Die ständige Zunahme von Ransomware, eine Vielzahl neu aufkommender Exploits und unzureichender Informationsaustausch zwischen unterschiedlichen Security-Produkten haben dazu geführt, dass Reaktionen auf Endpoint-Bedrohungen langsamer und weniger effektiv erfolgen, als es für Unternehmen akzeptiert wäre. Aktuelle Studien zeigen zum Beispiel, dass ca. 30 Prozent der bekannten Sicherheitsverletzungen mit der Installation von Malware auf Endpoints im Zusammenhang stehen.
Eine effektive Cyber Security-Strategie muss deshalb Endpoint-Security umfassen, da diese eines der wichtigsten Elemente für Netzwerksicherheit ist.
In diesem Artikel fassen unsere Experten einige der bewährten Methoden in Bezug auf Endpoint Security zusammen.
Endgeräte: Hintertüren zu Ihren wertvollsten Daten
In der gegenwärtigen Cyber-Bedrohungslandschaft werden Endgeräte zunehmend zum Hauptakteur, weil interne Netzwerke oft nicht mehr direkt aus dem Internet erreichbar sind. Die internen Netzwerke sind in der Regel durch Next-Generation Firewalls geschützt. Öffentlich zugängliche Daten befinden sich dagegen nicht auf firmeneigenen Servern. Der Zugriff erfolgt „in der Cloud“ über Content Delivery Networks (CDNs).
Um Zugriff auf die wertvollen Daten von Unternehmen zu erhalten, benötigen Hacker immer häufiger nahezu physische Zugänge. Für sie ist ein ungeschütztes Endgerät wie eine offene Hintertür und ermöglicht den Zugriff auf wertvolle und sensible Daten innerhalb aktueller Netzwerktopologien.
Während Unternehmensgeräte physisch an das Netzwerk angeschlossen werden können, in dem sich die Assets und Daten befinden, könnte ein solcher ungesicherter Endpoint auch den Zugriff auf diese Daten ermöglichen. Wenn Ihre derzeitigen Security-Maßnahmen unzureichend sind, wird ein Endpoint für einen Hacker beim Versuch, auf die wertvollen Daten des Unternehmens zuzugreifen, ein leichtes Ziel sein. Ihren Mitarbeitern wird kein bösartiges Verhalten im Zusammenhang mit dem Endpoint auffallen.
Best Practices für Endpoint Security
Die unten aufgeführten Best Practices sind als Einblicke und Ideen für Unternehmen gedacht, die nach optimalen Endpoint Security-Lösungen für ihre aktuelle Strategie (und ihr Budget) suchen.
1. Durchsetzung von Regeln zur Anmeldung auf Endgeräten mit möglichst geringen Berechtigungen
Wenn ein normaler Benutzer mit „Administratorberechtigungen“ auf einen Endpoint zugreift, lässt sich Malware möglicherweise ohne Sicherheitskontrollen installieren. Selbstverständlich muss sichergestellt werden, dass Benutzer alle Aufgaben bearbeiten können, die ihrer Rolle und Funktion entsprechen, dennoch muss Zugriff mit möglichst geringen Berechtigungen durchgesetzt werden. Für die meisten Benutzer ist beispielsweise eine Berechtigung zum Installieren von Software unnötig, auch wenn die Benutzer selbst oft anders darüber denken. Zumindest ist eine derartige Berechtigung nicht dauerhaft erforderlich, und es gibt keinen Grund, die Berechtigung dezentral zu erteilen.
Werden höhere Berechtigungen benötigt, sollte Multifaktor-Authentifizierung angewendet werden. Aktivitäten mit erhöhten Berechtigungen sollten protokolliert, Berichte zeitnah und regelmäßig geprüft werden. Auf diese Weise können Sie bestehende Prozesse zur Vergabe von Administratorberechtigungen kontinuierlich überwachen und verbessern, um deren Genauigkeit und Praxistauglichkeit sicherzustellen.
2. Durchführung kontinuierlicher (und rechtzeitiger) Endpoint-Scans mit einer „Next-Generation Endpoint Security-Lösung“
Weil Geschick und Entschlossenheit von Cyberkriminellen zunehmen, lässt sich beobachten, dass es sich bei Malware oft nicht mehr um „einfache Viren“ handelt, sondern um „softwarelose“, ruhende und wartende Phänomene. Ausgereifte Malware wird deshalb von den heute existierenden signaturbasierten Antivirenprogrammen oft nicht erkannt.
Deshalb ist es unerlässlich, NextGen EndPoint Security-Lösungen einzusetzen, die vor solchen bösartigen Taktiken schützen. Aber auch wenn „die neueste und beste“ Endpoint Security-Lösung installiert ist, sind die Konfigurationsparameter der eingesetzten Lösung ebenso wichtig wie ihre Bereitstellung selbst.
Sorgen Sie dafür, dass häufig missbräuchlich verwendete Speicherorte wie Benutzerprofilordner, „temp“-Ordner, Registry, registrierte Dateitypen und der Windows-Ordner aktiv gescannt oder überwacht werden. Konfigurieren Sie tägliche On-Demand-Scans des Arbeitsspeichers oder das kontinuierliche Durchsuchen des Arbeitspeichers nach Rootkits und laufenden Prozessen. Führen Sie einen vollständigen On-Demand-Scan für jedes Objekt durch, das bei solchen Scans als verdächtig erkannt wurde.
Sorgen Sie dafür, dass die Lösung automatisch alle Medien scannt, die in lokale Laufwerke eingelegt werden, oder unterbinden Sie den Zugriff auf USB-Speicher und andere externe Medien generell für bestimmte Geräte oder Benutzer. Wenn verfügbar, verwenden Sie einen „Scan-Cache“. In einem solchen Speicher können zuvor gescannte Dateien auch nach einem Neustart des Computers erhalten bleiben. Diese Option verbessert die Leistung, indem sie den Überblick über „saubere Dateien“ behält, die nicht erneut gescannt werden müssen.
Nutzen Sie auf jeden Fall externe Intelligence-Feeds, die für Ihre Lösung verfügbar sind. Viele Cybersicherheits-Anbieter tauschen untereinander Softwarebewertungen und sogenannte Indicators of Compromise („IOCs“) aus, um für eine verbesserte Security Posture für Unternehmen zu sorgen, die Multi-Vendor-Lösungen einsetzen.
3. System-Hardening durchsetzen
Viele Betriebssysteme verfügen über eine System-Firewall. In den meisten Fällen ist dabei jedoch eine minimale Konfiguration vorgegeben, durch die das Schutzpotenzial dieser „kostenlosen“ Security-Lösungen geschwächt wird. Prüfen Sie für jedes System die Einstellungen für den Zugriff auf das Internet und auf interne Netzwerke, gegebenenfalls auch den Zugriff auf lokale Subnetze. Stellen Sie sicher, dass Updates von Betriebssystem und Endpoint Security-Lösung zentral kontrolliert werden. Wenn Datenverkehr von einem bestimmten Objekt zu Systemen im gleichen Subnetz oder zu anderen Netzwerksegmenten definiert wird, können alle anderen auf Verbindungen wartenden UDP- oder TCP-Ports geschlossen werden. Wird die Anzahl der startbaren und kommunikationsfähigen Anwendungen begrenzt, ist die Wahrscheinlichkeit, dass sich Malware innerhalb des Subnetzes oder zu anderen Netzwerksegmenten ausbreitet, stark reduziert.
4. Anwendungskontrolle durchsetzen
Die Beschränkung der Möglichkeiten von Endbenutzern (und damit Hackern), die Installation, Ausführung oder Kommunikation von Anwendungen zu veranlassen, kann die Sicherheitslage erheblich verbessern. Weil die Installation bereits eingeschränkt ist (siehe Durchsetzung des Zugriffs mit möglichst geringen Berechtigungen, wie oben beschrieben), kann die Ausführung von Anwendungen möglicherweise erlaubt werden.
Einige Next-Generation Endpoint Security-Lösungen unterstützen „Whitelists“ ausführbarer Dateien. Die Parameter für die Genehmigung oder Ablehnung der Ausführung können auf einer Bewertung der jeweiligen Anwendung durch den Lösungsanbieter oder die IT-Abteilung des Unternehmens beruhen.
Einfache Implementierungen von Anwendungssicherheit benötigen eine „Lernphase“, in der die Anwendungsaktivität auf vielen Endpunkten überwacht wird. Basierend auf den Erkenntnissen aus der Lernphase wird dann eine granulare Security Posture implementiert.
Am Ende dieses Überwachungszeitraums (in dem Sie detailliert konfiguriert haben, welche Anwendungen erlaubt sind) sollte eine endgültige Einstellung bezüglich „unbekannter Anwendungen“ aktiviert werden, mit der die Ausführung solcher Dateien blockiert wird. Auch bei Anwendungen, deren Ausführung ausdrücklich erlaubt ist, verlangt ein moderner Standard für Netzwerksicherheit den Einsatz einer Next-Generation Firewall, die in der Lage ist, die Kommunikation zwischen Netzwerksegmenten für bestimmte Anwendungen zu blockieren. Auch hier gilt: Wenn zulässigen Anwendungen Zugriff gewährt wird (je nach Bedarf über UDP- oder TCP-Ports), wird eine letzte Regel zum Blockieren abweichender Kommunikationen das Segment zusätzlich schützen.
Lückenlose Nutzung von Festplattenverschlüsselung
Wenn auf allen Festplatten auf allen Systemen Ihres Unternehmens die Verschlüsselung gespeicherter Daten aktiviert ist, wird Ihre Security Posture verbessert. Ein gestohlenes Notebook ist dann keine existenzielle Sicherheitsbedrohung mehr. Ohne einen weiteren Angriffsvektor (zum Beispiel gestohlene Zugangsdaten) sind die Daten für den Dieb einfach nicht zugänglich. Aktivieren Sie außerdem Verschlüsselung auf allen peripheren Medien wie USB-Sticks, da diese noch anfälliger für versehentlichen Verlust und damit Datenlecks sind.
Optimale IT bedeutet: Eindämmung einer breiten, physischen Bedrohung mit einer systematischen, IT-basierten Lösung.
Im Idealfall werden Schlüssel zur Wiederherstellung der verschlüsselten Daten in einem nicht-digitalen Format aufbewahrt, in einem Safe eingeschlossen oder sicher an einem zugangsbeschränkten externen Ort.
Nutzung von Backup-Möglichkeiten (für bestimmte Ordner/Dateien)
Unternehmen sind aufgrund der wachsenden Menge an Unternehmensdaten, die auf Endpoints gespeichert sind, einem zunehmenden Risiko von Datenverlust ausgesetzt. Denken Sie an all die Laptops, Smartphones, Tablets und anderen Geräte, die in den Randbereichen Ihres Netzwerks genutzt werden. Mitarbeiter erstellen und nutzen jederzeit und von beliebigen Orten aus Unternehmensdaten: mit Tablets, Laptops und Telefonen. Die meisten von ihnen setzen Unternehmensdaten nicht absichtlich Risiken aus, sondern tun nur das, was nötig ist, um ihre Arbeit zu erledigen. Es ist also Aufgabe der Unternehmens-IT, sicherzustellen, dass Daten auf Geräten geschützt sind. Sobald von diesen Daten Backups vorliegen, kann Ihr Unternehmen Initiativen rund um E-Discovery, Legal Hold, Disaster Recovery und Datenmigration leichter angehen. Endpoint-Backup ist daher die Grundlage für eine umfassende Data Governance-Strategie.
5. Bereitstellen einer SIEM-Lösung
Da viele Endpoints nicht nur auf dem Firmengelände benutzt werden, ist es unerlässlich, über eine zentrale Protokollierungslösung zu verfügen, die alle Endpoint-Protokolldaten über Ereignisse bei Benutzern, Betriebssystemen und (Sicherheits-)Anwendungen empfängt. Wenn Sie diese Protokolle nicht aus Compliance-Gründen aufbewahren müssen, ist das einfache Sammeln dieser Protokolle jedoch sinnlos, wenn aus ihnen nicht relevante und handlungsbezogene Informationen zu Ereignissen extrahiert werden.
Im Routinebetrieb und auch bei reduzierter Ereignisprotokollierung erzeugt ein Endpoint bereits eine Vielzahl von Protokolleinträgen. Weil die meisten Unternehmen über große Zahlen von Endgeräten verfügen, gilt der Einsatz von SIEM-Lösungen inzwischen als bewährte Praxis. SIEM-Lösungen empfangen nicht nur Ereignisse aus verschiedenen Quellen, sondern sollten auch in der Lage sein, die Relevanz von Ereignissen zu berücksichtigen, Ereignis-/Datenkorrelationen durchzuführen und einen Regelsatz anzuwenden, um letztlich zwischen harmlosen Ereignissen und potenziellen Gefahrensituationen zu unterscheiden.
Noch besser wäre es, eine Lösung einzusetzen, die sehr präzise die Wahrscheinlichkeit ermittelt, dass es sich bei einem Ereignis um den Beginn einer Sicherheitsverletzung handelt. Basierend auf dem jeweiligen Risiko und den Konsequenzen der Kompromittierung von Netzwerkobjekten bieten einige Lösungen sogar Benachrichtigungs-Services an oder lösen automatisch Maßnahmen aus, die mit höchster Wahrscheinlichkeit für die Eindämmung oder Behebung von Vorfällen erforderlich sind. SIEM-Lösungen haben inzwischen eine gewisse Reife erreicht. Sie sind zu einer Standard-Security-Technologie geworden. SIEM-Lösungen unterschiedlicher Anbieter von Endpoint Security-Lösungen unterscheiden sich jedoch oft deutlich voneinander. Sie sollten deshalb alle Merkmale und Funktionalitäten sowie Preise und Preismodelle sorgfältig prüfen, um festzustellen, ob die untersuchten Lösungen tatsächlich die Leistungen bieten, die von Ihrem Unternehmen benötigt werden.
Fazit
In diesem Beitrag haben wir eine Auswahl effektiver Sicherheitspraktiken für Endpoint Security dargestellt. Weitere wichtige Elemente für das Erreichen einer optimalen Endpoint Security für Ihr Unternehmen sind zum Beispiel regelmäßige Datenlöschung, lückenlose Aktualisierung von Betriebssystemen, Deaktivierung ungenutzter Ports, das Einspielen von Drittanbieter-Patches und die Durchführung von Cyber Security Awareness-Kampagnen. Unternehmen sollten sicherstellen, dass ihre Endpoint Security-Lösungen die definierten Anforderungen an Security, Verwaltbarkeit und Flexibilität tatsächlich erfüllen können. Funktionell mangelhafte und schwer zu verwaltende Lösungen sollten vermieden werden.