Zugriff auf Applikationen oder andere Ressourcen sperren
Das Erkennen und Abwehren der eben beschriebenen und weiterer Arten von Angriffen auf das Netzwerk gehört ohne Zweifel zu den wichtigsten Aufgaben von Threat Defender. Risiken gehen jedoch nicht immer nur von Angriffen auf das Netzwerk aus. Viel häufiger werden Sicherheitsmechanismen – ob bewusst oder unbewusst – von den Anwendern umgangen oder gleich ganz außer Kraft gesetzt. Ein gutes Beispiel dafür ist die unkontrollierte Nutzung von Fernwartungssoftware wie TeamViewer, AnyDesk oder anderen Werkzeugen.
Neben der Fernsteuerungsfunktion enthalten viele dieser Programme auch ein File-Transfer Modul, mit dessen Hilfe im Rahmen von Fernwartungssitzungen Dateien in beide Richtungen ausgetauscht werden können. Da diese Verbindungen verschlüsselt sind, könnte Malware oder anderer Schadcode auf diesem Wege ins Netzwerk gelangen. Ein anderes Problem sind sog. “Support Scam” Angriffe, bei denen Angreifer sich am Telefon z. B. als Microsoft Techniker ausgeben und versuchen das Opfer zu einer Fernwartungssitzung zu bewegen. Es ist daher eine gute Idee, den Einsatz von Fernwartungssoftware im Unternehmensnetzwerk zu reglementieren. Threat Defender kann die Nutzung dieser und anderer Protokolle (z. B. Cloudspeicher, Streamingdienste oder Tunneling-Software) zuverlässig verhindern oder einschränken.
Dazu erstellen Sie zunächst eine neue Regel (“Policy / Rule”), wählen unter Source und Destination jeweils “Any” und aktivieren in der Sektion “Classification” die Rubrik “Remote Control” im Feld “Applications/Protocols”. Stellen Sie unter “Final Action” nun “Drop Traffic and Stop Processing” ein. Nachdem Sie die Regel gespeichert und die neue Konfiguration aktiviert haben, wird Threat Defender zuverlässig die Nutzung der in der Rubrik “Remote Control” enthaltenen Softwareprodukte unterbinden, während aller sonstiger Verkehr weiterhin ungehindert bzw. im Rahmen der sonstigen Szenarien und Regeln passieren kann.
Fazit
Threat Defender ergänzt IT-Sicherheitseinrichtungen wie Firewalls und Virenscanner auf äußerst sinnvolle Weise. Denn durch die kontinuierliche Analyse und Auswertung des Netzwerkverkehrs erkennt der Threat Defender auch Angriffe, die anderen Sicherheitssystemen verborgen bleiben und und stoppt diese, bevor sie Schaden anrichten können. Zusätzlich kann Threat Defender mit Hilfe von Richtlinien den Netzwerkverkehr auch für Benutzer, Geräte und / oder Applikationen einschränken. Administratoren erhalten damit ein mächtiges Werkzeug, um beispielsweise fremde Geräte im Netzwerk zu identifizieren und zu blocken oder die Nutzung bestimmter Protokolle und Anwendungen zu unterbinden.
Links
https://www.genua.de/loesungen/threat-defender.html
https://core.dpdk.org/supported/