Application Control stoppt Ransomware

CyberArk_Christian_Goetz (2)

Cyber-Kriminelle greifen mit ihren Attacken vermehrt die Endgeräte in Unternehmen an. Weil sie dabei ständig die Angriffstechniken ändern, ist herkömmliche Schutzsoftware völlig überfordert. Eine wirksame Abwehr lässt sich aber in Kombination mit einer Application-Control-Technologie realisieren.

Stromausfälle, unkontrollierbare Kraftwerke, still stehende Busse und Züge, Flugzeuge, die nicht mehr abheben sowie lahmgelegte Krankenhäuser – was nach einer Endzeitapokalypse aus einem Science-Fiction-Film klingt, könnte bald Wirklichkeit sein. Sicherheitsexperten erwarten in Zukunft neben einem weiteren Anstieg der Cyber-Angriffe auch vermehrt gezielte Ransomware-Attacken auf die OT-Umgebung (Operational Technology) verschiedener kritischer Infrastrukturen (KRITIS). Bereits im vergangen Jahr kämpften mehrere Krankenhäuser in Deutschland und verschiedene Stromanbieter in den USA mit den Auswirkungen von Ransomware-Angriffen.

Eine Entschärfung der Bedrohung ist nicht in Sicht, ganz im Gegenteil. Die Häufigkeit solcher Angriffe stieg 2016 sprunghaft an. Im Januar fand beispielsweise weltweit alle zwei Minuten ein Angriff auf Unternehmen statt, bis zum September verkürzte sich die Dauer zwischen den Attacken auf 40 Sekunden. Die zentrale Frage für die IT-Sicherheits-Experten ist daher, wie sie diese Flut an Cyber-Attacken wirksam abwehren. Denn das zentrale Problem bisheriger Ansätze in der IT-Sicherheit ist, dass eine 100-prozentige prophylaktische Erkennung von Malware reine Utopie ist und auch bleiben wird.

Antivirensoftware bietet keinen Schutz

Gängige Client-Sicherheitslösungen wie Antiviren-Software oder Malware-Scanner, versuchen unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden Angriffe zu erkennen. Wird ein Schädling erkannt, blockiert ihn die Schutzsoftware und verhindert so den Zugriff auf Systemressourcen. Genau hier zeigt sich der gravierende Nachteil dieser Lösungen: Weil sie auf die Malware-Erkennung angewiesen sind, können sie oftmals keinen zuverlässigen Schutz vor der wachsenden Anzahl an polymorphen Cyber-Bedrohungen, Exploit-Kits, Zero-Day-Attacken oder Ransomware bieten. Erkennen und abwehren lässt sich ein Schädling mit herkömmlichen Methoden nur, wenn er bereits bekannt ist. Bei neuen und unbekannten Bedrohungen ist dieses Vorgehen völlig nutzlos. Eine sehr erfolgreiche Methode, effizient gegen diese Art von Bedrohungen vorzugehen, ist eine Technologie wie Application Control, die im Endpoint Privilege Manager von CyberArk enthalten ist und generell alle unbekannten Anwendungen blockiert.

Application Control stoppt unbekannte Programme

Ist Schadsoftware einmal im Unternehmen angekommen, versucht sie ihre Zugriffsrechte durch verschiedene Methoden zu erweitern, beispielsweise durch Sammeln von Passwort-Hashes. Eine Möglichkeit, diese Aktivitäten zu unterbinden, ist dafür zu sorgen, dass nur Programme ausgeführt werden, die dem Unternehmen bekannt und damit vertrauenswürdig sind. Das lässt sich beispielsweise durch die Implementierung einer Black- oder Whitelist realisieren. Im Gegensatz zur Blacklist ist die Erstellung und Verwaltung einer Whitelist aber sehr zeitaufwändig, da hier nicht nur alle eingesetzten Applikationen berücksichtigt werden müssen, sondern auch die Updates der Applikationen. Denn durch die Aktualisierung kann sich der Prüfwert (z.B. ein Hash) der zugelassenen Anwendung derart ändern, dass sie sich vom Eintrag in der Whitelist unterscheidet und das Programm folglich nicht mehr startet.

Unbekannte Programme landen auf Greylist

Die Anwendungssteuerung („Application Control“) im Endpoint Privilege Manager umgeht dieses Problem mit einer Greylist. Bei jedem Programmstart prüft Applikation Control, ob die Anwendung vertrauenswürdig oder unbekannt ist. Die Entscheidung trifft sie anhand von verschiedenen Parametern, die ein Administrator zentral hinterlegt hat. Das können etwa Zertifikate von Software-Herstellern, Hashsummen von Programmen oder aber vertrauenswürdige Quellen wie bestimmte IP-Adressen, Softwareverteilungsdienste und Programmordner im Unternehmensnetzwerk sein. Unbekannte Anwendungen landen automatisch auf der Greylist, wenn sie nicht die Prüfung der Blacklist zur Verhinderung der Ausführung geführt hat. Programme, die auf dieser Liste stehen, dürfen zwar starten, ihre Rechte können jedoch drastisch beschränkt werden.

Wie die Einschränkungen im Detail aussehen, also ob das Programm etwa eine Verbindung ins Internet aufbauen oder auf Netzlaufwerke, Wechselmedien und bestimmte Dateitypen zugreifen darf, legen die Administratoren fest. Das Programm verbleibt jetzt so lange auf der Greylist, bis es die Administratoren eingehend untersucht haben und als vertrauenswürdig einstufen. Für die Analyse stehen spezielle Schnittstellen zu Lösungen, Reputations- und Prüfdiensten wie von Check Point, FireEye oder Palo Alto Networks bereit. Außerdem protokolliert die Anwendungssteuerung alle Programmaktivitäten, so dass die Administratoren zahlreiche Informationen zum Verbreitungsweg und zum Programmverhalten erhalten. Potenzielle Bedrohungen lassen sich dadurch frühzeitig erkennen oder ausschließen.

Zweifachschutz verhindert Cyber-Angriffe

Herkömmliche Schutzsoftware wehrt nur bekannte Schädlinge effizient ab und ist daher als alleinige Sicherheitsmaßnahme nicht ausreichend. Erst in Kombination mit der Anwendungssteuerung des Endpoint Privilege Managers, die Greylisting nutzt, lässt sich ein wirksamer Schutzwall gegen neue und unbekannte Ransomware-Angriffe errichten. Da Ransomware in diesem Kontext generell unbekannt ist, landet sie durchweg auf der Greylist und wird blockiert. Den Rest übernehmen dann die Sicherheitsteams im Unternehmen oder vielleicht sogar der Virenscanner, wenn er durch ein Signaturupdate den Schädling dann doch noch erkennt.