Kombination von „Advanced Threat Prevention“ und Desktop-Virtualisierung

Reduktion möglicher Angriffsflächen

Der Schutz vor den verheerenden Folgen eines Datenlecks stellt Unternehmen vor immer neue Herausforderungen. Angreifer lernen ständig dazu, ihre Methoden werden raffinierter und ebenso die eingesetzte Malware. Reaktive Maßnahmen reichen nicht mehr aus. Der Schwerpunkt muss daher auf der Prävention und einer Reduktion möglicher Angriffsflächen liegen.

  • Der neue Thin-Client Dell Wyse 3030 LT: Sichere Lösung für die Desktop-Virtualisierung.

  • Unser Autor Klaus Becker ist Sales Engineering Senior Manager Germany & Emerging bei Dell

Die Sicherheitsrisiken in Unternehmen wachsen. Dabei haben es Angreifer besonders auf das schwächste Glied in der Kette abgesehen: die Mitarbeiter. Sie werden gezielt zum Opfer von Spear-Phishing-Attacken, bei denen sie eine E-Mail mit einem Link zu einer gefälschten, mit Malware infizierten Website erhalten. Ein Klick genügt und schon haben die Angreifer ihr Ziel erreicht. Mit der eingeschleusten Malware erhalten die Invasoren Zugang zu vertraulichen Informationen und können Daten stehlen.

Ein gravierendes Beispiel für diese Vorgehensweise ist der im Frühjahr 2016 bekanntgewordene Cyber-Angriff auf den Schweizer Konzern Ruag, der vermutlich bereits im September 2014 begann. Die Angreifer hatten es gezielt auf bestimmte Mitarbeiter abgesehen und deren Endgeräte mit Bots infiziert. Einmal in das Netzwerk eingedrungen, haben sie weitere Rechner in das Botnetz integriert; so gelang es den Eindringlingen, höhere Benutzerprivilegien im Active-Directory zu erlangen. Insgesamt sollen die Hacker 23 Gigabyte wichtige und vertrauliche Daten entwendet haben.

Laut einem Bericht der Schweizer Melde- und Analysestelle Informationssicherung (Melani) wurden dabei sogenannte Kommunikations- und Arbeiterdrohnen eingesetzt. Die Angreifer bauten dazu ein hierarchisches System auf, bei dem bestimmte Server fest definierte Aufgaben übernahmen. Über die als Arbeitsdrohnen agierenden Server wurden Daten entwendet und an die Kommunikationsdrohnen weitergegeben. Die Kommunikationsdrohnen besorgten dann den eigentlichen Datentransfer nach außen. Aufgrund der äußerst raffinierten Vorgehensweise blieb der Angriff lange unentdeckt.

Egal, ob der Datendiebstahl auf komplexe Attacken oder fahrlässig handelnde Mitarbeiter zurückzuführen ist: Traditionelle Security-Software folgt dem Ansatz, dass der Angriff „erkannt und beseitigt“ wird. Das setzt voraus, dass zunächst die Bedrohung als solche identifiziert werden muss, bevor Abwehrmaßnahmen einsetzen können. Oft ist es dann aber bereits zu spät, um den durch eine Zero-Day-Attacke verursachten Schaden zu begrenzen. Gerade im Mittelstand mit seinen begrenzten IT-Ressourcen ist es noch schwieriger, solche Angriffe erfolgreich abzuwehren.

Abwarten ist keine Lösung

Deutlich mehr Erfolg versprechen vorbeugende Maßnahmen zur Datensicherheit. Die in eine Firewall integrierte „Advanced Threat Prevention“ (ATP) etwa nutzt maschinelles Lernen zur Vorhersage potenzieller Angriffe. Dateien werden vor der Ausführung analysiert, um festzustellen, ob sie möglicherweise einen Schaden verursachen könnten.

Ein solcher Ansatz eignet sich auch sehr gut zum Schutz von virtualisierten IT-Umgebungen – und zwar sowohl für das Endgerät als auch für den im Rechenzentrum bereitgestellten „virtuellen“ Desktop. Im Unterschied zu anderen Verfahren erfolgt die Malware-Erkennung nicht anhand von Signaturen, die beispielsweise brandaktuelle oder „mutierte“ Malware-Varianten nicht berücksichtigen können. Im Falle der ATP-Lösung wird dagegen die Verhaltensweise der Anwendung bereits vor der Ausführung analysiert – und zwar mit Hilfe künstlicher Intelligenz und dynamischer mathematischer Modelle. Eine derartige Lösung ist damit auch in der Lage, Zero-Day-Attacken in Echtzeit zu identifizieren und abzuwehren.

Durch die Kombination von „Advanced Threat Prevention“ mit der Desktop-Virtualisierung entsteht eine optimal geschützte IT-Umgebung, in der Unternehmen auch Bedrohungen durch immer raffiniertere Cyber-Angriffe abwehren können. In einer virtualisierten Umgebung sind Unternehmen in der Lage, alle Endpunkte über eine zentrale Konsole zu überwachen. Damit ist es auch weit einfacher, Sicherheitsprobleme rasch zu entdecken, zu analysieren und rechtzeitig zu reagieren.

Bei der Client-Virtualisierung befinden sich Applikationen und Daten einzig im Rechenzentrum und nicht auf dem Endgerät. Es gibt für Angreifer daher kaum Anreize für gezielte Angriffe auf das Endgerät potenzieller Opfer, denn dort befinden sich keine lohnenswerten, vertraulichen Daten. Darüber hinaus enthalten die derzeit sichersten Thin-Clients noch nicht einmal ein Embedded Betriebssystem. Da es zudem keine APIs gibt, die veröffentlicht werden könnten, sind solche Thin-Clients nicht nur besser geschützt vor Viren oder Trojanern – sie sind mangels Angriffsfläche erst gar nicht attackierbar.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok