Categories: Sicherheit

Endpoint Detection and Response: Schadsoftware und Cyberangriffe schnell erkennen und abwehren

Ransomware: So schützen sich Unternehmen. Jetzt herunterladen. (Infografik: Malwarebytes)

Das IT-Sicherheitsunternehmen Malwarebytes hat im ersten Quartal international eine Zunahme von Malware von über 500% im Vergleich zum Vorjahr festgestellt. In Deutschland wurde ein Anstieg von über 900% gemessen. Der SMB Threat Report von Malwarebytes macht also schnell klar, dass Unternehmen auf dieses Wachstum von Angriffen reagieren müssen, und dass in den meisten Fällen herkömmliche Virenscanner kaum ausreichen, um für ausreichend Schutz zu sorgen.

Angriffe auf Unternehmensnetzwerke durch Hacker, aber auch durch Schadsoftware können beträchtlichen Schaden verursachen. Dazu kommen Strafen, wenn Daten von Personen gestohlen oder kompromittiert werden. Der Imageverlust eines Unternehmens, wenn Hacker oder Schadsoftware im Netzwerk eindringen, kostet ebenfalls Geld und Kunden. Das macht deutlich, dass Unternehmen aller Größenordnung dafür sorgen müssen, dass die Endgeräte im Netzwerk möglichst gut geschützt sind. Einfache Sicherheitssoftware ist dafür den heutigen Anforderungen kaum mehr gewachsen.

Jedes Jahr wächst die Anzahl von Cyberangriffe durch Hacker, Trojaner oder anderer Schadsoftware stark an. Dazu kommen Bot-Netze, welche oft die Kontrolle über Rechner übernehmen. Auch Angriffe von bösartigen Webseiten sind eine Gefahr für Rechner in Unternehmensnetzwerken oder Heimarbeitsplätzen. Um die Sicherheit für die Endgeräte zu gewährleisten müssen Unternehmen also auf moderne und zuverlässige Software setzen, welche die Sicherheitsherausforderungen der nächsten Jahre meistern kann.

Malwarebytes Endpoint-Cloud-Plattform ersetzt Antivirenscanner

Die neue Endpoint-Cloud-Plattform von Malwarebytes bietet zuverlässigen Schutz für Unternehmen vor Hackern und Schadsoftware. Die Lösung soll Virenscanner in Netzwerken komplett ersetzen können. Die neue Plattform fasst die Lösungen Incident Response und Endpoint Protection von Malwarebytes zusammen. Verwaltet wird die Umgebung mit einer cloudbasierten Managementlösung. Der starke Anstieg von Malware zeigt, dass Unternehmen dringend reagieren müssen und herkömmlichen Virenscanner kaum mehr ausreichen. Endpoint-Cloud-Plattform geht beim Schutz von Netzwerken deutlich weiter als herkömmliche Virenscanner.

Dazu arbeitet die Software nicht mit herkömmlichen Virendefinitionsdateien/Signaturdateien und damit Beispielen von Malware, sondern kann selbst Angriffe durch Machine Learning erkennen und bekämpfen. Die signaturlose Anomalieerkennung, basierend auf Machine Learning, stellt im Grunde genommen die Sicherheitssoftware der nächsten Generation dar, die mit den Herausforderungen an die Sicherheit in der heutigen Zeit zurechtkommt. Durch das intelligente Lernen von Angriffen lassen sich auch neue Bedrohungen extrem schnell erkennen und verhindern.

Durch die Machine Learning-Funktionen und die signaturlose Erkennung von Angreifern, kann Malwarebytes Endpoint-Cloud-Plattform Angreifer und Schadsoftware in Echtzeit erkennen und entsprechend reagieren. Die Software verwendet bekannte und vertraute Dateien im Netzwerk als Modell und erkennt dadurch welche Dateien im Netzwerk verdächtig sind. Klassische Antivirenanwendungen verwenden ältere Beispiele von Malware, um Angreifer im Netzwerk zu erkennen. Dadurch können klassische Anwendungen mit neuen Bedrohungen erst dann umgehen, wenn die Definitionsdateien aktualisiert wurden. Das ist ein klarer Nachteil im Vergleich von Endpoint-Cloud-Plattform, die durch das Machine Learning neue Angreifer schnell und einfach erkennt, und das auch ohne Definitionsdateien.

Malwarebytes Incident Response

Die Malwarebytes Incident Response-Lösung ist direkt in der Cloudbasierten Verwaltungsplattform integriert. Werden Angreifer erkannt, kann die Lösung schnell und einfach einschreiten und die Bedrohung eingrenzen, beseitigen und dadurch effektiv neutralisieren. Die Beseitigung erfolgt automatisiert und Verantwortliche oder Administratoren müssen sich keine Gedanken um aktuelle Definitionsdateien oder Virensignaturen machen.

Auch wenn es sich bei der Lösung um eine Cloudplattform handelt, ist keine ständige Verbindung zur Cloud notwendig. Wenn die Verbindung zur Cloudlösung durch einen geschützten Rechner verloren geht, bleibt dieser geschützt. Die Anwender werden auch dann geschützt, wenn der Agent auf dem jeweiligen Rechner die Verbindung zu Endpoint-Cloud-Plattform verliert.

Schutz vor verschiedenen Angriffen

Mit der Anwendungshärtung kann Malwarebytes Endpoint-Cloud-Plattform Exploit-Angriffe auf Endpunkte verhindern. Das System erkennt proaktiv Eindringlinge und verringert dadurch die Angriffsfläche. Das schließt natürlich auch Angriffe ein, die über Webseiten durchgeführt werden. Selbst wenn es ein Bot in das Netzwerk schafft, zum Beispiel durch Bereiche, die durch Malewarebytes Endpoint-Cloud-Plattform nicht geschützt sind, erkennt der Endpoint-Cloud-Plattform das und verhindert, dass von außerhalb des Netzwerks Zugriff auf Botverseuchte Rechner genommen wird. Dadurch lassen sich zum Beispiel auch Notebooks von mobilen Anwendern schützen, die nicht immer im lokalen Netzwerk positioniert sind, das durch Malewarebytes Endpoint-Cloud-Plattform geschützt wird.

Schutz durch Machine Learning

Versucht ein Angreifer Schwachstellen von Anwendungen auf geschützten Rechnern auszunutzen, oder das Betriebssystem anzugreifen, erkennt das die Sicherheits-Lösung und blockiert die Ausführung. Selbst wenn ein Angreifer es schafft eine Anwendung zu kompromittieren, erkennt Malwarebytes Endpoint-Cloud-Plattform auch das durch das verdächtige Verhalten der entsprechenden Anwendung. Die Sicherheitslösung verhindert in diesem Fall, dass andere Anwendungen oder Endpunkte infiziert werden und blockiert die kompromittierte Anwendung.

Durch die Machine Learning-Funktion lernt Malwarebytes Endpoint-Cloud-Plattform ständig neue Arten von Angriffen und kann diese gezielt unterbinden. Erkennt die Lösung einen Angreifer, dann kann durch die Machine Learning-Funktion sichergestellt werden, dass auch alle Abarten des Angreifers identifiziert werden. Malwarebytes Endpoint-Cloud-Plattform erkennt also auch ganze Familien von Angreifern, auch durch eine Kombination von Heuristik und Verhaltensregeln sowie den anderen Funktionen in Malwarebytes Endpoint-Cloud-Plattform.

Auch Schutz vor Ransomware

Ransomware identifiziert Netzwerke und verschlüsselt die Daten, auch auf geschützten Dateiservern. Malwarebytes Endpoint-Cloud-Plattform erkennt auch diese Angreifer und verhindert das Verschlüsseln von Dateien, selbst wenn es Ransomware in das Netzwerk schafft. Auch hier wird Machine Learning eingesetzt sowie verschiedene Verhaltensregeln. Alleine dieser Schutz kann den Einsatz von Malware Endpoint-Cloud-Plattform rechtfertigen.

Windows-Server und Arbeitsstationen anbinden

Im Fokus von Malwarebytes Endpoint-Cloud-Plattform stehen Windows-Rechner. Die Lösung unterstützt Rechner ab Windows XP bis hin zu Windows 10. Im Serverbereich werden Server mit Windows Server 2003 und neuer unterstützt, auch Windows Server 2016. Für kleine Unternehmen ist interessant, dass auch Small Business Server 2011 unterstützt wird. Dadurch erhalten kleine Netzwerken einen zuverlässigen Schutz, ohne sich ständig um neue Definitionsdateien kümmern zu müssen oder einen eigenen Server zu betreiben. Malwarebytes Endpoint-Cloud-Plattform unterstützt allerdings nicht die Core-Installationen von Windows Server 2008 R2/2012/2012 R2 und Windows Server 2016. Auch die Nano-Installation wird aktuell noch nicht unterstützt.

Da die Cloud-Plattform über einen einzelnen Agenten bereitgestellt wird, lassen sich neue Rechner sehr schnell anbinden. Auch die komplette Lösung ist sehr schnell einsatzbereit, da keine Server zum Einsatz kommen. Die Verwaltung in der zentralen Oberfläche ist intuitiv und schnell erlernbar. Außerdem ist Malwarebytes Endpoint-Cloud-Plattform sehr skalierbar, da kein Server im internen Netzwerk geplant und verwaltet werden muss. Die Cloudplattform ist problemlos in der Lage tausende Rechner anzubinden.

Bereitstellung von Malewarebytes Endpoint-Cloud-Plattform

Die Software arbeitet als Cloudlösung. Da keine Virensignaturen notwendig sind, besteht auch keine Gefahr, dass ein Angreifer in das Netzwerk gelangt, weil die Definitionsdateien des Scanners veraltet sind. Um den Schutz zu gewährleisten arbeitet die Malewarebytes Endpoint-Cloud-Plattform mit sieben Schutzschichten. Die Verwaltung erfolgt über eine Cloudbasierte Management-Konsole. Auf den Arbeitsstationen ist ein Agent aktiv, der ständig das Verhalten der Anwendungen und des Betriebssystems überwacht und mit der Cloudlösung abgleicht.

Der Agent kann manuell installiert, aber auch automatisiert bereitgestellt werden. Die Installation basiert auf einer MSI-Datei. Dazu arbeitet Endpoint-Cloud-Plattform mit Active Directory-Gruppenrichtlinien genauso zusammen, wie mit Microsoft System Center Configuration Manager und anderen Bereitstellungstools. Auch das Malwarebytes Discovery and Deployment Tool kann bei der Bereitstellung des Agenten auf den Endpunkten helfen. Das systemeigene Tool scannt das interne Netzwerk und zeigt die Endpunkte an, auf denen der Agent installiert werden kann. Außerdem zeigt das Malwarebytes Discovery and Deployment Tool auch die Endpunkte an, auf denen der Agent bereits installiert ist.

Da es sich bei Malwarebytes Endpoint-Cloud-Plattform um eine Cloudlösung handelt, müssen die Agenten mit dem Internet kommunizieren können. Aus diesen Gründen muss sichergestellt werden, dass die Firewall des Unternehmens den Port 443 zu den folgenden Internetadressen ausgehend zulässt:

https://telemetry.malwarebytes.com

https://data-cdn.mbamupdates.com

https://data-cdn-static.mbamupdates.com

https://keystone.mwbsys.com

https://keystone-akamai.mwbsys.com

https://sirius.mwbsys.com

https://hubble.mb-cosmos.com

https://blitz.mb-cosmos.com

Auf den Endpunkten muss das .NET Framework 4.5 installiert sein, oder eine neuere Version. Für Windows XP und Windows Server 2003 reicht auch das .NET Framework 4.0 aus. Endpoint-Cloud-Plattform ist also auch durchaus dazu in der Lage den Betrieb von Windows XP und Windows Server 2003 aufrecht zu erhalten, auch wenn Microsoft den Support für diese Betriebssysteme beendet hat. Aus verschiedenen Gründen können aber nicht alle Unternehmen alle Arbeitsstationen mit Windows XP aktualisieren, oder Server mit Windows Server 2003 auswechseln. Beispiele dafür sind spezielle Industriecomputer deren Anwendungen nicht mit Windows 10 oder Windows Server 2016 kompatibel sind.

Die Endpunkte werden in der Weboberfläche von Malwarebytes Endpoint-Cloud-Plattform zentral verwaltet (Screenshot: Malwarebytes).

Sicherheitsrichtlinien definieren

Malwarebytes Endpoint-Cloud-Plattform unterstützt auch die Verwendung von Sicherheitsrichtlinien. Hier lassen sich auch Endpunkte gruppieren. Administratoren können für verschiedene Endpunkte unterschiedliche Gruppen anlegen, und auf der Basis von Gruppen wiederum die Sicherheitsrichtlinien. So lassen sich die Sicherheitseinstellungen von Windows-Arbeitsstationen sicherstellen, und die Server noch besser absichern. Auch in geografisch verteilten Netzwerken lässt sich die Plattform einsetzen. Durch die Bedrohungstransparenz ist schnell zu erkennen in welchen Ländern und Rechenzentren Angriffe erfolgen.

Malwarebytes Endpoint-Cloud-Plattform bietet Administratoren darüber hinaus zahlreiche Informationen zu den angebundenen Endpunkten. Dazu gehören auch die Netzwerkschnittstellen, Speichergeräte, Speicherobjekte, installierte Software, Softwareaktualisierungen, Autostart-Programme und vieles mehr. Durch dieses Asset-Management werden die Rechner also nicht nur geschützt, sondern es werden Schwachstellen schnell erkennbar und Rechner werden transparent inventarisiert. Die meisten anderen Sicherheitslösungen bieten zwar einen entsprechenden Grundschutz für das Netzwerk, bieten aber keinerlei Einsicht in die Hard- und Software der Endpunkte. Durch die Inventarisierung in Endpoint-Cloud-Plattform erhalten Administratoren auch die notwendige Transparenz.

Zeitpläne für Scanvorgänge definieren

Über die Weboberfläche lassen sich verschiedene Scanvorgänge starten, die Malwarebytes Endpoint-Cloud-Plattform über den installierten Agenten automatisiert durchführt. Wie bei herkömmlichen Virenscannern, lassen sich auch in der Malwarebytes Endpoint-Cloud-Plattform verschiedene Einstellungen für Scans definieren und auch Ausnahmen festlegen. Im Grunde genommen lassen sich vier verschiedene Scanvorgänge zu verschiedenen Zeiten planen:

Incident Response Hyper Scan – Bei diesem Vorgang wird das Betriebssystem und dessen Prozesse gescannt. Auch Treiber, Anwendungen und Autostart-Objekte werden überprüft. Der Vorgang ist sehr schnell abgeschlossen.

Incident Response Threat Scan – Bei diesem Vorgang werden Arbeitsspeicher, Datenträger, Registry, Prozesse und Autostart-Programme untersucht. Der Scanvorgang berücksichtigt dabei vor allem Bereiche in denen häufig Malware eingeschleust wird. Außerdem erkennt der Vorgang auch Zero-Day-Angriffe. Auch dieser Vorgang ist schnell abgeschlossen.

Incident Response Custom Scan – Hier können Administratoren selbst festlegen, welche Bereiche untersucht werden sollen. Hier lassen sich auch Dateipfade definieren und auch der Scan nach Rootkits. Die Dauer des Scanvorgangs hängt natürlich von den zu scannenden Objekten ab.

Asset  Inventory  Scan –  Hierbei werden die Hard- und Software der Endpunkte untersucht und in einem Bericht erfasst.

Mit Zeitplänen werden die Scanvorgänge konfiguriert (Screenshot: Malwarebytes).

Neben Zeitplänen lassen sich in der Weboberfläche jederzeit manuell starten. Auch diese Vorgänge werden in der Weboberfläche vorgenommen. Bei den manuellen Scanvorgängen bietet Malwarebytes Endpoint-Cloud-Plattform drei verschiedene Varianten an:

Scan + Report – Erkennt die Lösung einen Angreifer, werden nur Informationen angezeigt, aber keine Bedrohungen entfernt.

Scan + Quarantine – Bei diesem Scanvorgang werden die Angreifer in Quarantäne verschoben.

Refresh Assets – Dieser Vorgang inventarisiert die Endpunkte erneut und zeigt den Status der Endpunkte an.

Verschiedene Benutzer anlegen und mit der Weboberfläche verwalten

Sobald Malwarebytes Endpoint-Cloud-Plattform gebucht wurde, kann sich der erste Administrator an der Weboberfläche (https://cloud.malwarebytes.com) anmelden. Über den Menüpunkt „Settings\User“ lassen sich weitere Benutzer anlegen und dadurch die Verwaltung delegieren.

Die Verwaltung der Umgebung erfolgt über eine Weboberfläche. Hier werden auch die Benutzerkonten für Endpoint Cloud-Plattform angelegt (Screenshot: Malwarebytes).

Fazit

Endpoint-Cloud-Plattform stellt den Netzwerkschutz der nächsten Generation dar. Durch die Machine Learning-Funktionen und den Verzicht auf Signaturen erkennt Endpoint-Cloud-Plattform Malware wesentlich effizienter und zuverlässiger. Kleine Unternehmen profitieren genauso wie große Netzwerke, da die Cloudplattform skalierbar und leicht zu verwaltet ist. Durch den Windows-Agenten ist sichergestellt, dass Server und Windows-Arbeitsstationen zuverlässig geschützt werden. Es lohnt sich also für Unternehmen einen Blick auf die Möglichkeiten von Endpoint-Cloud-Plattform zu werfen. Mit der Inventarisierung der Hard- und Software erhalten Unternehmen darüber hinaus noch einen guten Überblick zu den einzelnen Endpunkten im Netzwerk und erkennen wo Sicherheitsprobleme im Netzwerk vorhanden sind, und wie diese behoben werden können.

Loading ...
ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

6 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

10 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

10 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

11 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

11 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

13 Stunden ago