Anwenderzentrierte IT-Security
Endpunkte im Visier
Fortsetzung des Artikels von Teil 1
KI als Zünglein an der Waage
Auf jeder dieser Stufen bringt der Einsatz künstlicher Intelligenz spürbaren Mehrwert. Unabhängig davon, ob es darauf ankommt, in der Flut an Informationen nicht den Überblick zu verlieren oder IT-Teams, die in der Regel am Anschlag arbeiten, durch Abwehrautomatismen zu entlasten: Mit modernen, KI-fähigen Endpoint-Security-Techniken ergeben sich klare Vorteile. Entsprechende Lösungen übernehmen verlässlich das Monitoring und stufen ohne manuelles Zutun jede Code-Ausführung als böswillig oder legitim ein – und das selbst in Fällen, in denen ein Angreifer Software korrumpiert, die bereits als vertrauenswürdig bewertet ist. Administrationsteams sollten in dem Zusammenhang jedoch darauf achten, dass die Leistung der eingesetzten Endpoint-Security-Produkte nicht mit der Einordnung nach „gut“ oder „schlecht“ entsprechend des Abgleichs mit Listen bekannter Malware endet. Stattdessen sind vor allem die weiterführenden Analysen wichtig. KI- und ML-Algorithmen (maschinelles Lernen) können vor dem Hintergrund noch unbekannter Prozesse nicht zuletzt dafür Sorge tragen, dass sich Telemetrieattribute weiter extrahieren und Auffälligkeiten im Einklang mit den Informationen zusätzlicher Sandbox-Systeme wirklich abschließend und zuverlässig charakterisieren lassen.
Aufgrund der Komplexität der Angriffe sollten Unternehmen zudem auf das Zusammenwirken der Sicherheitsfunktionalität am Endpunkt und im Netzwerk achten. Denn die von Übergriffen ausgehenden Schäden sind bei Weitem nicht mehr nur auf den ursprünglichen Infektionskanal beschränkt. Bedrohungen auf dem Endgerät eines Beschäftigten oder im Kernnetzwerk haben es inzwischen immer öfter auch darauf abgesehen, sich „versteckt“ zu verbreiten und an anderer Stelle Unheil anzurichten.
Die folgenden Beispiele zeigen, wie wichtig die Kombination von Technologien zum Endgeräte- und Netzwerkschutz ist.
Rootkits: Damit sind Angriffswerkzeuge oder spezifische Malware-Eigenschaften gemeint, die Funktionen des Endgeräte-Betriebssystems ausnutzen, um unentdeckt zu bleiben. Trojaner oder Botnet-Clients, die den OS- und Endpoint-Security-Kontrollmechanismen entgehen, sind keine Seltenheit mehr. Aber selbst wenn Angreifer solche Dateien, Registry-Einträge und Netzwerkverbindungen am Endpunkt noch verbergen können, sollten sie spätestens dann auffliegen, wenn die initiale Malware eine Verbindung zur Command-and-Control-Infrastruktur herstellt.
Techniken zur Umgehung von Netzwerk-IPS: Dass die Verschleierung auch andersherum geht, zeigt die zunehmende Anzahl von „Mogelpackungen“ im Netzwerk. Die Fragmentierung des Datenverkehrs, das ausgeklügelte Umschiffen von Protokollen oder Anwendungen, zeitbezogene Angriffe sowie einfache Verschlüsselungen sind alles Maßnahmen, mit denen Kriminelle Netzwerk-Sicherheitskontrollen auszutricksen versuchen. Als Gegenmittel fungieren Endpunktkontrollen, die das Scanning im Netzwerk flankieren.
Dateilose Malware und „Living off the Land“-Angriffe: Im Gegensatz zu den meisten herkömmlichen Malware-Varianten hinterlassen solche Angriffe keine ausführbare Datei oder Registry-Einträge auf dem Zielsystem. Insofern erfordert die Suche nach solcher Malware eine andere Art von EDR-Lösung (Endpoint Detection and Response), die neben Dateien und Registry-Einträgen weitere Indikatoren berücksichtigt – zum Beispiel, welches Verhalten ein legitimer oder unbekannter Prozess an den Tag legt, welche Art von Netzwerkverkehr der Prozess erzeugt oder ob Hinweise auf Speicherinjektion oder DLL-Hijacking erkennbar sind. In diesem Fall ist der Blick in Richtung Netzwerk wie auch Endpunkt extrem hilfreich.
Zero-Day Malware: Der bloße Abgleich von Datenbanken zu bekannten Malware-Signaturen reicht hier nicht mehr aus. Stattdessen helfen nur fortschrittliche, verhaltensbasierte Anti-Malware-Dienste, die in der Lage sind, potenzielle Bedrohungen in Netzwerken und auf Endgeräten auf der Grundlage ihrer Prozesse und Eigenschaften zu bewerten. Einmal mehr kommt es darauf an, Indikatoren von vielen Sicherheitskontrollen – sowohl am Endpunkt als auch im Netzwerk – gemeinsam zu betrachten und zu korrelieren, um verdächtige Verhaltensweisen zu erkennen.
Mehrschichtige Strategie erforderlich
Am Ende lässt sich festhalten, dass die zunehmend raffinierten Bedrohungen eine mehrschichtige, stringente Sicherheitsstrategie erfordern, die Netzwerke, Endpunkte und Benutzer schützt. Keine einzelne Sicherheitskontrolle ist unschlagbar, aber die enge Integration von Netzwerk- und Endgeräte-Sicherheitsdiensten minimiert das Risiko deutlich. Es zählen Lösungen, die Endpunkt- und Netzwerkindikatoren miteinander in Beziehung setzen, um selbst Bedrohungen zu finden, die ein einzelner Kontrollmechanismus allein möglicherweise nicht erkannt hätte. Gerade die Zusammenführung der kritischen Sicherheitsmechanismen auf einer Cloud-verwalteten Plattform birgt hier einen klaren Mehrwert.
Jonas Spieckermann ist Manager Sales Engineering Central Europe bei WatchGuard Technologies.
- Endpunkte im Visier
- KI als Zünglein an der Waage
Lesen Sie mehr zum Thema
