Endpoint-Security – eine Bilanz

Die Zahl der Endgeräte hat sich vervielfacht / Nutzung sowohl für private als auch berufliche Zwecke

[datensicherheit.de, 06.11.2018] Über die Sicherheit und Nutzung von Endgeräten sprach Carsten J. Pinnow, Herausgeber und Chefredakteur von datensicherheit.de (ds), mit Marco Rottigni, CTSO bei Qualys

ds: Wie steht es aus Ihrer Sicht im Jahr 2018 um die Endgerätesicherheit im Unternehmen? Besser oder schlechter als in der Vergangenheit?

Rottigni: Es wird immer schwieriger, die IT-Umgebung genau einzuschätzen. Alles ist vernetzt, die Zahl der Endgeräte hat sich vervielfacht, und diese Geräte werden sowohl für private als auch berufliche Zwecke verwendet. Mehr und mehr Unternehmen haben Projekte zur digitalen Transformation durchlaufen und haben jetzt Mühe, Überblick über alle Dienste zu gewinnen, die dadurch verfügbar werden. Und mit der wachsenden Bedeutung der Cloud ist ein weiterer neuer Bereich hinzugekommen, den die IT-Sicherheitsteams einbeziehen müssen, obwohl noch nicht einmal die traditionellen Endpunkte und Geräte, wie etwa Drucker, als wirklich sicher bezeichnet werden können.

Es ist schwer, sich gegen Angriffe zu verteidigen, wenn man keinen Überblick über die vorhandenen Assets hat.

Bild: Qualys

Marco Rottigni, CTSO bei Qualys

ds: Wie groß ist heute noch die Sicherheitsbedrohung, die von den Endpunkten ausgeht, und was ist der Grund dafür?

Rottigni: Aus meiner Sicht ist die Bedrohung zweifacher Natur. Aus technischer Sicht führt die Vielfalt und Menge der Endpunkte dazu, dass sich die Unternehmensperimeter auflösen. Das macht es schwierig, Probleme und Kompromittierungen zu erkennen.

Von der reinen Sicherheitsperspektive aus betrachtet, sind die Benutzer anfällig für Angriffe, die auf Social Engineering basieren oder auf der Ausnutzung von Schwachstellen durch sehr komplexe Exploits. Die Bedrohung existiert definitiv weiter, auch wenn eine Vielzahl von Sicherheitslösungen für Endgeräte entwickelt wurden, um diese Risiken zu minimieren.

ds: Was muss getan werden (und von wem), um die Endpunktsicherheit im Unternehmen zu verbessern?

Rottigni: Der erste Schritt muss sein festzustellen, was im Unternehmen vorhanden ist – von Endpunkten wie PCs bis hin zu anderen Geräten wie Druckern oder IoT-Devices. Ohne eine solche präzise Liste ist die Vorausplanung schwieriger. Mithilfe dieser Liste können Sie ein Programm für schnelle Abhilfemaßnahmen entwickeln, um potenzielle Kompromittierungen oder Sicherheitsverstöße zu vermeiden.

Auch denke ich, dass jede neu eingeführte technische Lösung mit einem kontinuierlichen Security-Awareness-Programm kombiniert werden muss, um alle Mitarbeiter darüber auf dem Laufenden zu halten, worauf sie achten müssen. Außerdem können Sie mit einem solchen Programm auch überprüfen, ob Ihre Sicherheitsmitarbeiter die Incident Response-Playbooks verstehen und befolgen.

ds: Warum attackieren die Angreifer immer noch Endpunkte, und wie leicht ist es, diese auszunutzen?

Rottigni: Hier kommen mehrere Faktoren zusammen. Das Endgerät ist der einfachste Ansatzpunkt, um schwache Sicherheitsvorkehrungen auszunutzen, sei es durch Social Engineering, durch bösartige Makros in manipulierten Office-Dokumenten oder mithilfe anderer Schwachstellen, wie etwa bei Browserangriffen. Alle diese Vektoren können Verbindung zu Command-and-Control-Servern aufnehmen, über die der Benutzer und das Endpunkt-System ausgespäht und weiter kompromittiert werden können. Die Benutzer verzögern häufig die Installation von Patches, wenn sie nicht im Büro sind oder mobil arbeiten. Diese schlechte Angewohnheit lässt eine anfällige Oberfläche in Umgebungen entstehen, in denen oft nur minimale oder gar keine Sicherheitsmaßnahmen existieren.

Eine weitere Herausforderung ist, dass es heute mehr Geräte gibt, die als Endpunkte angesehen werden sollten. Traditionelle IT-Ressourcen wie Drucker können gekapert werden, und IoT-Geräte, die ins Netzwerk eingebunden sind, können auch im Rahmen von Malware-Angriffen ausgenutzt werden. In der Regel beziehen die IT-Sicherheitsteams diese Geräte aber nicht ins Schwachstellenmanagement und Scannen mit ein, was dazu führen kann, dass Geräte nicht gepatcht werden und unsicher bleiben.

Unsere Sicherheitsforscher haben einen Scan auf Exploits für eine Schwachstelle in gSOAP durchgeführt, einem Code, der vielfach für physische Sicherheitsprodukte verwendet wird und auch für das IoT-Botnetz Mirai. Bei diesem Scan fanden wir insgesamt 7.328 Geräte, doch nur auf 1.206 waren die verfügbaren Updates installiert worden. Hier ging es also um bekannte Schwachstellen, für die Patches existieren, und trotzdem waren diese kritischen Sicherheitslücken bei 83 Prozent der anfälligen IoT-Geräte in der untersuchten Stichprobe immer noch offen.

ds: Warum werden solche Schwachstellen nicht behoben?

Rottigni: Manchmal lassen sich Geräte dieser Art überhaupt nicht aktualisieren; manchmal nur unter großen Schwierigkeiten; und manchmal ist nicht klar, wer im Unternehmen eigentlich für das Einspielen vorhandener Patches und Updates verantwortlich ist. Die präzise Auflistung sämtlicher Endgeräte ist der erste Schritt. Als Nächstes muss dann ein Plan für alle diese Geräte erstellt werden, damit kein vernetztes Gerät verbleibt, das ein Risiko darstellt.

Weitere Informatioinen zum Thema:

datensicherheit.de, 20.08.2018
Mit Automated Endpoint Security Cyber-Attacken in Echtzeit stoppen