Im Umfeld von Trends wie BYOD (Bring Your Own Device), IoT (Internet of Things) und 5G-Mobilfunk bahnen sich neue Sicherheitsprobleme an. Deren Bewältigung erfordert einen ganzheitlichen, transformativen Ansatz für die Endpunktsicherheit.

Trends wie BYOD im Unternehmen, das wachsende Internet der Dinge mit unzähligen IoT-Endgeräten und künftig 5G-taugliche Geräte mit noch mehr Funktionen stellen bisherige Ansätze für die Endpunktsicherheit auf den Kopf. Denn der Umgang mit so vielen beweglichen Teilen, die sich teils der Kontrolle der IT-Abteilung entziehen, erschwert es, Datensicherheit zu realisieren. Komplexe, zielgerichtete Cyberbedrohungen wie maßgeschneiderte Angriffe mit Ransomware erfordern ein Umdenken, da herkömmliche Schutzinstrumente nicht mehr greifen.

Das Internet der Dinge ermöglicht die Umsetzung vielversprechender Industrie-4.0-Szenarien, verbunden mit einer Konvergenz von IT und OT (Operational Technology). Dies bedeutet aber auch, das zwei vormals völlig getrennte Umgebungen samt unzähliger Endgeräte nun vernetzt sind. Daraus ergeben sich verschiedene Sicherheitsrisiken, zum Beispiel durch nicht gepatchte Schwachstellen, schwache Authentifizierung oder Anfälligkeit für Exploits und Brute-Force-Angriffe mit dem Ziel, an Zugangsdaten zu gelangen. IoT-Umgebungen sind oft nur durch eine herkömmliche Firewall geschützt, das Netzwerk selbst wird typischerweise jedoch nicht überwacht, und Endpunkte sind in der Regel gar nicht geschützt. Es mangelt oft auch an der Sichtbarkeit der Endpunkte, da in der Regel keine Agenten auf den Geräten zum Einsatz kommen.

Die ohnehin wachsende Angriffsfläche im Mobile Computing wird sich künftig durch 5G-taugliche Endgeräte massiv ausdehnen. Mit dem Ausbau der 5G-Infrastruktur entstehen die Voraussetzungen für neue Anwendungen wie selbstfahrende Autos, ferngesteuerte Gesundheitsversorgung und weitere branchenspezifische IoT-Anwendungen. Dies macht die Endpunktsicherheit zur großen Herausforderung. Herkömmliche Ansätze, die auf nicht integrierten Komponenten beruhen, werden weder skalierbar noch in der Lage sein, Angriffe an IoT- und 5G-Endpunkten zu erkennen und zu stoppen. Ebenso wird die Verschlüsselung des Datenverkehrs keine fortschrittlichen Bedrohungen stoppen, die sich in Anwendungen verstecken, ebensowenig mehrstufige Angriffe. Es wird auch nicht reichen, herkömmliche Mobilgeräte-Sicherheit für 5G-Anwendungen einfach schneller zu machen.

Ransomware bleibt Problem

Das Spektrum an Cyberbedrohungen reicht von der Ausnutzung bekannter Schwachstellen über evasive Malware und Zero-Day-Angriffe bis hin zu Fileless-Angriffen, gezielten Angriffen und Insiderbedrohungen. Insbesondere Ransomware wird weiterhin ein Problem bleiben. Im Deep Web und Dark Web ist eine wachsende Zahl von Bedrohungsakteuren aktiv, die Ransomware, Ransomware as a Service und Ransomware-Tutorials anbieten. Dies erleichtert es technisch weniger versierten Akteuren, in das lukrative Erpressungsgeschäft einzusteigen.

Die wachsende Angriffsfläche vergrößert den Aktionsradius böswilliger Akteure. Cyberkriminelle werden nach neuen Methoden suchen, um mit kompromittierten IoT- und künftig auch 5G-Geräten Geld zu verdienen, sei es durch Ransomware oder Botnets.

Während Cyberangriffe dieser Art immer ausgefeilter werden, droht sich der Mangel an Cybersicherheitskenntnissen und entsprechenden Fachkräften weiter zu verschärfen. Als aktuelles Problem kommt hinzu, dass an den Endpunkten zu viele Warnungen anfallen. Sicherheitsfachkräfte sind überfordert, wenn sie versuchen, ständig neuen Meldungen nachzugehen, von denen sich viele als Fehlalarm erweisen.

Bisherige heuristische Algorithmen der Antiviren-Hersteller helfen bei neuer Malware ohnehin oft nicht weiter oder werden wegen nerviger False-Positive-Meldungen regelmäßig deaktiviert. Signaturbasierte Anti-Malware reicht längst nicht mehr aus, um sich gegen hochentwickelte Malware und Exploits zu schützen. Es wird immer deutlicher, dass herkömmliche Lösungen für den Endpunktschutz nicht vielseitig genug sind, um mit der heutigen Bedrohungslandschaft Schritt zu halten. Die Bewältigung der Herausforderungen, die sich im Umfeld von Trends wie BYOD, IoT und 5G anbahnen, erfordert daher einen ganzheitlichen und transformativen Ansatz. Der neue Ansatz für Endpunktsicherheit muss auf Kompatibilität und Interoperabilität ausgerichtet sein, basierend auf einer umfassenden zentralen Plattform für Security-Management. Diese muss zunächst für vollständige Sichtbarkeit aller bestehenden und neu hinzukommenden Endgeräte in der Unternehmensumgebung sorgen.

IoT- und 5G-Sicherheit

Im Falle von IoT-Umgebungen gilt es, neben den Geräten auch das Netzwerk, die Daten und die Cloud zu schützen. Künftige IoT-Umgebungen werden heterogen sein, mit spezifischer Hardware, bedroht durch spezielle Malware. Der rein reaktive Ansatz erweist sich hier als nicht effektiv. Proaktive Sicherheit von IoT-Geräten lässt sich jedoch nur durch maschinelles Lernen (ML) mittels einer ressourcenintensiven KI-Engine in der Cloud gewährleisten. Dies erfolgt erstens durch Erkennung und Klassifizierung nicht verwalteter IoT-Geräte und das aktive Management dieser Geräte. Zweitens ist eine IoT-Personalisierung erforderlich, die durch Verhaltensmodelle und Deep Learning bösartiges Verhalten von regulärem Datenverkehr zuverlässig unterscheiden kann. Drittens müssen Risikoprüfungen und intelligentes Whitelisting im Rahmen eines Zero-Trust-Ansatzes die IoT-Sicherheit ergänzen.

Im Sinne einer präventiven 5G-Netzwerksicherheit ist es erforderlich, Bedrohungen und Schwachstellen an den Endpunkten proaktiv zu erkennen, bevor sie zu einem Problem werden. Dies erfordert Anwendungssichtbarkeit und -überwachung auf allen Ebenen. Cloudbasierte Mechanismen zur Bedrohungsabwehr, die auf fortschrittlicher Big-Data-Analytik und ML basieren, sind entscheidend für eine schnelle Reaktion auf bekannte und unbekannte Bedrohungen in Echtzeit. Dies können automatisierte, cloudbasierte Präventionsmechanismen leisten, die Betreibern nicht nur das Auffinden, sondern auch die Isolierung infizierter Geräte ermöglichen. Ebenso wichtig ist die Integration von Sicherheitsfunktionen mittels offener APIs. Die Unterstützung offener APIs ermöglicht eine konsistente Sicherheit für Software und Hardware, die für verteilte 5G-Architekturen erforderlich ist.

Verhaltenserkennung und ML

Eine zeitgemäße Lösung für Endpunktsicherheit untersucht unter dem Dach einer integrierten Sicherheitsplattform die von Firewalls, lokalen AV-Agenten auf den Endpunkten und der cloudbasierten Überwachung generierten Logfiles. Sie sucht dabei nach Hinweisen auf unspezifisches, aber in der Gesamtheit auffälliges Verhalten (BIoC, Behavioral Indicator of Compromise) in den Bereichen Prozesse, Registry, Dateien und Netzwerkaktivität. Zudem sind klassische Angriffshinweise (Indicators of Compromise, IoCs) vordefiniert. Eine solche Software beruht unter anderem auf Verhaltenserkennung und maschinellem Lernen. Sie überwacht auf den Endpunkten das Betriebssystem und wartet auf File- und Fileless-Software, die bekannte Exploits ausnutzt, sowie auf bekannte und neue unbekannte Malware, Ransomware und bekannte Kernel-Angriffe. Unbekannte Exploit-Techniken lassen sich im Verlauf der Angriffskette abfangen, wenn dabei zusätzlich auch bekannte Exploit-Techniken Verwendung finden.

Eine moderne Endpoint-Security-Lösung identifiziert bekannte Malware während des Startens über den Hash-Wert der Datei, der bei der Sandbox online zum Vergleich abgefragt wird. Bei positivem Befund wird der Start abgebrochen und so die Ausführung der Malware verhindert. Unbekannte Software, einschließlich Malware, lässt sich auf dem Endgerät über ML qualifizieren und bei positivem Befund aufhalten. Gleichzeitig wird die Software zur Sandbox hochgeladen, analysiert und der Hash-Wert mit dem Befund für künftige Abfragen gespeichert. Ransomware lässt sich mittels künstlich generierter und überwachter „Opferdateien“ anlocken und unschädlich machen.

Die Security-Software leitet die erfassten Logs zur Auswertung an einen Data Lake weiter. Ergänzende im Client erstellte Logs ermöglichen es, die Kausalität der Schritte zu visualisieren und nachzuvollziehen. Entscheidend ist hier auch die Möglichkeit, Logs von Drittanbietern in den Data Lake zu importieren und durch ML auswerten zu lassen. Ziel der Untersuchung sind dabei Malware, Spam-Bot-Traffic, fehlerhafte Verbindungen, Port-Scans, administratives Verhalten via SSH, wiederkehrend kontaktierte IP-Adressen (etwa jene von Command-and-Control-Servern) sowie Tunneling-Prozesse.

Mehr Automatisierung und Offenheit nötig

Effektive Endpunktsicherheit erfordert künftig vor allem die Offenheit der Sicherheitsplattformen für die Datenquellen anderer Hersteller, die mit eigenen Sicherheitslösungen bereits Teil einer vorhandenen Infrastruktur sind. Neue, auf ML basierende Funktionen stärken die Prävention und können Angriffe stoppen. Erhöhte Automatisierung und leistungsstarke Analysefunktionen reduzieren den manuellen Aufwand. Insbesondere eine verbesserte Integration ermöglicht konsistente, skalierbare Endpunktsicherheit in modernen BYOD-, IoT- und 5G- Umgebungen.

Martin Schauf, Senior Manager Systems Engineering bei Palo Alto Networks, www.paloaltonetworks.com.