Sysbus
ArtikelSecurity

Application Control stoppt Ransomware

gcg

Die Anwendungssteuerung („Application Control“) im Endpoint Privilege Manager umgeht dieses Problem mit einer Greylist. Bei jedem Programmstart prüft Applikation Control, ob die Anwendung vertrauenswürdig oder unbekannt ist. Die Entscheidung trifft sie anhand von verschiedenen Parametern, die ein Administrator zentral hinterlegt hat. Das können etwa Zertifikate von Software-Herstellern, Hashsummen von Programmen oder aber vertrauenswürdige Quellen wie bestimmte IP-Adressen, Softwareverteilungsdienste und Programmordner im Unternehmensnetzwerk sein. Unbekannte Anwendungen landen automatisch auf der Greylist, wenn sie nicht die Prüfung der Blacklist zur Verhinderung der Ausführung geführt hat. Programme, die auf dieser Liste stehen, dürfen zwar starten, ihre Rechte können jedoch drastisch beschränkt werden.

Die Greylist-Funktion verhindert, dass sich Schadsoftware im Unternehmen ausbreitet und Geschäftsdaten stiehlt oder verschlüsselt (Quelle: CyberArk)

Wie die Einschränkungen im Detail aussehen, also ob das Programm etwa eine Verbindung ins Internet aufbauen oder auf Netzlaufwerke, Wechselmedien und bestimmte Dateitypen zugreifen darf, legen die Administratoren fest. Das Programm verbleibt jetzt so lange auf der Greylist, bis es die Administratoren eingehend untersucht haben und als vertrauenswürdig einstufen. Für die Analyse stehen spezielle Schnittstellen zu Lösungen, Reputations- und Prüfdiensten wie von Check Point, FireEye oder Palo Alto Networks bereit. Außerdem protokolliert die Anwendungssteuerung alle Programmaktivitäten, so dass die Administratoren zahlreiche Informationen zum Verbreitungsweg und zum Programmverhalten erhalten. Potenzielle Bedrohungen lassen sich dadurch frühzeitig erkennen oder ausschließen.

Zweifachschutz verhindert Cyber-Angriffe

Herkömmliche Schutzsoftware wehrt nur bekannte Schädlinge effizient ab und ist daher als alleinige Sicherheitsmaßnahme nicht ausreichend. Erst in Kombination mit der Anwendungssteuerung des Endpoint Privilege Managers, die Greylisting nutzt, lässt sich ein wirksamer Schutzwall gegen neue und unbekannte Ransomware-Angriffe errichten. Da Ransomware in diesem Kontext generell unbekannt ist, landet sie durchweg auf der Greylist und wird blockiert. Den Rest übernehmen dann die Sicherheitsteams im Unternehmen oder vielleicht sogar der Virenscanner, wenn er durch ein Signaturupdate den Schädling dann doch noch erkennt.

Ähnliche Beiträge:

  1. Datenbank-Sicherheit erfordert effiziente Zugriffskontrollen
  2. CyberArk präsentiert Open-Source-Version seiner Secrets-Management-Lösung für DevOps
  3. CyberArk präsentiert neue Endpunkt-Sicherheitslösung Viewfinity 5.5
  4. Bitdefender GravityZone Business Security im Test: Sicherheit für das ganze Unternehmensetz

Das könnte dir auch gefallen

ForeScout kündigt Advanced Threat Mitigation zur schnelleren Reaktion auf APTs und Sicherheitsverletzungen an

gcg

Entscheidung für Windows 10: The Day After

gcg

Zahlung On-Demand: Imperva führt neues Zahlungsmodell für seine Web Application Firewall ein

gg