Endpoint Detection and Response

So erhöhen Sie Ihre Sicherheit für nicht herkömmliche Endpunkte

, München, Trustwave | Autor: Herbert Wieler

So erhöhen Sie Ihre Sicherheit für nicht herkömmliche Endpunkte

EDR ist ein entscheidender Faktor

In Unternehmen entwickelt sich eine zunehmende Herausforderung, wenn es darum geht die steigende Anzahl von nicht traditionellen Endpunkten, die eine Verbindung zu Unternehmensnetzwerken herstellen (IoTs), abzusichern. In viele Organisationen übersteigt bereits die IoT-Anzahl die Summe der eingesetzten traditionellen Endpunkte wie Laptops und Desktops.

Mit dem explosionsartigen Erscheinen von angeschlossenen, internetfähigen Geräten, vor allem im Verbrauchersegment, sinkt die Übersicht, Sicherheit und Kontrolle über das Netzwerk. Aber auch die Unternehmen leisten ihren Teil dazu. Die fortwährende Infusion von intelligenten und eingebetteten Geräten in den Arbeitsplatz, ist für Organisationen aus vielerlei Gründen ein Problem. Mit der zunehmenden Fülle von scheinbar harmlosen und oft unbekannten Geräten, die sich zudem im Netzwerk weitgehend getarnt halten, wird die Angriffsfläche für potentielle Angreifer stetig vergrößert.

Laut Gartner werden Endpoint Detection and Response (EDR)-Lösungen zu einem entscheidenden Faktor, wenn es darum geht den Security Level in einer Firma wieder nach oben zu schrauben. Mit EDR wird den Organisationen ein Tool an die Hand gegeben, das rund um die Uhr eine Bedrohungsüberwachung und Benachrichtigung über alle gemeinsamen Endpunkte zur Verfügung stellt.

Allerdings unterstützen die meisten EDR-Produkte jedoch nur Standardbetriebssysteme wie Windows, Mac OS X und manchmal Linux. Dies begrenzt die Verwendung für IoT-Geräte. Darüber hinaus haben die Software-Agenten, die auf die Endpunkte installiert werden müssen, einen relativ hohen Verarbeitungsaufwand, was bedeutet, dass kleine Geräte sie möglicherweise nicht ausführen können. (Dies ist ein Problem, auf das die forensischen Trustwave PCI-Ermittler häufig stoßen, wenn sie POS-Terminals untersuchen).

Trotzdem müssen diese weniger wichtigen Endpunkte – von Druckern und Faxgeräten über Router und IP-Kameras bis hin zu verschiedenen Sensoren und medizinischen Geräten – geschützt werden müssen, da diese Objekte weiche Ziele für Angreifer darstellen, die nach einer bequemen Möglichkeit suchen, sich in ein Unternehmensnetzwerk zu hacken. Was macht die Geräte so anfällig für Angriffe? Viele eingebettete Systeme verwenden ältere Windows-Versionen, arbeiten mit Standardkonfigurationen (z. B. schwachen Kennwörtern), die anfällig sind, oder führen nur fehlerhafte Software aus.

Die Sicherung aller internetfähigen Endpunkte ist mit der Zeit zu einer der kritischsten Missionen für Security Teams geworden. Um möglichst alle Geräte abdecken zu können, müssen tieferliegende Abwehrmechanismen eingesetzt. Trustwave gibt hier folgende Tipps.

Geräte entdecken und nach Schwachstellen suchen

Das Aufspüren der Devices ist von größter Bedeutung. Bevor Sie verteidigen können, müssen Sie wissen, was geschützt werden muss (und ob es vom Netzwerk getrennt werden muss). Nicht traditionelle Endpunkte sind dafür bekannt sich im Netzwerk zu verstecken . Sie müssen regelmäßig prüfen, welche Verbindungen angeschlossen sind. Sobald Sie wissen, was Sie haben, können interne Scans und Penetrationstests die Schwachstellen und Fehlkonfigurationen aufdecken, die evtl. Angriffe auslösen könnten.

Kontinuierliche Überwachung

Überwachen Sie den Verkehr und die Aktivitäten der Endpunkte, um zu entschlüsseln, welche Geräte abgekoppelt werden müssen. Möglicherweise wurden sie von einem Angreifer kompromittiert, um in Ihrer Netzwerkumgebung Fuß fassen zu können, oder sie wurden mit der Absicht gehackt, um damit irgendeine Art von Angriffen durchzuführen. Was auch immer der Grund ist, Sie müssen die Geräte kontinuierlich analysieren und erkennen.

Weitere Tipps

  • Erforschen und testen Sie IoT-Anbieter, bevor Sie neue Einkäufe tätigen.
  • Wenn Sie IoT-Geräte identifiziert oder installiert haben, ändern Sie die Standardkennwörter in eindeutige, komplexe Kennwörter, um das Risiko einer Gefährdung zu verringern.
  • Firewalls können so konfiguriert werden, dass der ein- und ausgehender Datenverkehr zu diesen Assets gestoppt wird.
  • Erstellen Sie Sicherheitsrichtlinien, die besagen, dass unautorisierte oder unberechtigte Geräte im Netzwerk entdeckt werden und auf Sicherheit geprüft oder entfernt werden.
  • Implementieren Sie eine agile Methodik, um Schwachstellen schnell zu beheben.
  • Beschränken Sie den Partnerzugriff auf Ihr Netzwerk, sofern dies sinnvoll ist, um das Eindringen von IoT-Bedrohungen zu minimieren.

Managed Services nutzen

Der Aufstieg und die Zunahme von IoTs werden nicht aufhören, Sie werden sich also noch lange mit diesem Thema beschäftigen müssen. Wenn Sie aber nicht über die erforderlichen internen Fähigkeiten und Ressourcen verfügen, könnten Sie sich auch an einen externe Anbieter wenden, um Hilfe zu erhalten. Die Security-Experten können beispielsweise bei der Analyse und Korrelation von Ereignissen aus einer breiten Palette von Geräten helfen, um die Bedrohungsaktivität rund um die Uhr zu überwachen und Echtzeitinformationen zu erzeugen. Dies hilft Ihnen dabei, einen Verstoß früher zu erkennen, wodurch die Verweildauer und der Schaden, den Angreifer anrichten könnten, signifikant reduziert werden.