Antivirus auf dem Rückzug
Worauf es beim Endpunktschutz jetzt ankommt
Fortsetzung des Artikels von Teil 1
Präventiver Multi-Methoden-Ansatz bewährt sich
Zum Multi-Methoden-Ansatz zählt die statische Analyse mittels maschinellem Lernen zur Beurteilung jeder unbekannten ausführbaren Datei, bevor diese freigegeben wird. Durch die Untersuchung Hunderter von Eigenschaften im Bruchteil einer Sekunde wird bestimmt, ob die Datei bösartig oder gutartig ist. Dies erfolgt im Gegensatz zu herkömmlicher Antivirus-Software ganz ohne Signaturen. Eine zeitgemäße Endpunktschutzlösung arbeitet zusammen mit einer Bedrohungsanalyse-Cloud, um zu bestimmen, ob eine ausführbare Datei bösartig ist. Ist dies der Fall, wird sie als bekannte Bedrohung deklariert und der Endpunktschutz aktualisiert. Ebenso können unbekannte, aber gutartige Dateien mittels Trusted-Publisher-Listen identifiziert werden. Unternehmen können durch die Definition von Regeln bestimmte Ausführungsszenarien beschränken, etwa, dass ein bestimmter Dateityp direkt von einem USB-Laufwerk ausgeführt wird. Darüber hinaus lässt sich kontrollieren, was in einer Umgebung ausgeführt werden darf und was nicht.
Dieser moderne Ansatz des „intelligenten“ Endpunktschutzes hat sich in der Praxis bewährt. Lösungen wie Traps von Palo Alto Networks sind mittlerweile auch durch das Windows Security Center anerkannt als Alternative zu Antivirus-Softwareprodukten. Der Hersteller hat den Schutzumfang jüngst erweitert auf die mobilen Betriebssysteme MacOS und Android sowie auf weitere Angriffstechniken, die verhindert werden können.
Moderner Endpunktschutz hat an immer mehr Fronten zu tun, aber auch geeignete Abwehrmaßnahmen parat. Makro-basierte Angriffe, die oft in Verbindung mit Ransomware und bei anderen fortschrittlichen Angriffen zum Einsatz kommen, werden verhindert, indem bekannte und unbekannte bösartige Makros, die in Office-Dokumenten eingebettet sind, präventiv blockiert werden. Zur Vermeidung von skriptbasierten Angriffen müssen anfällige Anwendungen wie Browser und Office-Software daran gehindert werden, kritische Tools wie PowerShell und Scripting Engines zu starten. Versuche von Angreifern, mittels Exploit-Kit-Fingerprinting anfällige Endpunktziele zu identifizieren, lassen sich durch die Blockierung ihrer Profiling-Tools verhindern. Durch den Schutz vor Kernel-Privilege-Eskalation sollen fortschrittliche Angriffe auf das Betriebssystem abgewehrt werden.
Letztlich kommt es in der Praxis insgesamt darauf an, dass die Endpunktschutzlösung zuverlässig, aber nicht „übervorsichtig“ agiert und damit Geschäftsprozesse beeinträchtigt. Hochentwickelte Lösungen zeichnen sich hier durch einen minimalen Anteil an Fehlalarmen und „False Positives“ aus, also fälschlicherweise gestoppten „gutartigen“ Code.
Effizient und effektiv
Effizienzvorteile bietet eine Endpunktschutzlösung, die als Dienst offeriert wird, durch die vielfältigen Einsatzmöglichkeiten bei geringem Aufwand vor Ort. Eine derartige Lösung erfordert keine Hardware vor Ort und kann auch zum Schutz ungepatchter Systeme unmittelbar eingesetzt werden. Dies können verschiedene Endpunkte sein, also Desktop-PCs, mobile Geräte, Server, Industriesteuerungen, Terminals, VDI, virtuelle Maschinen, eingebettete Systeme und die Vielzahl an Endgeräten des Internets der Dinge.
Effektive Endpunktsicherheit bedeutet heute, dass Unternehmen nicht mehr auf statische Signaturen oder die sofortige Anwendung von Sicherheits-Patches angewiesen sind. Dies wird vor dem Hintergrund der Zunahme von unbekannten Bedrohungen und variantenreichen Ransomware-Angriffen immer wichtiger. Eingebunden in eine integrierte Sicherheitsplattform, wird der präventive Ansatz im Optimalfall unternehmensweit auf den Schutz von Endpunkten, Netzwerken und Cloud-Umgebungen angewendet.
Martin Zeitler ist Senior Manager Systems Engineering bei Palo Alto Networks
- Worauf es beim Endpunktschutz jetzt ankommt
- Präventiver Multi-Methoden-Ansatz bewährt sich
Lesen Sie mehr zum Thema
