Mit der zunehmenden Verbreitung von „Bring Your Own Device“, Schatten-IT und Telearbeit wird die IT-Sicherheit im Unternehmen stark beansprucht. Die Cyberbedrohungen in der Arbeitswelt sind zahlreich, weshalb Lösungen sorgfältig anhand der Definition von zu erkennendem verdächtigem Verhalten evaluiert werden müssten. Eine aufgrund der Komplexität des Themas schwierige Aufgabe. Stormshield bringt Licht ins Dunkel.
Auf einer Workstation kann verdächtiges Verhalten verschiedenartig definiert werden. Zu nennen wäre etwa Software, die ohne Wissen der IT-Abteilung installiert ist und auf Schatten-IT hinweisen könnte. Dann gibt es Anwendungen, die unzweifelhaft als Schadsoftware zu klassifizieren sind. Beispielhaft sei hier Ransomware zu nennen, die nach ihrer Aktivierung schnell damit beginnt, Back-Ups zu löschen und Dateien zu verschlüsseln. Schließlich besteht verdächtiges Verhalten auch aus Ketten eigentlich gewöhnlicher Einzelaktionen, die unbemerkt ausgeführt werden und Schaden anrichten, bevor sie als Bedrohung erkannt werden. Dies ist insbesondere bei APTs („Advanced Persistent Threats“) der Fall.
„Heute sind IT-Manager dafür verantwortlich, verdächtiges Verhalten zu definieren. Die IT-Abteilung ist jedoch nicht allwissend: Arbeitspraktiken und Anwendungen, die von der Norm abweichen und daher als verdächtig gelten, sind in bestimmten Berufsfeldern womöglich üblich und dürfen nicht aufgehalten werden“, erklärt Uwe Gries, Country Manager DACH bei Stormshield.
„Das Definieren von verdächtigem Verhalten dient dem Verständnis, was als Solches erkannt werden muss“, informiert Gries. Diese Analyse erfordert jedoch tiefgreifende Kenntnisse über die Angriffstechniken und insbesondere die Hauptvektoren von Workstation-Infektionen. Drei davon stechen besonders hervor:
Phishing
Phishing wird von 75 bis 80 % der Malware verwendet. Es ist unter Angreifern beliebt, da es sowohl einfach durchzuführen als auch effektiv ist und sehr viele Personen erreichen kann. Die Phishing-Angriffe haben in den letzten Monaten vor dem Hintergrund der Corona-Pandemie, die von Angreifern ausgenutzt wurde, erheblich zugenommen. Darüber hinaus hat die Verlagerung eines großen Teils der Bevölkerung auf Telearbeit diesen Trend weiter verstärkt. Ersten Zahlen zufolge hätten die Phishing-Versuche beispielsweise in der ersten Woche des Lockdowns um 400 % zugenommen.
USB-Geräte
Die Masche besteht darin, einen USB-Stick mit schädlichem Inhalt in der Nähe eines Zielunternehmens auf den Boden zu legen. Die natürliche Neugier einiger Mitarbeiter soll dann dafür sorgen, dass der Stick mitgenommen und an eine Workstation angeschlossen wird.
Remote-Desktop-Protokolle
RDPs („Remote Desktop Protocols“) ermöglichen den Zugriff auf entfernte Rechner und werden gern von Ransomware zweckentfremdet. Auch bei den RDPs verstärkten die Umstände der Pandemie dieses Phänomen und insbesondere Brute-Force-Angriffe. Mitarbeiter greifen durch den Lockdown und die Verbreitung der Telearbeit verstärkt von ihren persönlichen Terminals aus auf ihr berufliches Umfeld zu, ohne unbedingt auf dem aktuellen Stand der IT-Sicherheit zu sein. Die Anzahl der RDP-Kompromittierungen hat daher erheblich zugenommen.
Lösungen zum Schutz der Endgeräte als Rettung
Bisher waren Antivirenprogramme das Mittel der Wahl gegen Cyberangriffe. Neben Endpoint-Lösungen wurden auch andere Verfahren in Betracht gezogen, etwa Sandboxing, mit dem unbekannte oder verdächtige Elemente risikolos in einer isolierten Testumgebung ausgeführt werden können. Ob einzeln oder kombiniert, erwies sich dieser Ansatz schnell als unzureichend, da bestimmte Angriffstechniken versuchen, sich vor der Schutz-Software zu verstecken. Daher müssen Lösungen her, die den gebotenen Schutz um die Erkennung verdächtiges Verhaltens ergänzen.
Fortschrittlichere Sicherheitslösungen wie „Endpoint Protection Platforms“ (EPP) kamen auf, die verdächtiges und eindeutig schädliches Verhalten erkennen und über Workstation-Schutzfunktionen verfügen. Danach erschien das „Endpoint Detection & Response“ (EDR), das auf die Anforderung der proaktiven Erkennung verdächtigen Verhaltens reagiert, indem alles genau verfolgt wird, was auf einer Workstation geschieht, und schwache Signale erkannt werden, etwa den plötzlichen Start zahlreicher Operationen auf derselben Workstation.
EPP- und EDR-Lösungen bieten jeweils interessante Schutz- und Erkennungsniveaus und ergänzen sich vor allem je nach Einsatzbereich der Unternehmen. Eine Technologie, die häufig mit EDR einhergeht, ist künstliche Intelligenz (KI). „Die KI bringt insbesondere eine stärkere Rechenleistung mit sich, die es ermöglicht, unerwartete Verhaltensweisen zu klassifizieren und besser auf sie reagieren zu können“, erklärt Gries.
Die Hersteller müssen in der Lage sein, die Schutzlösungen so zu gestalten, dass sie alle Regeln von vornherein einbetten, damit die richtige Erkennungsstufe bereitgestellt werden kann. Um effektiv zu sein, müssen diese Lösungen daher Schutzmaßnahmen und zugehörige Verhaltensmuster kombinieren. Und doch sind Endpoint-Lösungen naturgemäß nicht unfehlbar. Zur Begrenzung von Fehlalarmen ist es empfehlenswert, eine Whitelist (oder Allowlist) festzulegen, um legitime Anwendungen nicht zu blockieren. Zur Gewährleistung vollständiger Wirksamkeit, sollte man zudem diesen Ansatz für jedes Unternehmen maßgeschneidert verfolgen und den Schutz an unterschiedliche Verhaltensweisen anpassen.