Anzeige

Endpoint Security

In Teilen der IT-Welt dominiert die Meinung, dass einige Systeme keinen Endpoint-Schutz benötigen. Diese Einschätzung ist häufig für solche Geräte anzutreffen, die isoliert und nicht mit dem Internet verbunden sind oder keine wichtigen Daten oder Programme erhalten, wie etwa Entwicklungssysteme.

So manches Unternehmen lässt sogar seine Endpoint-Schutz-Lizenzen auslaufen, in dem Glauben, dass diese ohnehin keinen zusätzlichen Nutzen bringen. Diese Denkweise rührt daher, dass der Endpoint-Schutz (in der IT-Welt jedenfalls) darauf ausgelegt ist, Malware zu stoppen. Einige Unternehmen halten den Schutz von Endpoints nicht für erforderlich, wenn das System isoliert und leicht wiederherzustellen ist oder keine wichtigen Daten enthält. Auch werden Nutzer-Workstations/Laptops oftmals für weniger wichtig erachtet als Server und daher nur letztere geschützt. Tatsächlich trafen laut Sophos 2021 Active Adversary Playbook 54 Prozent der Angriffe ungeschützte Systeme.

Sowohl der Endpoint-Schutz als auch die Art und Weise von Cyberangriffen haben sich in letzter Zeit drastisch verändert. Cyberkriminelle gehen mit ausgeklügelten Taktiken vor, bei denen sie selbst auf häufig verwendet Verwaltungstools (z. B. PowerShell), Skriptumgebungen (z.B. JavaScript), Systemeinstellungen (z.B. geplante Aufgaben und Gruppenrichtlinien), Netzwerkdienste (z.B. SMB und Admin Shares und WMI) und gängige Anwendungen (wie TeamViewer, AnyDesk oder ScreenConnect) zurückgreifen. So vermeiden sie, dass sie Malware einsetzen müssen, um ihre Ziele zu erreichen. Techniken, die früher als „Nation State“ und „Advanced Persistent Threat“ (APT) galten, könne heute selbst von technisch unversierten Angreifern eingesetzt werden.

Es geht ums Geld

Das Ziel der Attacken ist jedoch immer noch weitgehend dasselbe: Geld zu verdienen. Dies kann durch den Einsatz von Ransomware (oft mit anschließender Datenexfiltration und Löschung von Sicherungskopien, um die Zahlung des Lösegelds dringlicher zu machen), das Schürfen von Kryptowährungen, die Beschaffung von personenbezogenen Daten zum Verkauf oder Industriespionage geschehen. Als Reaktion darauf hat sich auch der Endpoint-Schutz weiterentwickelt. Er erkennt und verhindert nun auch bösartiges Verhalten und bietet gleichzeitig detaillierte Transparenz, Kontext und Tools zur Bedrohungssuche.

Auch Systeme ohne direkten Internetzugang müssen geschützt werden

In der Regel starten Cyberkriminelle ihren Angriff von einem System aus, das über einen Command-and-Control-Kanal auf Port 443 (schwer zu identifizierender, anomaler, verschlüsselter Datenverkehr) mit einem Trojaner oder Stager als Vermittler verbunden ist. Dabei ist es nicht wichtig, ob es sich um einen Server oder ein Benutzersystem handelt. Alle verfügen über ähnliche Kernfunktionen und der Angreifer kann auf die gleiche Weise wie der Anwender selbst auf diese Systeme zugreifen. Für einen Angriff auf das System über das LAN stehen dem Angreifer gleich mehrere Techniken zur Verfügung, wie zum Beispiel Remote Desktop Protocol (RDP), Secure Shell (SHH) oder Windows Remote Management (WinRM).

Angesichts der vielen zur Verfügung stehenden Optionen ist es erforderlich, auch Systeme ohne Internetzugang mit Endpoint-Schutz auszustatten. Wenn die blinden Flecken durch den Einsatz von Endpoint Security überall beseitigt sind, haben Angreifer weniger Möglichkeiten, sich zu verstecken. Das ist wichtig, denn wenn sich Angreifer auf einem Systemen verstecken, können sie tage-, wochen- oder sogar monatelang unentdeckt bleiben und im Stillen Informationen über die Umgebung, Benutzer, Netzwerke, Anwendungen und Daten sammeln.


Weitere Beiträge der Serie „Sicherheit in der Retrospektive“:

Teil 1 - Admins sollten Lieblings-Tools mit Skalpell statt mit Vorschlaghammer bearbeiten


Weitere Informationen:

Weitere Informationen:

Das Sophos 2021 Active Adversary Playbook finden Sie hier.

www.sophos.de
 


Artikel zu diesem Thema

Skalpell Digital
Sep 11, 2021

Admins sollten Lieblings-Tools mit Skalpell statt mit Vorschlaghammer bearbeiten

Was können wir aus den Fallbeispielen, in denen Unternehmen Opfer von Cyberangriffen…
Endpoint Security Baum
Dez 10, 2020

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie…
Cyber Security
Nov 16, 2020

Endpoints, Hacker und Sicherheit in der Digitalisierung

DriveLock, ein Spezialist für IT- und Datensicherheit, veröffentlicht als…

Weitere Artikel

Cyber Security

Wenige Branchen fühlen sich Herausforderungen der IT-Sicherheit gewachsen

Mit der zunehmenden Vernetzung und Digitalisierung wächst das Bedrohungspotenzial von Cyberattacken erheblich und das Risiko von Datenverlust und Datenmanipulation ist hoch. Wenige Branchen fühlen sich im Bereich IT-Sicherheit gut vorbereitet.
Cyber Security

So schützt sich die deutsche Wirtschaft gegen Diebstahl und Spionage

Diebstahl, Spionage und Sabotage können jedes Unternehmen treffen und zu einer existenziellen Gefahr werden. Doch nur die Hälfte der Betriebe im Land verfügt über geregelte Abläufe und Sofort-Maßnahmen, also ein Notfallmanagement, für den Ernstfall.
Cyber Security

3 aktuelle Faktoren, die die IT-Security beeinflussen

Der Oktober steht ganz im Zeichen der Cybersecurity, um Nutzer daran zu erinnern, im Internet vorsichtig mit ihren Daten umzugehen. Nie war diese Warnung so nötig wie heute – immer mehr Menschen nutzen immer mehr digitale Dienste.
Laptop

Fast jeder zweite in Deutschland ist online unsicher unterwegs

Die neue Bitdefender-Studie 2021 Bitdefender Global Report: Cybersecurity and Online Behaviors beleuchtet das Sicherheitsverhalten von Verbrauchern in elf Ländern, darunter auch Deutschland. Auch wenn deutsche Verbraucher im Vergleich zu den Befragten in…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.