Application Control stoppt Ransomware

Autor/Redakteur: Christian Götz, Director of Presales and Professional Services DACH bei CyberArk/gg

Cyber-Kriminelle greifen mit ihren Attacken vermehrt die Endgeräte in Unternehmen an. Weil sie dabei ständig die Angriffstechniken ändern, ist herkömmliche Schutzsoftware völlig überfordert. Eine wirksame Abwehr lässt sich aber in Kombination mit einer Application-Control-Technologie realisieren.

Stromausfälle, unkontrollierbare Kraftwerke, stillstehende Busse und Züge, Flugzeuge, die nicht mehr abheben sowie lahmgelegte Krankenhäuser – was nach einer Endzeitapokalypse aus einem Science-Fiction-Film klingt, könnte bald Wirklichkeit sein. Sicherheitsexperten erwarten in Zukunft neben einem weiteren Anstieg der Cyber-Angriffe auch vermehrt gezielte Ransomware-Attacken auf die OT-Umgebung (Operational Technology) verschiedener kritischer Infrastrukturen (KRITIS). Bereits im vergangen Jahr kämpften mehrere Krankenhäuser in Deutschland und verschiedene Stromanbieter in den USA mit den Auswirkungen von Ransomware-Angriffen. Eine Entschärfung der Bedrohung ist nicht in Sicht, ganz im Gegenteil. Die Häufigkeit solcher Angriffe stieg 2016 sprunghaft an. Im Januar fand beispielsweise weltweit alle zwei Minuten ein Angriff auf Unternehmen statt, bis zum September verkürzte sich die Dauer zwischen den Attacken auf 40 Sekunden. Die zentrale Frage für die IT-Sicherheits-Experten ist daher, wie sie diese Flut an Cyber-Attacken wirksam abwehren. Denn das zentrale Problem bisheriger Ansätze in der IT-Sicherheit ist, dass eine 100-prozentige prophylaktische Erkennung von Malware reine Utopie ist und auch bleiben wird.

Bei einem Cyber-Angriff weitet der Hacker zunächst seine Kontrolle soweit auf andere Endpunkte aus, wie es ihm nützlich erscheint und greift dann das Unternehmen an (Quelle: CyberArk)

Antivirensoftware bietet keinen Schutz

Gängige Client-Sicherheitslösungen wie Antiviren-Software oder Malware-Scanner, versuchen unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden Angriffe zu erkennen. Wird ein Schädling erkannt, blockiert ihn die Schutzsoftware und verhindert so den Zugriff auf Systemressourcen. Genau hier zeigt sich der gravierende Nachteil dieser Lösungen: Weil sie auf die Malware-Erkennung angewiesen sind, können sie oftmals keinen zuverlässigen Schutz vor der wachsenden Anzahl an polymorphen Cyber-Bedrohungen, Exploit-Kits, Zero-Day-Attacken oder Ransomware bieten. Erkennen und abwehren lässt sich ein Schädling mit herkömmlichen Methoden nur, wenn er bereits bekannt ist. Bei neuen und unbekannten Bedrohungen ist dieses Vorgehen völlig nutzlos. Eine sehr erfolgreiche Methode, effizient gegen diese Art von Bedrohungen vorzugehen, ist eine Technologie wie Application Control, die im Endpoint Privilege Manager von CyberArk enthalten ist und generell alle unbekannten Anwendungen blockiert.

Application Control stoppt unbekannte Programme

Ist Schadsoftware einmal im Unternehmen angekommen, versucht sie ihre Zugriffsrechte durch verschiedene Methoden zu erweitern, beispielsweise durch Sammeln von Passwort-Hashes. Eine Möglichkeit, diese Aktivitäten zu unterbinden, ist dafür zu sorgen, dass nur Programme ausgeführt werden, die dem Unternehmen bekannt und damit vertrauenswürdig sind. Das lässt sich beispielsweise durch die Implementierung einer Black- oder Whitelist realisieren. Im Gegensatz zur Blacklist ist die Erstellung und Verwaltung einer Whitelist aber sehr zeitaufwendig, da hier nicht nur alle eingesetzten Applikationen berücksichtigt werden müssen, sondern auch die Updates der Applikationen. Denn durch die Aktualisierung kann sich der Prüfwert (zum Beispiel ein Hash) der zugelassenen Anwendung derart ändern, dass sie sich vom Eintrag in der Whitelist unterscheidet und das Programm folglich nicht mehr startet.