Cyber-Security
Endpunkt gut, alles gut
Fortsetzung des Artikels von Teil 1
Die Sicherheitsstufen
Der Moment des Angriffs
Endpunkte sind größtenteils deshalb gefährdet, weil sie oft nur über ein einfaches Niveau an Malware-Schutz verfügen. Zudem ist es für Cyber-Kriminelle ein Kinderspiel, mithilfe frei verfügbarer Toolkits kleine Veränderungen an vorhandener Malware vorzunehmen und sie somit für konventionelle, signaturbasierte Antivirus-Lösungen unsichtbar zu machen. Außerdem besteht die Gefahr, dass hochentwickelte, eigens entwickelte Malware beim Angriff auf Unternehmen zum Einsatz kommt.
Eine vermehrt eingesetzte Sicherheitstechnik zur Abwehr dieser Bedrohungen ist Bedrohungsemulation oder Sandboxing. Bei dieser Technik werden verdächtige Dateien bei ihrem Eingang abgefangen und ihre Inhalte in einem virtualisierten, unter Quarantäne stehenden Bereich (der Sandbox) auf ungewöhnliches Verhalten untersucht. Verhält sich eine Datei verdächtig, wird sie blockiert. Sandboxing steigert die Malware-Erkennung und erhöht die Sicherheit wesentlich, kann aber auch erhebliche Rechenleistung verbrauchen und somit die Benutzererfahrung beeinträchtigen.
Smartes Sandboxing
Gefordert ist ein Weg, bösartige Dateien sowie Daten, die an einem Endpunkt ankommen, sicher zu prüfen und zu sperren – ohne die Benutzererfahrung zu beeinträchtigen. Unterstellt man, dass alle empfangenen E-Mail-Anhänge oder Downloads infiziert sein könnten und beseitigt man alle potentiellen, von ihnen ausgehenden Gefahren, bevor sie an den Nutzer weitergeleitet werden, können viele der üblichen Infektionsvektoren eliminiert werden. Dieses Vorgehen wird Threat Extraction genannt. Entfernt werden hierbei alle verdächtigen Inhalte wie Makros, eingebettete Objekte und Dateien sowie externe Links: Zur Wiederherstellung werden demnach nur sichere Elemente herangezogen und das „saubere“ Dokument steht den Nutzern innerhalb weniger Sekunden zur Verfügung, so dass ihr Arbeitsprozess nicht gestört wird. Das Originaldokument wird zu einer Sandbox-Umgebung gesendet, die in einer öffentlichen oder privaten Cloud läuft, wo es detailliert auf Bedrohungen untersucht und blockiert werden kann, falls Malware gefunden wird. Wird keine Infektion festgestellt, kann es vom Nutzer sicher abgerufen werden. Diese Methode minimiert den Verarbeitungsaufwand am Endpunkt und ermöglicht den Nutzern reibungsloses Arbeiten und schützt sie vor Bedrohungen durch Anhänge in E-Mail-Nachrichten, Web-Downloads oder durch von Wechselspeichermedien kopierten Inhalt.
Folgen der Angriffe
In Unternehmen gibt es viele potentiell gefährdete Punkte, die zum Ziel werden können. Entscheidend ist dennoch, dass IT-Teams verstehen, um welchen Angriff es sich handelt, wie er abläuft und welchen Schaden er anrichtet, um schnellstmögliche Problembehebung bieten zu können. Das gilt auch, wenn ein Angriff in einem frühen Stadium erkannt und gestoppt werden konnte. Das komplexe Ökosystem von Endpunktgeräten in einem Unternehmen kann die Analyse von Sicherheitsereignissen jedoch erschweren. Oft kann schon die genaue Bestimmung des Ursprungs eines Ereignisses kompliziert sein, ganz zu schweigen von der Erstellung einer kompletten Übersicht des Lebenszyklus eines Angriffs, einschließlich des zugefügten Schadens.
Um die Analyse solcher Ereignisse zu erleichtern, muss die Endpunktsicherheitslösung zunächst in der Lage sein, ununterbrochen forensische Daten zu erfassen, die rückblickend Einblick in den Ursprung des Angriffs geben. Bei der wachsenden Zahl an Sicherheitsvorfällen, der alle Unternehmen ausgesetzt sind, sind die heutigen manuellen Methoden der Überprüfung von Protokollen zur Bestimmung von Einsprungstellen, Methoden und Schadensausmaß einfach zu zeitaufwändig, um damit jedes Ereignis zu verfolgen. Um Teams zu helfen, den gesamten Angriffslebenszyklus zu verstehen, nutzt automatisierte Ereignisanalyse die forensischen Daten zur Erstellung detaillierter Berichte und beschleunigt so den Prozess der Problembehebung bei betroffenen Systemen. Durch die Kombination moderner Bedrohungsabwehr, die vor neuer, zielgerichteter Malware am Endpunkt schützt, mit der Automatisierung von Erfassung und Analyse umfassender forensischer Daten, um tiefgehende Einblicke in Angriffe zu liefern, können Organisationen sowohl die Systeme der Nutzer als auch ihre Kernnetze schützen, ohne die Geschäftsabläufe zu behindern.
Geht es um Sicherheit, lautet das Motto: Endpunkt gut, alles gut.
Christine Schönig ist, Technical Managerin bei Check Point
- Endpunkt gut, alles gut
- Die Sicherheitsstufen
Lesen Sie mehr zum Thema
