Die nächste Generation der Endpoint Security

10 Anzeichen die Endpunkt-Sicherheit zu überdenken

| Autor / Redakteur: Rob Collins, Cylance / Sylvia Lösel

Wie ist es in ihrem Unternehmen um den Endpoint-Schutz bestellt? Hier ist eine Checkliste.
Wie ist es in ihrem Unternehmen um den Endpoint-Schutz bestellt? Hier ist eine Checkliste. (Bild: gemeinfrei / CC0)

Die nächste Generation von Lösungen zum Schutz der Endpunkte (EPP) vor codebasierten Angriffen ist bereits seit einigen Jahren auf dem Markt. Trotzdem bleiben viele Unternehmen bei ihrer traditionellen Lösung. Doch das ist unter Umständen alles andere als ein guter Weg.

Im Wesentlichen gibt es zwei Gründe, wenn Unternehmen bei ihren traditionellen Lösungen zum Endpunkt-Schutz bleiben. Entweder sie sind sich der Vorteile neuartiger Ansätze nicht bewusst. Oder sie gehen den Weg des geringsten Widerstands und erneuern lieber Jahr für Jahr die Lizenzen der bestehenden Lösung. Dabei wird vielfach davon ausgegangen, dass traditionelle Lösungen ausreichend sicher sind. Genauso normal ist es offensichtlich für viele IT-Abteilungen enorm viel Zeit in deren Verwaltung zu investieren. Dabei ist die nächste Generation von Lösungen zum Endpunkt-Schutz schon auf dem Markt. Da es nie leicht ist, den richtigen Zeitpunkt für eine Veränderung zu bestimmen, haben wir 10 Anzeichen zusammengestellt, die signalisieren: Es ist an der Zeit etwas zu tun.

1. Sie verwenden signaturbasierte Antivirenlösungen.

Es liegt in der Natur der Sache, dass signaturbasierte Technologien zu langsam sind, um mit Zero-Day-Angriffen, Malware-Morphing oder einer Neukompilierung durch Packer Schritt zu halten. Und es gibt immer jemanden, der zunächst Opfer eines solchen Angriffs geworden ist. Erst dann erstellen die betreffenden Anbieter die Signatur, geben sie an Kunden weiter und testen sie, damit sie anschließend ausgerollt werden kann. Es kann Tage dauern bis eine Malware identifiziert ist. Jedes System, das nur einen einzigen Tag nicht auf den neuesten Stand gebracht wurde, ist anfällig.

Ruhende, virtuelle Maschinen sollen im Falle eines Malware-Ausbruchs dafür sorgen, dass der Geschäftsbetrieb nicht unterbrochen wird. Ohne die neuesten Signaturen sind diese Maschinen aber genauso gefährdet wie die übrigen Systeme. Wer den Status seiner Cybersicherheit unter anderem an der Anzahl von Systemen mit aktuellen Signaturen bemisst, sollte an dieser Stelle seinen Endpunktschutz genauer unter die Lupe nehmen.

Ein anderes Problem ist, dass Signatursätze nicht unendlich groß sind, so dass Anbieter von Antivirenlösungen Signaturen für Malware ablegen, bei der sie davon ausgehen, dass sie in „freier Wildbahn“ nicht mehr auftreten. Es passiert allerdings häufiger, dass Next Generation AV auch ältere Malware auf Fileservern findet. Ein Beispiel ist WannaCry. Sogenannte Next-Gen-Lösungen kommen demgegenüber ohne Signaturen aus.

2. Ransomware, „Business as Usual“?

Die immense Zahl von Ransomware-Angriffen in den letzten Jahren weist nicht zuletzt darauf hin, dass traditionelle Antivirenlösungen nicht mehr greifen. Als Workaround haben viele Unternehmen ihre Backup-Prozesse verbessert, Rollback-Software und Application Whitelisting eingeführt. Alles, um besser auf Ransomware vorbereitet zu sein. Für viele Firmen ist Ransomware inzwischen Teil des „Business as usual“, und bis zu drei Ausbrüche pro Jahr werden als kontrollierbar eingestuft.

Ransomware hat zumindest einen „Vorteil“, sie gibt sich als solche zu erkennen. Nur bleibt es nicht unbedingt bei Ransomware allein. Oftmals kommen gleichzeitig Remote Access Trojaner (RATs), Keylogger oder Advanced Persistent Threats (APTs) im Hintergrund zum Einsatz und alle erlauben Datenklau im großen Stil. Aktuelle EPP-Lösungen verhindern Ransomware- und andere Malware- und Zero-Day-Angriffe.

3. Sie machen immer noch regelmäßig Hintergrund-Scans.

Traditionelle Antivirenlösungen kommen nicht ohne tägliche oder wöchentliche Scans aus. Die sind nötig, um Malware anhand neuer Informationen aus den täglichen Signatur-Updates zu erkennen. Benutzer verschieben diese Scans gerne, zum Beispiel auf Nachtzeiten oder lassen die Scans pausieren. Warum? Weil sie die Performance beeinträchtigen. Bei modernen EPP-Lösungen entfallen Hintergrundscans.

4. Selbst neue Systeme sind zu langsam.

Traditionelle Antivirenlösungen beanspruchen einen großen Teil der Systemressourcen. Dazu kommen ergänzende Sicherheitslösungen für die Bereiche, die traditionelle AV-Lösungen nicht abdecken. Wünschenswert sind Lösungen, die nur wenige zusätzliche Bandbreite für sich beanspruchen, und die Nutzer nicht beeinträchtigen.

5. Sie verwenden weiterhin einen lokalen Server für die AV-Verwaltung.

Wir schreiben das Jahr 2018. Wer heute seine Antivirenlösung noch nicht über die Cloud verwalten kann, sollte dringend ein Update durchführen. Aber Vorsicht - einige AV-Lösungen der nächsten Generation erfordern eine ständige Internetverbindung, um effektiv zu arbeiten. Andere bleiben auch ohne permanente Internetverbindung wirksam.

6. Sie verbringen zu viel Zeit mit der AV-Verwaltung

Das Verwalten eine AV-Lösung bringt einem Unternehmen keinerlei Mehrwert. Und dieser Aufwand lässt sich minimieren: Einfach gehaltene Richtlinien, keine Fehlalarme, kein Nachverfolgen täglicher Updates oder Hintergrund-Scans und kein Management-Server, der zusätzlich gewartet werden muss. Das setzt Ressourcen für wertschöpfende Tätigkeiten und anspruchsvollere IT-Sicherheitsaufgaben frei.

7. Sie verbringen zu viel Zeit mit Warnhinweisen, die sich als unwichtig herausstellen.

Signaturen sind gut geeignet um bekannte Malware zu stoppen, und sie führen in der Regel nur zu wenigen Fehlalarmen. Zusätzlichen Funktionen mit denen man neuartige Malware stoppen will, führen tendenziell zu deutlich mehr Fehlalarmen. Heuristiken, verhaltensbasierte Identifikation, Sandboxing, Host-basierte Intrusion Prevention, URL- und Reputationsfilterung haben ganz einfach das Potenzial für Rauschen und Fehlalarme.

8. Sie glauben nicht mehr an die Wirksamkeit der EPP?

Application Whitelisting, Host-Based IPS, Reputation Filtering, Sandboxing, Data Loss Prevention, Behavior-Based Malware Detection oder Host-Based Firewalls – wenn es allein nach dem potenziellen Investitionsvolumen in IT-Sicherheitslösungen geht, haben Anbieter traditioneller Antivirenlösungen wenig Grund ihr Kernprodukt zu verändern. Für einen Sicherheitsansatz dessen Credo „Defense in Depth“ lautet, lassen sich diverse Technologien weiterhin gut vermarkten.

9. EDR statt EPP?

Endpoint Detect and Response (EDR) ist schnell zum Liebling der Branche avanciert. Dabei existieren zwei unterschiedliche Betrachtungsweisen. Die Einen betrachten EDR als eine weitere Sicherheitsebene, die man parallel zur traditionellen AV-Lösung einsetzt, um durch Malware entstandene Schäden zu identifizieren und zu reduzieren. Die Anderen sehen EDR als präventive Lösung. Sie liefert mehr Informationen dazu, wie eine Malware in ein System gelangt ist, hilft, Angreifer zu identifizieren, verfügt über leistungsstarke Suchfunktionen um Anzeichen für eine Kompromittierung zu erkennen ebenso wie bestimmte Indikatoren für einen erfolgten Angriff. Das sind etwa Änderungen an Host-Dateien, die Nutzung von PowerShell für illegitime Zwecke oder gelöschte Protokolle. Unabhängig davon, welcher Betrachtungsweise man sich anschließt, wer seiner EPP-Lösung nicht vertraut, der sollte sich nach einer Alternative umsehen.

10. Sie müssen Ihre Betriebssysteme aktualisieren, weil die AV-Lösung sie nicht mehr unterstützt

Gerade Krankenhäuser und Einzelhandel sind dafür bekannt, ältere Betriebssysteme zu betreiben. Einfach, weil die Budgets knapp sind oder die betreffenden Systeme noch ihren Dienst tun. Betriebliche Technologieumgebungen sind häufig daran gebunden weiterhin die Systeme zu nutzen, die ursprünglich eingesetzt wurden – aber nicht aktualisiert werden können. Da moderne Lösungen zum Schutz von Endpunkten, die Leistung so gut wie nicht negativ beeinflussen kann man sie meistens auch mit älteren Betriebssystemen kombinieren.

Fazit

Es ist an der Zeit den vielerorts bestehenden Endpoint-Schutz zu überprüfen. Dafür gibt es ausreichend gute Gründe. Auch den, nicht unbedingt mit der eigenen Firma die nächste Sicherheitsschlagzeile zu liefern. Ziel muss es sein, IT-Mitarbeitende von zeitaufwendigen Routineaufgaben zu entlasten und Ressourcen für wertschöpfende Tätigkeiten freizusetzen. Das ist mit traditionellen AV-Lösungen kaum möglich. Neben Kosten, Reibungsverlusten und Leistungseinbußen führt diese Strategie nicht selten dazu, dass die Schatten-IT wächst. Mehr Layer bedeuten nicht zwangsläufig mehr Sicherheit. Das ist ein Branchenmythos, der sich hartnäckig häöt, aber durch Wiederholen nicht unbedingt zutreffender wird.

Der Autor Rob Collins ist vom Spezialisten für KI-basierte Sicherheitslösungen Cylance.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45557127 / Endpoint)