundertprozentig wirksam zu sein, ist eine Endpunkt-Forensik in Echtzeit unabdingbar. Eine klare und frühzeitige Einsicht in sämtliche schädliche Aktivitäten ermöglicht es den Spezialisten, die Tragweite eines Angriffs schnell zu analysieren, zu beurteilen und angemessen darauf zu reagieren. Dies erfordert einen übersichtlichen Echtzeit-Audit-Trail, aus dem die Geschehnisse während eines Angriffs hervorgehen, sowie die Möglichkeit, nach Indikatoren der Kompromittierung zu suchen.

Nur die Kombination dieser Funktionen ermöglicht es Unternehmen, komplexe Angriffsmethoden in jeder Phase ihres Lebenszyklus zu identifizieren und abzuwehren. Umso wichtiger ist es, dass Unternehmen bei der Auswahl ihrer Sicherheitslösung auf eine qualifizierte Beratung zurückgreifen.

Über den Autor:
Rainer M. Richter ist Director für Central & Eastern Europe bei SentinelOne. Er verfügt über mehr als 30 Jahre Erfahrung in der ITK-Branche, davon 20 Jahre speziell im Bereich der IT-Sicherheit.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So können Unternehmen die Endpoint Security verbessern

Mit verhaltensbasierter Angriffserkennung die Sicherheit erhöhen

Angriffe mit dateiloser Malware nehmen zu

Wie kann man Makroviren abwehren, die Verschleierungs-Taktiken nutzen?

Artikel wurde zuletzt im Juli 2017 aktualisiert

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close