Computerpartner

Sie befinden sich hier: HOMENachrichtenKnow HowSecurity
19.10.2017

BSI fordert mehr Sicherheit auf mobilen Endpunkten, IDC warnt vor Problem des "Patient Null"

Der vielerorts mangelhafte Schutz von Endpunkten – häufig mobile Endgeräte – entwickelt sich zu einer zentralen Herausforderungen der IT-Sicherheit.

Mathias Hein

Zuletzt warnte das weltweit aktive IT-Beratungsunternehmen IDC vor dem "Patient Null"-Problem und das Bundesamtes für Sicherheit in der Informationstechnologie (BSI) rief zu besserem Schutz mobiler Endgeräte auf. Vor diesem Hintergrund rät Palo Alto Networks zu einem Umstieg auf einen Multi-Methoden-Ansatz. Zuletzt haben Branchenexperten wie Gartner und AV-Test das Potential eines solchen Ansatzes bestätigt.

Da Cyberkriminelle vermehrt Laptops und Smartphones attackieren warnte vor wenigen Tagen BSI-Präsident Arne Schönbohm, dass mobile Geräte oft nur unzureichend geschützt sind und so zur leichten Beute für Cyberkriminelle werden. Schönbohm erklärte: "Immer mehr Menschen verbringen viel Zeit in sozialen Netzwerken, kaufen ausschließlich im Internet ein und machen mobiles Arbeiten zu ihrem Lebensinhalt."

Ebenso kritisch bewertet das IT-Beratungsunternehmen IDC die Situation in Sachen Endpunktsicherheit. So kommt das Unternehmen in seiner Analyse "The Patient Zero Problem and the Need for Modern Endpoint Protection" zu dem Schluss, dass klassische, Signatur-basierte Endpunktlösungen keinen effektiven Schutz vor neuen Angriffsformen auf Endpunkte bietet.

So erklärt IDC: "Die Realität der digitalen Transformation unterscheidet sich massiv von der Situation im Cyberspace der Vergangenheit. Traditionelle Signatur-basierte Schutzmaßnahmen bieten nur geringe Sicherheit in einer Malware-Welt, in der oft Einzelziele attackiert werden – auch bekannt als Patient Null Effekt. Aufgrund der akuten Probleme, die von "Patient Null-Effekt" ausgehen, sind neue Ansätze unverzichtbar."

Dieser Forderung schließt sich Palo Alto Networks an. Als unverzichtbare Eigenschaften für zeitgemäßen Endpunktschutz nennt das Unternehmen:

  1. Signatur-freier Ansatz: Endpunktlösungen ohne Signatur-Ansatz sind besser in der Lage gezielte Malware-Attacken zu erkennen und mit verschiedenen Malware-Varianten umzugehen. Dazu gehören auch Zero-Day Bedrohungen und Malware-freie Attacken.
  2. Durchgängiger Schutz: Neue und sich entwickelnde bzw. verändernde Bedrohungen müssen durchgehend erkannt werden.
  3. Endpunkt-Agenten Funktionalität: Da Endpunkte zunehmend mobil und entfernt von der Firmenzentrale sind, sollte die Schutzqualität unabhängig von Art und Weise der Anbindung sein.
  4. Businesstauglichkeit: Ein Endpunktschutz sollte einen Multilayer-Ansatz verfolgen möglichst einfach zu konfigurieren sein. Ebenso sollten Updates und Managementfunktionen zentral und einfach zu steuern sein.
  5. Standards erfüllen: Der Endpunkt-Schutz sollte alle Compliance-Vorgaben und Standards, die für eine Organisation gültig sind, erfüllen. Das gilt auch für zu erwartende Veränderungen, mit denen die Lösung kompatibel sein muss. Generell sollte ein Augenmerk auf die langfristige Tauglichkeit des Endpunktschutzes gelegt werden.

Um die zahlreichen Herausforderungen an zeitgemäßen Endpunktschutz zu erfüllen, hat Palo Alto Networks mit Traps eine Lösung entwickelt, die einen Multi-Methoden-Ansatz verfolgt um mobile und stationäre Endpunkte zu schützen. Traps™ Advanced Endpoint Protection bietet damit stärkere Malware- und Exploit-Präventionsfähigkeiten und Unterstützung für mehrere Betriebssysteme. Als anerkannter Ersatz für AV-Produkte (Anti-Virus) bei Unternehmen, die HIPAA- oder PCI-DSS-konform bleiben müssen, verwendet Traps einen Multi-Methoden-Präventionsansatz, um sowohl bekannte als auch unbekannte Malware und Exploits zu blockieren, bevor sie Endpunkte kompromittieren. 

"Der Ansatz von Traps verhindert präventiv Angriffe, einschließlich noch nie zuvor gesehener Angriffe, durch die Blockierung der Techniken, auf die sich Angreifer verlassen. Die Neuerungen, die heute angekündigt wurden, erweitern den Schutz auf MacOS und Android sowie auf weitere Angriffstechniken, die verhindert werden können. Hierzu zählen Makro- und Skript-basierte Angriffe, Fingerprinting-Techniken sowie Kernel-Privilege-Eskalation. Diese Schutzfunktionen nutzen die Leistungsfähigkeit unserer Plattform, um fortschrittliche und nie zuvor gesehene Bedrohungen daran zu hindern, das Unternehmen an einem beliebigen Punkt zu infiltrieren. Diese Bedrohungen machen wir ineffektiv", fasst Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks, zusammen.

Die Wirksamkeit dieses Ansatzes wurde nun auch von Gartner bestätigt. So wurde Palo Alto Networks für seine Endpunkschutz-Lösung im Magic Quadrant 2017 for Endpoint Protection Platforms (EPP) als Visionär eingestuft. In seinem Report warnt Gartner Unternehmen davor, sich zu sehr auf reaktive Kompromittierungsindikatoren zu verlassen. Laut Gartner "sind mit Ausnahme einiger aufkommender visionärer Anbieter viele Malware-Erkennungstechniken von EPP-Lösungen zu sehr abhängig von reaktiven Kompromittierungsindikatoren (d.h. IP-Adresse, URL, Datei-Hash, partieller Hash, Registrierungsschlüsselwerte etc.). Diese statischen Indikatoren sind der einfachste Teil der Kill Chain für die Angreifer und ändern sich schnell." 

Zudem hat unlängst auch das Microsoft Security Center den Multi-Methoden-Endpunktschutz als offizielles Antivirus-Produkt (AV) anerkannt. Das Windows Security Center ist ein Reporting-Tool, das den System- und Sicherheitsstatus von Windows-Endpunkten überwacht und für Windows 7 und späteren Versionen verfügbar ist. Das Windows Security Center stellt dem Benutzer durch das Action Center eine Warnmeldung und eine präskriptive Anleitung zur Verfügung. Wenn Unternehmen Traps als einzige AV-Lösung verwenden, können die Nutzer in der Statusanzeige des Action Centers die Schutzfunktion von Traps einsehen.

Aktuell hat nun auch AV-TEST die Tauglichkeit von Traps und dessen Multi-Methoden-Ansatz überprüft. Dazu wurde Traps im Mai 2017 auf einem Windows 10 Professional System mit 64-Bit getestet.  Dabei wurde Traps auf seine Schutzfunktion, die Performance und Nutzerfreundlichkeit untersucht.

"Die Detection-Rate von Traps lag dabei über dem Durchschnitt klassischer AV-Lösungen. Zudem ergab der Test, dass Traps die Systemleistung der geschützten Endpunkte nur minimal beeinflusst. Auch hier schnitt Traps besser ab als der Durchschnitt", erklärt Thorsten Henning. "In Sachen Nutzerfreundlichkeit fiel das Urteil ähnlich aus. Auf einer Skala von 1 bis 6 schnitt Traps in allen Kategorien zwischen 5,5 und 6 ab".

Zu einem ähnlichen Fazit kommen auch die Experten von IDC: "Palo Alto Networks Traps bietet einen modernen Endpunktschutz, der entweder als eigenständige Lösung oder als Teil eines integrierten Sicherheits-Ökosystems implementiert werden kann. Es entstehen Synergieeffekte, wenn Traps mit einer Next Generation Security-Plattform integriert wird. Palo Alto Networks Traps sollte von Organisationen in Betracht gezogen werden, die moderne Fähigkeiten für den Schutz von Endpunkten suchen." +