:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Interview mit ISX-Keynote-Speaker Dr. Siegfried Rasthofer Schützen Antivirus- und Endpoint Protection-Lösungen wirklich?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Antivirus-Lösungen gehören zum Unternehmensstandard bei der IT-Sicherheit, trotzdem wird Malware noch immer regelmäßig erfolgreich ausgeführt. ISX-Keynote-Sprecher Dr. Siegfried Rasthofer gibt im Gespräch mit Security-Insider einen Überblick über die neuesten Entwicklungen und Technologien im Bereich Endpoint Security und welche Auswirkungen Bypass-Techniken in Malware auf die Sicherheit von Endpoints haben.
Security-Insider: Herr Dr. Rasthofer, der Titel Ihrer Keynote auf der diesjährigen ISX Conference lautet „Schützen Antivirus- und Endpoint Protection-Lösungen wirklich?“ Jetzt hat man Unternehmen jahrzehntelang gesagt, dass ein guter Virenschutz unerlässlich ist und jetzt schützt das womöglich gar nicht mehr ausreichend?
Dr. Siegfried Rasthofer: Antivirus- und Endpoint Protection-Lösungen spielen nach wie vor eine wichtige Rolle beim Schutz vor Malware und anderen Bedrohungen. Allerdings hat sich die Landschaft der Cyberbedrohungen weiterentwickelt, und aktuelle Angriffsmethoden wie Zero-Day-Exploits und gezielte Angriffe erfordern zusätzliche Sicherheitsmaßnahmen. Daher ist es wichtig, dass Unternehmen ihre Sicherheitsstrategie erweitern und eine mehrschichtige Verteidigung implementieren. Eine ganzheitliche Sicherheitsstrategie, die auf aktuellen Bedrohungen basiert, ist unerlässlich, um die Sicherheit von Unternehmen zu gewährleisten.
Security-Insider: „Antivirus“ war ja eigentlich „gestern“, heute heißen die Lösungen „Endpoint Detection“, „EDR“ oder „EPP“ können Sie mal kurz beschreiben, was sich da denn in den vergangenen Jahren grundlegendes geändert hat?
Dr. Rasthofer: In den letzten Jahren hat sich der Fokus von herkömmlichen Antivirus-Lösungen hin zu Endpoint Detection and Response (EDR) verschoben. EDR bietet eine erweiterte Bedrohungserkennung und Reaktionsfähigkeit durch kontinuierliche Überwachung, automatisierte Bedrohungsanalyse und forensische Untersuchungen. Im Gegensatz zu traditionellen Signaturen bei Antivirus-Lösungen basiert EDR auf Verhaltensanalysen und maschinellem Lernen, um unbekannte oder fortschrittliche Bedrohungen zu erkennen. Durch umfangreiche Protokollierung und Echtzeitüberwachung ermöglicht EDR eine schnelle Reaktion auf Sicherheitsvorfälle und verbessert die Gesamtsicherheit des Endpunkts. Die Verlagerung von Antivirus zu EDR spiegelt die Notwendigkeit wider, sich an die sich entwickelnde Bedrohungslandschaft anzupassen und gezieltere Abwehrmaßnahmen einzusetzen.
Security-Insider: Die Anti-Malware-Lösungen haben sich ja vor allem weiterentwickelt, weil sich die Malware selbst immer mehr weiterentwickelt hat. Vor 15 Jahren begann gerade erst der Siegeszug der Ransomware. Was waren da die wichtigsten Entwicklungsschritte, die uns auch heute noch Probleme bereiten?
Dr. Rasthofer: Im Laufe der letzten 15 Jahre haben Anti-Malware-Lösungen wichtige Entwicklungsschritte vollzogen, um den sich weiterentwickelnden Bedrohungen durch Malware gerecht zu werden. Verbesserungen umfassen fortgeschrittene Erkennungstechnologien, Verhaltensanalyse, Sandboxing und maschinelles Lernen. Dennoch stellen uns bis heute unterschiedliche Bedrohungen wie Software-Supply-Chain Angriffe, Zero-Day und N-Day Schwachstellen und insbesondere der Aufstieg von Ransomware-as-a-Service (RaaS) vor große Probleme. RaaS ermöglicht es Kriminellen, leichter Ransomware-Angriffe durchzuführen. Um solche Herausforderungen zu bewältigen, sind kontinuierliche Innovationen in der Sicherheitsindustrie erforderlich, um auch fortgeschrittene Bypass-Techniken effektiv abzuwehren.
Security-Insider: Schadsoftware hat ja schon seit den ersten polymorphen Viren versucht Erkennungssoftware zu umgehen. Was zeichnet die neuen Bypass-Techniken denn im Besonderen aus, was macht sie so gefährlich?
Dr. Rasthofer: Bei der Betrachtung von Bypass-Techniken sollte zwischen Antivirus (AV) und Endpoint Detection and Response (EDR) unterschieden werden.
Bei AV-Bypass-Techniken werden häufig Code-Obfuskation oder die Ausnutzung einer Fehlkonfigurationen der Lösung eingesetzt. Zusätzlich kann das gezielte Beenden der AV-Engine durch Prozessbeendigung verwendet werden, um die Funktionalität des Schutzprogramms zu deaktivieren. Letzteres ist aber in der Regel erst möglich, wenn der Angreifer über die entsprechenden privilegierten Zugriffsrechte verfügt.
EDR-Bypass-Techniken hingegen sind komplexer und nutzen Techniken wie Zero-Day Schwachstellen oder auch das Prinzip des "Living off the Land". Letzteres bezieht sich auf die Ausnutzung bereits vorhandener Tools und Funktionen des Systems, um schädliche Aktivitäten auszuführen, was es schwieriger macht, sie zu erkennen und zu blockieren. Hierbei sind auch Techniken wie das Einbinden von unsicheren Treibern („bring your own vulnerable driver“) eine gängige Technik.
Die Gefährlichkeit dieser Bypass-Techniken liegt in ihrer Fähigkeit, den herkömmlichen Schutz zu umgehen und schädliche Aktivitäten unauffällig auszuführen. Dadurch können Angreifer länger im System unentdeckt bleiben, was das Risiko von Datenverlust, Betriebsunterbrechungen und finanziellen Schäden erhöht. Unternehmen müssen sich dieser Bypass-Techniken bewusst sein und ihre Sicherheitsmaßnahmen kontinuierlich verbessern, um ihnen effektiv entgegenzutreten.
Security-Insider: Welche Bypass-Technik sehen Sie am Häufigsten in der Praxis?
Dr. Rasthofer: In der Praxis sind die häufigsten Bypass-Techniken eher einfacher Natur, wie das Beenden des Antivirus-Programms (Prozess) oder die Ausnutzung von Fehlkonfigurationen in Antivirus und Endpoint Detection and Response. Diese Techniken ermöglichen es Angreifern, vorübergehend unerkannt zu bleiben. Allerdings treten auch gelegentlich aufwendigere Techniken auf, wie beispielsweise die Nutzung fortschrittlicher Code-Obfuskation oder Zero-Day-Exploits, um gezielte Angriffe durchzuführen.
Security-Insider: Was können Unternehmen tun, um sich gegen solche sich tarnenden Malware-Exemplare zu wehren, wenn es schon der dafür gekaufte Endpoint-Schutz nicht hundertprozentig kann?
Dr. Rasthofer: Um sich gegen sich aktuelle Angriffe zu wehren, sollten Unternehmen eine umfassende Sicherheitsstrategie verfolgen. Neben dem Einsatz von Antivirus und Endpoint Protection ist es wichtig, weitere Sicherheitsmaßnahmen zu implementieren.
Ein Zero-Trust-Ansatz stellt sicher, dass keine Verbindung oder Zugriff als vertrauenswürdig angesehen wird, sondern stets gründlich überprüft wird. Identitäts- und Zugriffsmanagement ermöglichen eine granulare Kontrolle über Berechtigungen und verhindern unbefugten Zugriff auf sensible Daten und Systeme. Patch-Management stellt sicher, dass Sicherheitslücken geschlossen werden und keine bekannten Schwachstellen ausgenutzt werden können.
Netzwerksegmentierung hilft, die Ausbreitung von Malware einzudämmen und begrenzt potenzielle Schäden auf bestimmte Bereiche des Netzwerks. Durch die Implementierung von Multi-Faktor-Authentifizierung wird die Sicherheit von Konten erhöht, da mehrere Bestätigungsschritte erforderlich sind.
Darüber hinaus ist die Vorbereitung auf den Ernstfall von großer Bedeutung. Ein Incident Response Plan legt klare Verfahren fest, um auf Sicherheitsvorfälle effektiv zu reagieren. Regelmäßige Übungen ermöglichen es den Mitarbeitern, mit den Verfahren vertraut zu werden und im Ernstfall angemessen zu handeln.
Indem Unternehmen diese Maßnahmen umsetzen, können sie ihre Verteidigungsfähigkeiten stärken und sich gegen aktuelle Angriffe besser schützen, selbst wenn der Endpoint-Schutz nicht hundertprozentig wirksam ist. Eine umfassende Sicherheitsstrategie, die diese Aspekte berücksichtigt und die Vorbereitung auf den Ernstfall einschließt, minimiert das Risiko von Sicherheitsverletzungen und trägt zur effektiven Abwehr von Bedrohungen bei.
Über die ISX IT-Security Conference
Die ISX 2023 findet am 28. Juni in Hamburg, am 4. Juli in Mainz und am 6. Juli in München statt. Für Anwender ist die Teilnahme an der ISX kostenfrei. IT-Dienstleister nehmen mit dem Zugangscode ISX23-SEI zum reduzierten Preis von 75 Euro (inkl. MwSt.) teil.
(ID:49514884)
:quality(80)/p7i.vogel.de/wcms/ff/8c/ff8cc96eb42ca850029b3d5b871efa9a/0112738659.jpeg "Insgesamt 650 IT-Security- und Informationssicherheits-Verantwortliche, Dienstleister und Anbieter waren auf der 22. ISX IT-Security Conference in Hamburg, Mainz, München und im Livestream mit dabei. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/cf/c1/cfc15768cd954045cad84db0594404d9/0112503478.jpeg "Intercept X bietet fortschrittlichen Schutz gegen Ransomware und stellt verschlüsselte Dateien wieder her. (Bild: Canva)")