Anzeige

Sicherheit Schloss

Mit der zunehmenden Verbreitung von „Bring Your Own Device“, Schatten-IT und Telearbeit wird die IT-Sicherheit im Unternehmen stark beansprucht. Die Cyberbedrohungen in der Arbeitswelt sind zahlreich, weshalb Lösungen sorgfältig anhand der Definition von zu erkennendem verdächtigem Verhalten evaluiert werden müssten. Eine aufgrund der Komplexität des Themas schwierige Aufgabe. Stormshield bringt Licht ins Dunkel.

Auf einer Workstation kann verdächtiges Verhalten verschiedenartig definiert werden. Zu nennen wäre etwa Software, die ohne Wissen der IT-Abteilung installiert ist und auf Schatten-IT hinweisen könnte. Dann gibt es Anwendungen, die unzweifelhaft als Schadsoftware zu klassifizieren sind. Beispielhaft sei hier Ransomware zu nennen, die nach ihrer Aktivierung schnell damit beginnt, Back-Ups zu löschen und Dateien zu verschlüsseln. Schließlich besteht verdächtiges Verhalten auch aus Ketten eigentlich gewöhnlicher Einzelaktionen, die unbemerkt ausgeführt werden und Schaden anrichten, bevor sie als Bedrohung erkannt werden. Dies ist insbesondere bei APTs („Advanced Persistent Threats“) der Fall.

„Heute sind IT-Manager dafür verantwortlich, verdächtiges Verhalten zu definieren. Die IT-Abteilung ist jedoch nicht allwissend: Arbeitspraktiken und Anwendungen, die von der Norm abweichen und daher als verdächtig gelten, sind in bestimmten Berufsfeldern womöglich üblich und dürfen nicht aufgehalten werden“, erklärt Uwe Gries, Country Manager DACH bei Stormshield.

„Das Definieren von verdächtigem Verhalten dient dem Verständnis, was als Solches erkannt werden muss“, informiert Gries. Diese Analyse erfordert jedoch tiefgreifende Kenntnisse über die Angriffstechniken und insbesondere die Hauptvektoren von Workstation-Infektionen. Drei davon stechen besonders hervor:

Phishing

Phishing wird von 75 bis 80 % der Malware verwendet. Es ist unter Angreifern beliebt, da es sowohl einfach durchzuführen als auch effektiv ist und sehr viele Personen erreichen kann. Die Phishing-Angriffe haben in den letzten Monaten vor dem Hintergrund der Corona-Pandemie, die von Angreifern ausgenutzt wurde, erheblich zugenommen. Darüber hinaus hat die Verlagerung eines großen Teils der Bevölkerung auf Telearbeit diesen Trend weiter verstärkt. Ersten Zahlen zufolge hätten die Phishing-Versuche beispielsweise in der ersten Woche des Lockdowns um 400 % zugenommen.

USB-Geräte

Die Masche besteht darin, einen USB-Stick mit schädlichem Inhalt in der Nähe eines Zielunternehmens auf den Boden zu legen. Die natürliche Neugier einiger Mitarbeiter soll dann dafür sorgen, dass der Stick mitgenommen und an eine Workstation angeschlossen wird.

Remote-Desktop-Protokolle

RDPs („Remote Desktop Protocols“) ermöglichen den Zugriff auf entfernte Rechner und werden gern von Ransomware zweckentfremdet. Auch bei den RDPs verstärkten die Umstände der Pandemie dieses Phänomen und insbesondere Brute-Force-Angriffe. Mitarbeiter greifen durch den Lockdown und die Verbreitung der Telearbeit verstärkt von ihren persönlichen Terminals aus auf ihr berufliches Umfeld zu, ohne unbedingt auf dem aktuellen Stand der IT-Sicherheit zu sein. Die Anzahl der RDP-Kompromittierungen hat daher erheblich zugenommen.

Lösungen zum Schutz der Endgeräte als Rettung

Bisher waren Antivirenprogramme das Mittel der Wahl gegen Cyberangriffe. Neben Endpoint-Lösungen wurden auch andere Verfahren in Betracht gezogen, etwa Sandboxing, mit dem unbekannte oder verdächtige Elemente risikolos in einer isolierten Testumgebung ausgeführt werden können. Ob einzeln oder kombiniert, erwies sich dieser Ansatz schnell als unzureichend, da bestimmte Angriffstechniken versuchen, sich vor der Schutz-Software zu verstecken. Daher müssen Lösungen her, die den gebotenen Schutz um die Erkennung verdächtiges Verhaltens ergänzen.

Fortschrittlichere Sicherheitslösungen wie „Endpoint Protection Platforms“ (EPP) kamen auf, die verdächtiges und eindeutig schädliches Verhalten erkennen und über Workstation-Schutzfunktionen verfügen. Danach erschien das „Endpoint Detection & Response“ (EDR), das auf die Anforderung der proaktiven Erkennung verdächtigen Verhaltens reagiert, indem alles genau verfolgt wird, was auf einer Workstation geschieht, und schwache Signale erkannt werden, etwa den plötzlichen Start zahlreicher Operationen auf derselben Workstation.

EPP- und EDR-Lösungen bieten jeweils interessante Schutz- und Erkennungsniveaus und ergänzen sich vor allem je nach Einsatzbereich der Unternehmen. Eine Technologie, die häufig mit EDR einhergeht, ist künstliche Intelligenz (KI). „Die KI bringt insbesondere eine stärkere Rechenleistung mit sich, die es ermöglicht, unerwartete Verhaltensweisen zu klassifizieren und besser auf sie reagieren zu können“, erklärt Gries.

Die Hersteller müssen in der Lage sein, die Schutzlösungen so zu gestalten, dass sie alle Regeln von vornherein einbetten, damit die richtige Erkennungsstufe bereitgestellt werden kann. Um effektiv zu sein, müssen diese Lösungen daher Schutzmaßnahmen und zugehörige Verhaltensmuster kombinieren. Und doch sind Endpoint-Lösungen naturgemäß nicht unfehlbar. Zur Begrenzung von Fehlalarmen ist es empfehlenswert, eine Whitelist (oder Allowlist) festzulegen, um legitime Anwendungen nicht zu blockieren. Zur Gewährleistung vollständiger Wirksamkeit, sollte man zudem diesen Ansatz für jedes Unternehmen maßgeschneidert verfolgen und den Schutz an unterschiedliche Verhaltensweisen anpassen. 

Uwe Gries, Country Manager DACH
Uwe Gries
Country Manager DACH, Stormshield
Als Country Manager DACH bei Stormshield verantwortet Uwe Gries seit Januar 2018 die Aktivitäten des Unternehmens im gesamtdeutschen Sprachgebiet. Dank der über zwanzigjährigen berufliche Laufbahn in Führungs- und Managementfunktionen im Vertrieb von Soft- und Hardware mit disziplinarischer Verantwortung für bis zu knapp 60 Mitarbeitern bei Unternehmen wie G DATA Software AG, Avira, Computacenter u.v.m. verfügt Gries über umfangreiche Erfahrung im direkten und indirekten Vertrieb und ausgezeichnete Kenntnisse der IT/ITC-Märkte.

Artikel zu diesem Thema

Whitepaper EDR on Premises?
Mär 31, 2021

EDR on Premises?

Endpoint Detection and Response (EDR) war bis vor wenigen Jahren großen Unternehmen mit…
Cyber Attacke
Dez 14, 2020

Konzernzentrale bis Homeoffice: Angreifer nutzen jede Front

Der veröffentlichte Internet Security Report von WatchGuard Technologies für das dritte…
BYOD
Nov 27, 2020

Fallstricke beim BYOD-Modell: Worauf müssen Länder und Kommunen achten?

Mobiles Arbeiten beschleunigt die öffentliche Verwaltung und ermöglicht den Mitarbeitern…

Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.