{"id":11133,"date":"2017-05-30T12:50:24","date_gmt":"2017-05-30T10:50:24","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=11133"},"modified":"2017-05-29T10:03:24","modified_gmt":"2017-05-29T08:03:24","slug":"application-control-stoppt-ransomware","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=11133","title":{"rendered":"Application Control stoppt Ransomware"},"content":{"rendered":"

Autor\/Redakteur: Christian G\u00f6tz, Director of Presales and Professional Services DACH bei CyberArk<\/a>\/gg<\/p>\n

Cyber-Kriminelle greifen mit ihren Attacken vermehrt die Endger\u00e4te in Unternehmen an. Weil sie dabei st\u00e4ndig die Angriffstechniken \u00e4ndern, ist herk\u00f6mmliche Schutzsoftware v\u00f6llig \u00fcberfordert. Eine wirksame Abwehr l\u00e4sst sich aber in Kombination mit einer Application-Control-Technologie realisieren.<\/p>\n

<\/p>\n

Stromausf\u00e4lle, unkontrollierbare Kraftwerke, stillstehende Busse und Z\u00fcge, Flugzeuge, die nicht mehr abheben sowie lahmgelegte Krankenh\u00e4user \u2013 was nach einer Endzeitapokalypse aus einem Science-Fiction-Film klingt, k\u00f6nnte bald Wirklichkeit sein. Sicherheitsexperten erwarten in Zukunft neben einem weiteren Anstieg der Cyber-Angriffe auch vermehrt gezielte Ransomware-Attacken auf die OT-Umgebung (Operational Technology) verschiedener kritischer Infrastrukturen (KRITIS). Bereits im vergangen Jahr k\u00e4mpften mehrere Krankenh\u00e4user in Deutschland und verschiedene Stromanbieter in den USA mit den Auswirkungen von Ransomware-Angriffen. Eine Entsch\u00e4rfung der Bedrohung ist nicht in Sicht, ganz im Gegenteil. Die H\u00e4ufigkeit solcher Angriffe stieg 2016 sprunghaft an. Im Januar fand beispielsweise weltweit alle zwei Minuten ein Angriff auf Unternehmen statt, bis zum September verk\u00fcrzte sich die Dauer zwischen den Attacken auf 40 Sekunden. Die zentrale Frage f\u00fcr die IT-Sicherheits-Experten ist daher, wie sie diese Flut an Cyber-Attacken wirksam abwehren. Denn das zentrale Problem bisheriger Ans\u00e4tze in der IT-Sicherheit ist, dass eine 100-prozentige prophylaktische Erkennung von Malware reine Utopie ist und auch bleiben wird.<\/p>\n

\"\"<\/a>
Bei einem Cyber-Angriff weitet der Hacker zun\u00e4chst seine Kontrolle soweit auf andere Endpunkte aus, wie es ihm n\u00fctzlich erscheint und greift dann das Unternehmen an (Quelle: CyberArk)<\/figcaption><\/figure>\n

Antivirensoftware bietet keinen Schutz<\/strong><\/p>\n

G\u00e4ngige Client-Sicherheitsl\u00f6sungen wie Antiviren-Software oder Malware-Scanner, versuchen unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden Angriffe zu erkennen. Wird ein Sch\u00e4dling erkannt, blockiert ihn die Schutzsoftware und verhindert so den Zugriff auf Systemressourcen. Genau hier zeigt sich der gravierende Nachteil dieser L\u00f6sungen: Weil sie auf die Malware-Erkennung angewiesen sind, k\u00f6nnen sie oftmals keinen zuverl\u00e4ssigen Schutz vor der wachsenden Anzahl an polymorphen Cyber-Bedrohungen, Exploit-Kits, Zero-Day-Attacken oder Ransomware bieten. Erkennen und abwehren l\u00e4sst sich ein Sch\u00e4dling mit herk\u00f6mmlichen Methoden nur, wenn er bereits bekannt ist. Bei neuen und unbekannten Bedrohungen ist dieses Vorgehen v\u00f6llig nutzlos. Eine sehr erfolgreiche Methode, effizient gegen diese Art von Bedrohungen vorzugehen, ist eine Technologie wie Application Control, die im Endpoint Privilege Manager von CyberArk enthalten ist und generell alle unbekannten Anwendungen blockiert.<\/p>\n

Application Control stoppt unbekannte Programme<\/strong><\/p>\n

Ist Schadsoftware einmal im Unternehmen angekommen, versucht sie ihre Zugriffsrechte durch verschiedene Methoden zu erweitern, beispielsweise durch Sammeln von Passwort-Hashes. Eine M\u00f6glichkeit, diese Aktivit\u00e4ten zu unterbinden, ist daf\u00fcr zu sorgen, dass nur Programme ausgef\u00fchrt werden, die dem Unternehmen bekannt und damit vertrauensw\u00fcrdig sind. Das l\u00e4sst sich beispielsweise durch die Implementierung einer Black- oder Whitelist realisieren. Im Gegensatz zur Blacklist ist die Erstellung und Verwaltung einer Whitelist aber sehr zeitaufwendig, da hier nicht nur alle eingesetzten Applikationen ber\u00fccksichtigt werden m\u00fcssen, sondern auch die Updates der Applikationen. Denn durch die Aktualisierung kann sich der Pr\u00fcfwert (zum Beispiel ein Hash) der zugelassenen Anwendung derart \u00e4ndern, dass sie sich vom Eintrag in der Whitelist unterscheidet und das Programm folglich nicht mehr startet.<\/p>\n

<\/p>\n

Die Anwendungssteuerung (\u201eApplication Control\u201c) im Endpoint Privilege Manager umgeht dieses Problem mit einer Greylist. Bei jedem Programmstart pr\u00fcft Applikation Control, ob die Anwendung vertrauensw\u00fcrdig oder unbekannt ist. Die Entscheidung trifft sie anhand von verschiedenen Parametern, die ein Administrator zentral hinterlegt hat. Das k\u00f6nnen etwa Zertifikate von Software-Herstellern, Hashsummen von Programmen oder aber vertrauensw\u00fcrdige Quellen wie bestimmte IP-Adressen, Softwareverteilungsdienste und Programmordner im Unternehmensnetzwerk sein. Unbekannte Anwendungen landen automatisch auf der Greylist, wenn sie nicht die Pr\u00fcfung der Blacklist zur Verhinderung der Ausf\u00fchrung gef\u00fchrt hat. Programme, die auf dieser Liste stehen, d\u00fcrfen zwar starten, ihre Rechte k\u00f6nnen jedoch drastisch beschr\u00e4nkt werden.<\/p>\n

\"\"<\/a>
Die Greylist-Funktion verhindert, dass sich Schadsoftware im Unternehmen ausbreitet und Gesch\u00e4ftsdaten stiehlt oder verschl\u00fcsselt (Quelle: CyberArk)<\/figcaption><\/figure>\n

Wie die Einschr\u00e4nkungen im Detail aussehen, also ob das Programm etwa eine Verbindung ins Internet aufbauen oder auf Netzlaufwerke, Wechselmedien und bestimmte Dateitypen zugreifen darf, legen die Administratoren fest. Das Programm verbleibt jetzt so lange auf der Greylist, bis es die Administratoren eingehend untersucht haben und als vertrauensw\u00fcrdig einstufen. F\u00fcr die Analyse stehen spezielle Schnittstellen zu L\u00f6sungen, Reputations- und Pr\u00fcfdiensten wie von Check Point, FireEye oder Palo Alto Networks bereit. Au\u00dferdem protokolliert die Anwendungssteuerung alle Programmaktivit\u00e4ten, so dass die Administratoren zahlreiche Informationen zum Verbreitungsweg und zum Programmverhalten erhalten. Potenzielle Bedrohungen lassen sich dadurch fr\u00fchzeitig erkennen oder ausschlie\u00dfen.<\/p>\n

Zweifachschutz verhindert Cyber-Angriffe<\/strong><\/p>\n

Herk\u00f6mmliche Schutzsoftware wehrt nur bekannte Sch\u00e4dlinge effizient ab und ist daher als alleinige Sicherheitsma\u00dfnahme nicht ausreichend. Erst in Kombination mit der Anwendungssteuerung des Endpoint Privilege Managers, die Greylisting nutzt, l\u00e4sst sich ein wirksamer Schutzwall gegen neue und unbekannte Ransomware-Angriffe errichten. Da Ransomware in diesem Kontext generell unbekannt ist, landet sie durchweg auf der Greylist und wird blockiert. Den Rest \u00fcbernehmen dann die Sicherheitsteams im Unternehmen oder vielleicht sogar der Virenscanner, wenn er durch ein Signaturupdate den Sch\u00e4dling dann doch noch erkennt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Christian G\u00f6tz, Director of Presales and Professional Services DACH bei CyberArk\/gg Cyber-Kriminelle greifen mit ihren Attacken vermehrt die Endger\u00e4te<\/p>\n","protected":false},"author":3,"featured_media":11134,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[438,1554,5938,9056,3454,9644,8157,9642,7560,5834,9643,3753,5432,4342,6267,5880,5595],"class_list":["post-11133","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-antivirus","tag-application-control","tag-blacklist","tag-cyber-bedrohung","tag-cyberark","tag-endpoint-privilege-manager","tag-exploit-kit","tag-greylist","tag-hash","tag-kritis","tag-operational-technology","tag-passwort","tag-ransomware","tag-schadsoftware","tag-verschlusselung","tag-whitelist","tag-zero-day-attacke"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11133","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11133"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11133\/revisions"}],"predecessor-version":[{"id":11137,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11133\/revisions\/11137"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/11134"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}