Die unverzichtbare digitale Verteidigungslinie: Endpunktschutz
Bildquelle: Banner Adobe Express
Der Endpunkt ist der Ort an dem der Angreifer Schadcode oder bösartige Befehle ausführt. Der Deckname für den Verantwortlichen bei den digitalen Kriminellen, soll wie im vorherigen Artikel, wieder Mr. Spider sein. Ist ein Endpunkt im Firmennetz gekapert, geht es von dort aus weiter.
Der Zweck von Endpunktschutz
Ein Endpunktschutz fungiert zu allererst passiv als Radar um feindliche Aktionen auf dem digitalen Endpunkt zu erkennen. Anschließend kann der Endpunktschutz aktiv gegen feindliche Aktionen zu reagieren und diese zu unterbinden. Dies geschieht zum Teil vollautomatisiert. Aber bei Gegnern wie Mr. Spider ist von einem Kampf von Mensch zu Mensch auszugehen. Für erweiterte Angriffe erstellt der Endpunktschutz einen Alarm, welcher zeitnah und manuell vom digitalen Verteidiger weiterbearbeitet werden muss.
Der Großteil der am Markt verfügbaren Lösungen konzentriert sich auf Microsoft Windows Betriebssysteme. Vor allem für Computersysteme der Endanwender und für Server im Backend von IT-Infrastrukturen.
Die Wirkungsweise
Klassische Antiviruslösungen erkennen Signaturen von Viren auf dem Endpunkt. Die klassische Antivirenlösung durchforstet die gespeicherten Dateien und gleicht diese mit ihrer Signaturdatenbank. Wird sie fündig wird die Datei in der Regel durch Verschieben in eine Quarantäne unschädlich gemacht. Doch das genügt heut nicht mehr. Digitale Angreifer wie Mr. Spider haben erkannt, dass es Ihre Effektivität steigert, wenn solche Mechanismen umgangen werden. Indem beispielsweise keine Dateien mehr auf das Dateisystem geschrieben werden und Zugänge nur über den Arbeitsspeicher sichergestellt werden (siehe auch In-Memory-Backdoors, abgerufen am 14.10.2022: Das Conti-Leak: Bedienungsanleitung für Ransomware | heise online).
Die Antwort darauf sind moderne »Endpoint Detechtion and Response (EDR)« Systeme. Frei übersetzt auf Deutsch bedeutet dies: Endpunkt Erkennung und Reaktion. Die Systeme der nächsten Generation erweitern die Signaturerkennung um eine Verhaltenserkennung. Dies erweitert die Möglichkeiten der Erkennung exponentiell und ermöglicht beispielsweise auch die Erkennung der oben genannten In-Memory-Backdoors. Es wird nicht mehr nur das Dateisystem durchforstet, sondern aktiv das Verhalten des Endpunkts in Echtzeit überwacht. Das beinhaltet laufende Prozesse, Netzwerkaktivitäten, Einblicke in den Arbeitsspeicher und vieles mehr.
Sicherstellung des Endpunktschutz
Digitale Verteidiger müssen also auf jeden Fall den Endpunktschutz sicherstellen. Die Mindestanforderung ist also, dass ausnahmslos jeder Endpunkt mit einer klassischen Antiviruslösung ausgestattet ist. Noch besser ist natürlich eine moderne Endpunktschutzlösung der nächsten Generation.