Die nächste Generation von Lösungen zum Schutz der Endpunkte (EPP) vor codebasierten Angriffen ist bereits seit einigen Jahren auf dem Markt. Trotzdem bleiben viele Unternehmen bei ihrer traditionellen Lösung. Dabei wird vielfach davon ausgegangen, dass traditionelle Lösungen ausreichend sicher sind. Rob Collins von Cylance hat für uns zehn Anzeichen zusammengestellt, die signalisieren: Es ist an der Zeit etwas zu tun. [...]
1. Sie verwenden signaturbasierte Antivirenlösungen
Es liegt in der Natur der Sache, dass signaturbasierte Technologien zu langsam sind, um mit Zero-Day-Angriffen, Malware-Morphing oder einer Neukompilierung durch Packer Schritt zu halten. Und es gibt immer jemanden, der zunächst Opfer eines solchen Angriffs geworden ist. Erst dann erstellen die betreffenden Anbieter die Signatur, geben sie an Kunden weiter und testen sie, damit sie anschließend ausgerollt werden kann. Es kann Tage dauern bis eine Malware identifiziert ist. Jedes System, das nur einen einzigen Tag nicht auf den neuesten Stand gebracht wurde, ist anfällig.
Ruhende, virtuelle Maschinen sollen im Falle eines Malware-Ausbruchs dafür sorgen, dass der Geschäftsbetrieb nicht unterbrochen wird. Ohne die neuesten Signaturen sind diese Maschinen aber genauso gefährdet wie die übrigen Systeme. Wer den Status seiner Cybersicherheit unter anderem an der Anzahl von Systemen mit aktuellen Signaturen bemisst, sollte an dieser Stelle seinen Endpunktschutz genauer unter die Lupe nehmen.
Ein anderes Problem ist, dass Signatursätze nicht unendlich groß sind, so dass Anbieter von Antivirenlösungen Signaturen für Malware ablegen, bei der sie davon ausgehen, dass sie in „freier Wildbahn“ nicht mehr auftreten. Es passiert allerdings häufiger, dass
Next Generation AV auch ältere Malware auf Fileservern findet. Ein Beispiel ist WannaCry. Sogenannte Next-Gen-Lösungen kommen demgegenüber ohne Signaturen aus.
2. Ransomware, „Business as Usual“?
Die immense Zahl von Ransomware-Angriffen in den letzten Jahren weist nicht zuletzt darauf hin, dass traditionelle Antivirenlösungen nicht mehr greifen. Als Workaround haben viele Unternehmen ihre Backup-Prozesse verbessert, Rollback-Software und Application Whitelisting eingeführt. Alles, um besser auf Ransomware vorbereitet zu sein. Für viele Firmen ist Ransomware inzwischen Teil des „Business as usual“, und bis zu drei Ausbrüche pro Jahr werden als kontrollierbar eingestuft.
Ransomware hat zumindest einen „Vorteil“, sie gibt sich als solche zu erkennen. Nur bleibt es nicht unbedingt bei Ransomware allein. Oftmals kommen gleichzeitig
Remote Access Trojaner (RATs), Keylogger oder Advanced Persistent Threats (APTs) im Hintergrund zum Einsatz und alle erlauben Datenklau im großen Stil. Aktuelle EPP-Lösungen verhindern Ransomware- und andere Malware– und Zero-Day-Angriffe.
3. Sie machen immer noch regelmäßig Hintergrund-Scans
Traditionelle Antivirenlösungen kommen nicht ohne tägliche oder wöchentliche Scans aus. Die sind nötig, um Malware anhand neuer Informationen aus den täglichen Signatur-Updates zu erkennen. Benutzer verschieben diese Scans gerne, zum Beispiel auf Nachtzeiten oder lassen die Scans pausieren. Warum? Weil sie die Performance beeinträchtigen. Bei modernen EPP-Lösungen entfallen Hintergrundscans.
4. Selbst neue Systeme sind zu langsam
Traditionelle Antivirenlösungen beanspruchen einen großen Teil der Systemressourcen.
Dazu kommen ergänzende Sicherheitslösungen für die Bereiche, die traditionelle AV-Lösungen nicht abdecken. Wünschenswert sind Lösungen, die nur wenige zusätzliche Bandbreite für sich beanspruchen, und die Nutzer nicht beeinträchtigen.
5. Sie verwenden weiterhin einen lokalen Server für die AV-Verwaltung
Wir schreiben das Jahr 2018. Wer heute seine Antivirenlösung noch nicht über die
Cloud verwalten kann, sollte dringend ein Update durchführen. Aber Vorsicht – einige AV-Lösungen der nächsten Generation erfordern eine ständige Internetverbindung, um effektiv zu arbeiten. Andere bleiben auch ohne permanente Internetverbindung wirksam.
6. Sie verbringen zu viel Zeit mit der AV-Verwaltung
Das Verwalten eine AV-Lösung bringt einem Unternehmen keinerlei Mehrwert.
Und dieser Aufwand lässt sich minimieren: Einfach gehaltene Richtlinien, keine Fehlalarme, kein Nachverfolgen täglicher Updates oder Hintergrund-Scans und kein Management-Server, der zusätzlich gewartet werden muss. Das setzt Ressourcen für wertschöpfende Tätigkeiten und anspruchsvollere IT-Sicherheitsaufgaben frei.
7. Sie verbringen zu viel Zeit mit Warnhinweisen, die sich als unwichtig herausstellen
Signaturen sind gut geeignet um bekannte Malware zu stoppen, und sie führen in der Regel nur zu wenigen Fehlalarmen. Zusätzlichen Funktionen mit denen man neuartige Malware stoppen will, führen tendenziell zu deutlich mehr Fehlalarmen. Heuristiken, verhaltensbasierte Identifikation, Sandboxing, Host-basierte Intrusion Prevention, URL- und Reputationsfilterung haben ganz einfach das Potenzial für Rauschen und Fehlalarme.
8. Sie glauben nicht mehr an die Wirksamkeit der EPP?
Application Whitelisting, Host-Based IPS, Reputation Filtering, Sandboxing, Data Loss Prevention, Behavior-Based Malware Detection oder Host-Based Firewalls – wenn es allein nach dem potenziellen Investitionsvolumen in IT-Sicherheitslösungen geht, haben Anbieter traditioneller Antivirenlösungen wenig Grund ihr Kernprodukt zu verändern. Für einen Sicherheitsansatz dessen Credo „Defense in Depth“ lautet, lassen sich diverse Technologien weiterhin gut vermarkten.
9. EDR statt EPP?
Endpoint Detect and Response (EDR) ist schnell zum Liebling der Branche avanciert. Dabei existieren zwei unterschiedliche Betrachtungsweisen.
Die Einen betrachten EDR als eine weitere Sicherheitsebene, die man parallel zur traditionellen AV-Lösung einsetzt, um durch Malware entstandene Schäden zu identifizieren und zu reduzieren. Die Anderen sehen EDR als präventive Lösung. Sie liefert mehr Informationen dazu, wie eine Malware in ein System gelangt ist, hilft, Angreifer zu identifizieren, verfügt über leistungsstarke Suchfunktionen um Anzeichen für eine Kompromittierung zu erkennen ebenso wie bestimmte Indikatoren für einen erfolgten Angriff. Das sind etwa Änderungen an Host-Dateien, die Nutzung von PowerShell für illegitime Zwecke oder gelöschte Protokolle. Unabhängig davon, welcher Betrachtungsweise man sich anschließt, wer seiner EPP-Lösung nicht vertraut, der sollte sich nach einer Alternative umsehen.
10. Sie müssen Ihre Betriebssysteme aktualisieren, weil die AV-Lösung sie nicht mehr unterstützt
Gerade Krankenhäuser und Einzelhandel sind dafür bekannt, ältere Betriebssysteme zu betreiben. Einfach, weil die Budgets knapp sind oder die betreffenden Systeme noch ihren Dienst tun. Betriebliche Technologieumgebungen sind häufig daran gebunden weiterhin die Systeme zu nutzen, die ursprünglich eingesetzt wurden – aber nicht aktualisiert werden können. Da moderne Lösungen zum Schutz von Endpunkten, die Leistung so gut wie nicht negativ beeinflussen kann man sie meistens auch mit älteren Betriebssystemen kombinieren.
Fazit
Es ist an der Zeit den vielerorts bestehenden Endpoint-Schutz zu überprüfen. Dafür gibt es ausreichend gute Gründe. Auch den, nicht unbedingt mit der eigenen Firma die nächste Sicherheitsschlagzeile zu liefern. Ziel muss es sein, IT-Mitarbeitende von zeitaufwendigen Routineaufgaben zu entlasten und Ressourcen für wertschöpfende Tätigkeiten freizusetzen. Das ist mit traditionellen AV-Lösungen kaum möglich. Neben Kosten, Reibungsverlusten und Leistungseinbußen führt diese Strategie nicht selten dazu, dass die Schatten-IT wächst. Mehr Layer bedeuten nicht zwangsläufig mehr Sicherheit. Das ist einer der Branchenmythen, die sich hartnäckig halten, aber durch Wiederholen nicht unbedingt zutreffender werden.
*Rob Collins ist Director of Sales Engineering bei Cylance.
Be the first to comment