Gastbeitrag Für jede Infrastruktur die passende Attacke – so kann man die gegenwärtige Bedrohungslage für Unternehmen auf den Punkt bringen. Haben Cyberkriminelle die Absicht, einem Unternehmen gezielt zu schaden, betreiben sie auch den hohen Aufwand, eine maßgeschneiderte Attacke zu entwickeln. Derartige Advanced Persistent Threats (APTs) verfolgen das Ziel, möglichst viele Unternehmensdaten zu erbeuten. Tarnung ist der charakteristische Bestandteil dieser Angriffe.
Denn je länger die Angreifer sich unerkannt im Netzwerk bewegen, desto größer ist die Datenmenge die sie exfiltrieren und desto genauer wissen sie über alle Vorgänge im Unternehmen Bescheid. Gegen diese Angriffe unter der Tarnkappe können typische Endpoint Security Lösungen keinen ausreichenden Schutz bieten. Wollen IT-Administratoren Eindringlinge ausfindig machen und verdächtige Prozesse unmittelbar unterbinden, gibt es aber einen Weg: Sie können ihre Sicherheitsmechanismen um Endpoint Detection and Response (EDR) erweitern.
Endpoint-Security-Lösungen spielen in Unternehmen eine entscheidende Rolle: Sie sorgen dafür, dass weit über 99 Prozent der Malware-Angriffe folgenlos bleiben. Angesichts von mehr als 832 Millionen verschiedener Malware-Varianten, die derzeit das Internet bevölkern, eine durchaus beeindruckende Leistung. Doch nicht nur die bloße Zahl hat sich in den vergangenen Jahren exponentiell gesteigert. Auch die Komplexität und Tarnungsfähigkeit von Malware hat mit dieser Entwicklung Schritt gehalten. Ein Unternehmen, das heute mit einer Top-Sicherheitslösung von vor wenigen Jahren arbeiten würde, wäre innerhalb weniger Minuten gehackt. Dass es meistens doch erhebliche Ressourcen und Umwege braucht, damit Angreifer in ein definiertes Unternehmensnetzwerk einbrechen können, ist der Verdienst der Endpoint Security.
Gleichzeitig zeigen die prominenten Datendiebstähle aus den Schlagzeilen, dass es bei Angriffen, denen verdeckte Cyberspionage-Aktivitäten vorausgehen, weiterhin möglich ist, die modernsten Endpoint-Security-Lösungen auszutricksen. Dies liegt daran, dass die kriminellen Vorgänge einen völlig legitimen Anstrich bekommen, etwa durch Nutzung von Administrationsrechten, die zuvor durch Phishing erlangt wurden, oder durch die Ausnutzung noch unbekannter Schwachstellen in legitimen Applikationen.
Wozu Endpoint Security in der Lage ist…
Endpoint-Security-Lösungen wurden entwickelt, um die Privatsphäre sowie die Daten von Nutzern vor einer Vielzahl unterschiedlicher Bedrohungen, Malware oder betrügerischen Online-Websites auf mehreren Ebenen zu schützen. Seit einigen Jahren gehört bei führenden Lösungen dazu auch die Überwachung laufender Prozesse, um festzustellen, ob Unregelmäßigkeiten auftreten oder andere Prozesse beeinträchtigt sind.
Denn unter anderem versuchen manche Malware-Arten bösartigen Code in völlig legitime Prozesse wie „explorer.exe“ einzuschleusen, um diesen unentdeckt – da augenscheinlich rechtmäßig – auszuführen. Angriffsversuche wie diese werden von zeitgemäßen Security-Lösungen sofort unterbunden und mitunter können sie die Änderungen, die der bösartige Prozess an dem legitimen Prozess vorgenommen hat, rückgängig machen.
Bei der Überwachung von Prozessen wird einzelnen Aktionen in der Regel ein Risiko-Score zugeordnet, um beurteilen zu können, ob diese bösartig sind oder nicht. Wenn eine Anwendung beispielsweise beginnt, Registrierungsschlüssel zu erstellen – und das normalerweise nicht tun würde -, erhält sie eine bestimmte Punktzahl. Wenn die Summe einiger Aktionen, die von demselben Prozess ausgeführt werden, einen bestimmten Schwellenwert überschreitet, beendet die Sicherheitslösung die Anwendung. Dies ist nur ein stellvertretendes Beispiel für die Fähigkeiten der Sicherheitstechnologie zur fortlaufenden Prozessüberwachung von Anwendungen. In der Regel verfügen Endpoint-Security-Lösungen über mehrere Sicherheitsstufen. Von diesen nutzen mehrere auch maschinelle Lernalgorithmen, werden also täglich schlauer und passen sich den neuesten Bedrohungen an.
…und wo sie versagt
Während Endpoint-Security-Technologien also bei der Abwehr von Malware und softwarebasierten Bedrohungen eine Erfolgsgeschichte hinter sich haben, bleiben ihre Fähigkeiten bei fortgeschrittenen und komplexen Bedrohungen, die speziell für ein Unternehmen oder einen Mitarbeiter eines bestimmten Unternehmens (Stichwort: Social Engineering) entwickelt wurden, naturgemäß begrenzt.
Die fortschrittlichsten Attacken werden so ausgetüftelt, dass sie der Erkennung traditioneller Security-Lösungen entgehen. Dazu spähen Cyberkriminelle ihre Opfer über längere Zeit gezielt aus, um möglichst viel über die Netzwerkkonfiguration, Richtlinien, Zugänge und eingesetzte Sicherheitslösungen herauszufinden. Danach geht es nur noch darum, eine passende Bedrohung oder geeignete Malware zu entwickeln oder zu beschaffen, die speziell für dieses eine Ziel über ausreichende Infiltrationsmöglichkeiten verfügt, und zugleich unter dem Radar der Sicherheitslösungen bleibt.
PowerShell-Skripte zum Beispiel, mit denen IT-Administratoren Endpoint-Tasks automatisieren, werden auch gern von Cyberkriminellen missbraucht, weil traditionelle Endpoint-Security-Lösungen die in dem Skript dieses nativen Windows Tools enthaltenen Befehlsfolgen nicht interpretieren können. Ist der Zugang in die IT-Systeme erst einmal erlangt, können sich die Hacker weiter vorantasten, Rechte eskalieren, Wege zu weiteren IT-Systemen suchen oder mithilfe von erbeuteten aktuellen vertraulichen Unternehmensinformationen noch perfidere Social-Engineering-Angriffe starten.
Während Fileless Malware übrigens ursprünglich eher staatlichen Akteuren und der Cyberspionage zugeschrieben wurde, nutzen auf Grund der niedrigen Einstiegsschwelle mittlerweile auch finanziell motivierte Cyberkriminelle diese Angriffsart. Wie der Global Mid-Year Cybersecurity Landscape Report von Bitdefender für das Jahr 2018 zeigte, wird Fileless Malware häufig in Verbindung mit Ransomware und Kryptominern eingesetzt.
Die meisten fortschrittlichen Bedrohungen nutzen Fileless Malware. Darüber hinaus ermöglicht das Ausnutzen von Zero-Day-Schwachstellen in populärer Software den Cyberkriminellen, die Endpoint Security zu umschiffen. So können sie Persistency Tools platzieren, also bleibende Tools, die darauf abzielen, ihren Einfluss auf das kompromittierte Gerät zu erhöhen oder sich über die gesamte Infrastruktur hinweg auszubreiten.
EDR: Der Blick unter die Tarnkappe
Die Tarnungsfähigkeiten von Advanced Persistent Threats bedeuten allerdings keineswegs, dass sie vollkommen unsichtbar wären. Sie tun ja etwas. Und ihre Aktionen hinterlassen Spuren. Diese werden von herkömmlichen Endpoint-Security-Lösungen zwar nicht als verdächtig eingestuft werden, durch EDR-Tools werden sie hingegen automatisch verfolgt und triggern eine Warnmeldung an IT- und Sicherheitsteams. EDR-Tools erfassen mehr Details und verfügen damit über eine vertiefte Analysefähigkeit.
Ein Beispiel: Ein Workload, der mit anderen Workloads aus dem gleichen Netzwerk kommuniziert, kann von einer traditionellen Endpoint-Security-Lösung nicht als verdächtig eingestuft werden. Eine EDR-Lösung dagegen würde eine Warnmeldung erstellen, wenn sie feststellt, dass der Kommunikations-Port entweder kein Standard-Port ist oder dass die beiden Workloads normalerweise nicht miteinander kommunizieren.
Endpoint Security ist außerdem nicht in der Lage, zu erkennen, ob Benutzeranmeldeinformationen von Unbefugten missbraucht werden, um sich in die Infrastruktur einzuloggen. Cyberkriminelle gelangen jedoch oft durch Phishing an die Zugangsdaten von Mitarbeitern – in einer großen Organisation wird dies einem fleißigen Angreifer am Ende immer gelingen. Damit können sie sich scheinbar legitim innerhalb der Infrastruktur bewegen. Führen sie keinerlei verdächtige Malware aus, bleiben sie unentdeckt. Von diesem Zeitpunkt an können sie auf interne Dokumente und Daten zugreifen, diese kopieren und sogar zusätzliche bleibende Tools installieren, mit denen sie die volle Kontrolle über Endgeräte und Server erlangen können.
EDR-Tools hingegen geben bei derartigen Aktionen – Missbrauch von Anmeldeinformationen und Datenexfiltration – unmittelbar eine Warnung aus. Denn sie erkennen auch subtilere Anzeichen für ein anomales Verhalten, das normalerweise mit einer Bedrohung und potenziellen Datenschutzverletzungen in Verbindung gebracht wird. Dazu gehört zum Beispiel die Frage, wer sich zu welcher Uhrzeit in welcher Region und an welchem Endgerät befindet und was der User dort tut.
EDR hilft auch, wenn ein Sicherheitsverstoß eingetreten ist und das Unternehmen gesetzlich verpflichtet ist, innerhalb eines kurzen Zeitrahmens einen Bericht über den Vorfall vorzulegen. IT- und Sicherheitsteams kann das EDR darin unterstützen, die Kette der Ereignisse bis hin zum ursprünglichen Infektionsvektor zeitlich nachzuverfolgen, um dieses Einfallstor für die Zukunft zu schließen.
Bei all den Vorteilen von EDR muss jedoch auch festgehalten werden, dass manche Lösungen durchaus in der Praxis auch Schwächen aufweisen. Ihre Stärke liegt ohne Zweifel in dem umfassenden Einblick, den sie liefert. Diese Stärke ist allerdings manchmal von Nachteil, wenn jede Warnmeldung auch in der Größenordnung einer Sicherheitsverletzung behandelt wird. IT- und Sicherheitsteams sind dann kontinuierlich damit beschäftigt, Warnmeldungen zu überprüfen, ohne bestimmen zu können, was tatsächlich kritisch ist und was nicht. Eine „Alarmmüdigkeit“ ist schließlich meist die Folge.
Ebenso stellt in einigen Fällen die mangelnde Integrationsfähigkeit von EDR- in Endpoint-Security-Lösungen ein Problem dar. Zwar sind beide darauf ausgelegt, Workloads zu sichern und potenzielle Anomalien zu erkennen, doch was Management und Transparenz anbelangt, sind sie überaus heterogen. Zusätzliche Software-Agenten innerhalb eines Endpunkts wirken sich jedoch negativ auf die Rechenleistung aus und erhöhen den Verwaltungsaufwand für die IT- und Sicherheitsteams. Sind sowohl eine Security- als auch eine EDR-Lösung auf dem Endpoint installiert, ist nicht selten das Phänomen der „Agentenmüdigkeit“ die Folge.
EDR der nächsten Generation
Eine Lösung für diese Probleme stellt ein gemeinsamer Security-Agent dar, der Endpoint-Security- und EDR-Funktionen zusammenfasst. Dieser sorgt einerseits dafür, dass die Rechenleistung der Endpoints nur minimal belastet wird und andererseits dafür, dass beide Lösungen zusammenarbeiten, also Informationen über potenzielle Sicherheitsprobleme austauschen. Dann ist es auch möglich, alle für Sicherheits- und IT-Administratoren relevanten Informationen in einer einzigen zentralen Managementkonsole anzuzeigen.
Eine Schlüsselkomponente eines solchen EDR der nächsten Generation ist die Fähigkeit, eine Einschätzung der Relevanz eines Sicherheitsvorfalls vorzunehmen. Maschinelles Lernen ist dafür entscheidend. Das EDR wird darauf trainiert, Sicherheits- und IT-Teams nur dann zu warnen, wenn wirklich ein maßgebliches Risiko erkannt wird. Durch eine solche integrierte Plattform, die sowohl Daten zu tatsächlichen wie auch zu potenziellen Sicherheitsvorfällen aggregiert, erhalten Unternehmen nicht nur einen vollständigen Überblick über den Sicherheitsstatus der Infrastruktur des Unternehmens, sondern es bietet den entlasteten IT-Teams auch die Möglichkeit, ihre Zeit für produktivere Aufgaben zu nutzen.
Report: State of Digital Transformation EMEA 2019
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Neueste Kommentare
Noch keine Kommentare zu Warum Unternehmen im Kampf gegen APTs aufrüsten sollten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.