In diesem Blogeintrag will ich über die aktuell riesigen Herausforderungen im Bereich Endpoint Security sprechen, welche seit Jahren bestehen und seit einiger Zeit noch zunehmen.

Zuerst ein paar interessante Fakten aus dem neusten ISTR2019 Report von Symantec. Tausende Websites auch von grossen Online-Händlern werden noch immer jeden Monat mit formjacking infiziert. Klassischer, schädlicher Software-Code taucht auch weiterhin fragmentiert in tausenden Varianten auf, damit er durch klassische Signaturen nicht mehr erkannt werden kann. Der Trend, schädlichen Code oder Zero-Days zu benutzen nimmt weiterhin ab. Stattdessen werden grad bei APTs immer mehr normale Betriebssystem-Funktionen und Tools ausgenutzt (Living off the Land Tools), um sich einen Weg ins System zu bahnen.

Dies zeigt einmal mehr auf, dass klassische signature-based Antiviren-Programme längst so ineffizient sind, dass sie wirklich ausgedient haben. Noch immer sehe ich jedoch, dass bei vielen Firmen und Systemverantwortlichen das Augenmerk auf signatur-basierte EPS-Lösungen gelegt wird. Dies vermutlich erstens aus Bequemlichkeit und zweitens aus Angst, moderne behaviour-based / multi-layered EPS-Techniken würden mit erhöhten „false-positives“ das operative Geschäft gefährden.

Gerade der rapide Anstieg von LotL-Techniken macht ein Aufspüren von Attacken jedoch dermassen schwierig, da sie sich unter den unendlichen Massen von normalen Prozess-Ausführungen verstecken können.

Hier will ich ebenfalls Roi Abitboul, VP Engineering bei Symantec aus einem kürzlich abgehaltenen Vortrag zitieren:

„Wenn ein APT Hacker erst einmal die volle Kontrolle im Netzwerk hat…“ (und dies kann schon sein, sobald er sich durch eine Privilege-Escalation einen Admin-Account ergattert hat) „…ist es unglaublich schwierig, ihn wieder aus der Infrastruktur loszuwerden. Denn alle APT Anker zu finden, ist wie in heisses Wasser geworfener Zucker, wieder vom Wasser trennen zu wollen. Attacker bauen sich von Anfang an immer zig Entry Points. Wenn ein einzelner EP also entlarvt wird, ist das Spiel nicht vorbei. Somit bliebe eigentlich meist bloss der komplette Neuaufbau der Infrastruktur.“

Die Sprengkraft dieser Aussage ist so massiv, dass sich jedes Unternehmen bewusst sein sollte, welche massiven Kosten es mit sich zieht, falls Angriffe nicht rechtzeitig erkannt und unterbrochen werden. Auch entgegen viel zitierten Informationen, dass sich APT kill-chains über Monate hinziehen, weist Roi Abitboul auf darauf hin, dass alle Phasen der Kill-Chain vielfach auch schon in wenigen Minuten ablaufen.

Diese Gründe zeigen auf, dass wir seit Jahren mit immer grösseren Sicherheits-Herausforderungen zu kämpfen haben.

Es ist daher von äusserster Wichtigkeit, sich endlich von veralteten EPS-Methoden zu lösen und das Augenmerk äusserst stark auf effiziente Endpoint Detection Response Werkzeuge zu legen. Manuel Walder

Meiner Meinung nach haben es viele etablierte EPS-Hersteller lange verschlafen, griffige Tools im Bereich EDR zur Verfügung zu stellen. Zwar wuselten sich immer neue Detektions-Module auf dem Markt. Griffige Analyse und Response Werkzeuge fehlten jedoch bei allen grossen Herstellern. Dies haben glücklicherweise viele der grossen Hersteller kürzlich erkannt, da immer neue und agile Security-Anbieter an Markanteilen dazu gewannen. Somit wird in den nächsten Jahren auch von den grossen Playern stark in die Bereiche EDR und MDR investiert.

Also, Bye Bye mit den klassischen EPS-Tools und Augenmerk auf Behavior-Monitoring sowie effizienten Detection and Response Tools!

Bei Interesse hier klicken für den ISTR2019-Report.