Nach den verheerenden Ransomeware-Angriffen der vergangenen Wochen überdenken jetzt viele Unternehmen ihre Schutzmaßnahmen. Was müssen Endpunktschutz-Lösungen der nächsten Generation leisten, um Schadsoftware zu stoppen?
Der rasante Beutezug der Erpresser-Ransomware WannaCry und NotPetya sowie deren fatale Folgen für Krankenhäuser, Automobilhersteller und Unternehmen auf der ganzen Welt haben uns einmal mehr die Verletzlichkeit unserer IT-Systeme vor Augen geführt. Und auch die Ergebnisse der aktuellen eco-Studie IT-Sicherheit 2017 zeichnen ein ähnlich düsteres Bild wenn es um die Cybersicherheit unserer Unternehmen geht. Demnach hatte etwa jeder Dritte Security-Experte in jüngerer Zeit mit einem Ransomware-Sicherheitsvorfall zu kämpfen. Grund genug also für alle Unternehmen – egal welcher Größe und Branche – , das eigene Sicherheitsmanagement zu überdenken. Der Sicherheit der Endpunkte – dem beliebtesten Einfallstor von Hackern – gilt es dabei besondere Aufmerksamkeit zu schenken.
Rund 70 Prozent aller Datenpannen und Cyber-Betrügereien können auf böswillige Angriffe auf Endpunkte zurückgeführt werden – Tendenz steigend, denn die zunehmende Vernetzung, Trends wie BYOD (Bring Your Ownn Device) und nicht zuletzt das Internet der Dinge sorgen für immer mehr potenzielle Tatorte. Viele Sicherheitsprobleme sind dabei jedoch hausgemacht und an sich vermeidbar. So setzen sich Unternehmen vor allem durch das Festhalten an veralteten Systemen wie Windows XP, für die es keine Updates mehr gibt, aber insbesondere durch den Einsatz unzureichender Sicherheitslösungen fahrlässig großen Risiken aus. Doch dass unsere lang bewährten Anti-Virus-Technologien den Cyber-Bedrohungen unserer Zeit einfach nicht mehr gewachsen sind, muss wie es scheint in den Köpfen der meisten IT-Verantwortlichen erst noch ankommen.
Das große Manko signaturbasierter AV-Lösungen
Das größte Problem von traditionellen Antiviruslösungen (AV) ist und bleibt ihr signaturbasierter Ansatz und das daraus resultierende Defizit, unbekannte bzw. noch unentdeckte Schadsoftware sowie verschleierte Angriffe nicht identifizieren zu können. Cyberkriminelle haben dieses Manko längst für sich entdeckt und konzentrieren sich deshalb vermehrt auf hochentwickelte Angriffsvarianten wie etwa speicherbasierte Angriffe, sogenannte Memory-based Attacks. Dabei kommt Malware zum Einsatz, die lediglich im Speicher aktiv ist und dort von legitimer Software ausgeführt wird. Da keinerlei Rückstände auf der Festplatte zurück bleiben, sind solche speicherbasierten Angriffe im Nachhinein – z.B. nach einem Systemneustart – kaum nachweisbar. Doch so raffiniert müssen Hacker letztlich gar nicht agieren, um ans Ziel zu kommen, denn auch mit der Entdeckung herkömmlicher signaturbasierter Malware sind klassische AV-Lösungen immer öfter überfordert. Das liegt nicht zuletzt an der schieren Menge neuer Schadprogramme, die Cyberkriminelle jeden Tag in Umlauf bringen – Schätzungen zufolge ca. 370 pro Minute bzw. bis zu 390.000 täglich. Das Problem: Nur für rund 20 Prozent aller Schadprogramme existieren entsprechende Signaturen in bestehenden AV-Modulen, wie der Enterprise Risk Index von SentinelOne jüngst ermittelt hat. Dem Großteil der signaturbasierten Angriffe steht AV also vollkommen hilflos gegenüber.
Nur Verhaltensanalyse-Technik kann fortschrittliche Schadsoftware stoppen
Unternehmen, die der heutigen Bedrohungslandschaft standhalten und ihre Endgeräte effektiv vor Malware-Angriffen jeglicher Art und Schwere schützen wollen, dürfen sich also nicht weiterhin ausschließlich auf herkömmliche AV-Lösungen verlassen. Vielmehr müssen sie sich auf neue Technologien fokussieren, die die Bedrohungen am Endpunkt anhand ihres Verhaltens identifizieren und den Verantwortlichen die Möglichkeiten bieten, schnell einzugreifen bzw. gleich automatisch selbst eingreifen. Endpunktschutzlösungen der nächsten Generation beruhen auf dynamischen Verhaltensanalysen, d.h. einer Echtzeit-Überwachung von Anwendungs- und Prozessverhaltensweisen auf Grundlage einer Low-Level-Instrumentierung von Betriebssystemaktivitäten, und erkennen deshalb verlässlich auch unbekannte und hochentwickelte Malware. Überdies bieten einige Lösungen Funktionen zur Überprüfung der Ausführung und Assemblierung des tatsächlichen Ausführungskontexts, da sich viele Angriffe in legitime Anwendungen einschleusen und ihre schädlichen Aktivitäten so verbergen. Wurde ein Angriff erfolgreich identifiziert, gilt es in einem zweiten Schritt, diesen so schnell wie möglich abzuwehren und vollständig vom System zu entfernen. Die ideale Endpoint Protection verfügt daher über richtlinienbasierte und individuell anpassbare Abwehrmaßnahmen, die gefährliche Schädlinge z.B. in Quarantäne verschieben oder eine Entfernung des infizierten Systems vom Netzwerk veranlassen.
Und auch über eine gewisse Reparatur-Intelligenz sollte die eingesetzte Endpunktlösung verfügen, denn ist es Schadsoftware erst einmal gelungen, in ein System einzudringen und Schadcode auszuführen, können Systemdateien in Sekundenschnelle modifiziert und Konfigurationseinstellungen gelöscht werden. Intelligente Sicherheitslösungen sind daher in der Lage, Modifikationen automatisch rückgängig zu machen und den ursprünglichen Ausführungszustand wiederherzustellen. Wurden etwa Daten bei einem Ransomware-Angriff verschlüsselt, spielt die Endpunktlösung ein zuvor vollständig generiertes Backup automatisch ein und verhindert so Datenverlust oder Zugriffsunterbrechungen.
Eine hundertprozentige Sicherheit kann es bei der Abwehr von Hackerangriffen nie geben, denn der Einfallsreichtum und die kriminelle Energie, die insbesondere von nationalstaatlich veranlassten Attacken ausgeht, werden immer wieder Wege finden, unsere noch so hochentwickelten Sicherheitstechnologien zu überwinden. Durch den Einsatz von Next Generation Sicherheitslösungen können Unternehmen jedoch alles ihnen Mögliche tun, um mit den Cyberkriminellen so gut es geht Schritt zu halten und im Falle eines Angriffs Haftungsrisiken und Bußgelder abzuwenden. Dies dürfte vor allem hinsichtlich der im Mai 2018 in Kraft tretenden EU Datenschutzgrundverordnung ein nicht zu vernachlässigender Aspekt des Sicherheitsmanagements sein.
Rainer M. Richter, Director CEE, SentinelOne