Tomer Weingarten

ist Mitbegründer und CEO von SentinelOne

SicherheitSicherheitsmanagement

Tatort Endpoint – Traditioneller Endgeräteschutz garantiert keine Sicherheit

Neben dem wachsenden Wissen der Kriminellen ist es auch die wachsende Zahl von Endgeräten, die Anwendern die Absicherung ihrer Infrastruktur schwer macht. Tomer Weingarten, CEO von Sentinel One und neuer silicon.de-Blogger über Sicherheitslösungen der neuen Generation.

Eine neue Generation von Cyberangriffen macht Unternehmen und ihren IT-Sicherheitsverantwortlichen das Leben schwer. Dabei sorgen vor allem zwei Entwicklungen dafür, dass Angriffe immer seltener identifiziert und abgewehrt werden: Zum einen setzen Hacker immer ausgefeiltere Techniken ein, um bekannte Malware vor statisch-basierten Erkennungsmethoden wie etwa Signaturen zu verschleiern.

Zum anderen kommen bei den Angriffen immer seltener traditionelle dateibasierte Übertragungsmechanismen zum Einsatz, die traditionelle Antivirus-Lösungen aber auch einige modernere verhaltensbasierte Sicherheitslösungen fokussieren. Problematisch sind in dieser Hinsicht allerdings nicht allein die zunehmend raffinierteren Angriffstechniken, sondern auch die ständig steigende Zahl an vernetzten Endpoints, die nach wie vor Hauptangriffsziel für fast alle Arten von Betrugsversuchen sind.

So können 70 Prozent aller Datenpannen letztlich auf böswillige Angriffe auf ein Endgerät zurückgeführt werden. Für Unternehmen wird die Gefahr kontinuierlich steigen, denn die zunehmende Vernetzung, Trends wie BYOD und nicht zuletzt das Internet der Dinge sorgen für immer mehr potenzielle Tatorte.

Meister der Tarnung

Wer Malware erfolgreich bekämpfen will, muss primär ihren Modus Operandi verstehen, das heißt wie sie vorgeht und welche Techniken sie bei der Infizierung eines Geräts nutzt. Genau das bereitet den Unternehmen allerdings mehr und mehr Schwierigkeiten, denn moderne Verschleierungstechniken wie zum Beispiel Wrapper machen die Identifizierung von Malware zu einer komplexen Angelegenheit, die herkömmliche Analysetechnologien überfordert.

Sicherheitslücken (Bild: Shutterstock.com/bofotolux).

Eine defensive Herangehensweise basierend auf bereits vorhandenem Wissen über Schadsoftware und ihre Angriffstechnik ist dabei vollkommen nutzlos, denn die größten Gefahren gehen mittlerweile von uns unbekannten und sich stets neu entwickelnden Bedrohungen aus.

Wer also immer noch auf Antivirus-Lösungen setzt, hat beim Kampf gegen Malware letztlich schlechte Karten, denn Antivirus fokussiert Hashwerte oder Fingerprints einer Datei, die von Angreifern problemlos geändert werden können und dann ebenso unentdeckt bleiben wie dateilose Infizierungen, die nur im Speicher, nicht aber auf der Festplatte selbst existieren. Kurz gesagt: Genau wie eine Impfung nicht allen Arten von Infektionskrankheiten vorbeugen kann, sondern nur einzelne bekannte Erreger adressiert, können AV-Lösungen unsere Endgeräte nicht vor allen denkbaren und unbekannten Angriffsarten schützen.

Dass moderne Schadsoftware alles daran setzt, ihre Entdeckung zu verschleiern, zeigt sich auch daran, dass Malware immer häufiger dazu in der Lage ist, ihre Umgebung autonom zu analysieren, und auf diese Weise erkennen kann, ob sie in einer natürlichen oder aber einer virtualisierten Sandbox läuft. Erst nach dieser eingehenden Analyse entscheidet die Software, ob sie ihren Schadcode ungehindert ausführt oder – im Falle eines simulierten Systems – inaktiv bleibt und ihre Entdeckung so verhindert. Hier kommen der Malware konzeptionelle Sandbox-Fehler wie etwa begrenzte Emulationszeit oder das Fehlen von User-Interaktionen zu Gute.

Next Generation-Bedrohungen brauchen Next-Generation-Sicherheitslösungen

Wer die Kontrolle über die Sicherheit seiner Endgeräte zurückerlangen will, muss sich der Versiertheit moderner Schadsoftware bewusst werden und in Sachen Endpoint-Schutz dementsprechend neue Wege gehen. Konkret bedeutet dies, auf Sicherheitslösungen zu setzten, die mehr als statische Indikatoren adressieren.

IT-Sicherheit (Bild: Shutterstock/Andrea Danti)

Was es hier braucht, sind innovative Ansätze wie maschinelles Lernen und dynamische Angriffsanalysen, die Einblick in den Modus Operandi der Malware gewähren, ihr Vorgehen offenlegen und schädliche Manipulationen unterbinden. Echtzeit-Monitoring sowie Anwendungs- und Prozessverhaltensanalyse minimieren zudem die Wahrscheinlichkeit von Falschmeldungen. Ist die Sicherheitslösungen in der Lage, schadhaften Code anhand seines Laufzeitverhaltens zu erkennen, können auch völlig neuartige, bisher unbekannte Malware-Varianten identifiziert werden. Und wenn die Endpoint-Protection darüber hinaus die Fähigkeit besitzt, manipulierte oder gelöschte Dateien oder Konfigurationseinstellungen zu reparieren bzw. wiederherzustellen, ist für größtmöglichen Schutz gesorgt.

In Zeiten, in denen sensible Unternehmensdaten vermehrt in unsicheren Cloud- oder Mobile-Umgebungen gespeichert werden, in denen staatliche Geheimdienste ihre Hacker mit immer modernerer Technik und immer größeren finanziellen Mitteln versorgen, muss in Sachen Endgeräte-Schutz letztlich ein Um- und Weiterdenken stattfinden. Der Untergang der traditionellen AV-Lösungen und Firewalls hat schließlich längst begonnen.