[datensicherheit.de, 06.09.2016] Im Gesundheitswesen seien jahrelang konsequent Antiviren-Lösungen auf Endpunktgeräten eingesetzt worden; mittlerweile erweise sich diese Strategie zum Schutz vor modernen Sicherheitsbedrohungen als unwirksam. Angesichts der jüngsten Ransomware-Angriffe sehen Sicherheitsspezialisten aus dem Haus Palo Alto Networks nach eigenen Angaben „Nachholbedarf im Bereich der Endpunktsicherheit im Gesundheitswesen“. Die kriminellen Akteure nutzten oft Malware und Software-Exploits in Kombination, um eine bösartige Software auszuliefern und ein System oder – schlimmer noch – eine Gruppe von Systemen gleichzeitig zu infizieren.

Durch Prävention Malware und Exploits frühzeitig entgegenwirken

Einen deutlich besseren Schutz sieht Palo Alto Networks demnach in „fortschrittlichen Endpunktschutz-Lösungen, die auf Prävention ausgelegt sind, um Malware und Exploits frühzeitig zu verhindern“. Idealerweise basierten solche, einen präventiven Ansatz unterstützenden Lösungen auf mehreren Verfahren. Palo Alto Networks empfiehlt „eine Kombination hocheffektiver Methoden zum Schutz der Endpunkte vor bekannten und unbekannten Bedrohungen zum Einsatz“.

Intelligenter Endpunktschutz

Ein intelligenter Endpunktschutz setzt laut Palo Alto Networks die folgenden fünf Techniken zum Schutz vor Malware ein:

1. Statische Analyse durch maschinelles Lernen
   Diese Methode beurteilt jede unbekannte ausführbare Datei, bevor diese ausgeführt werden darf. Durch die Untersuchung Hunderter von Eigenschaften im Bruchteil einer Sekunde bestimme diese Methode, ob die Datei bösartig oder gutartig ist, ohne Abhängigkeit von Signaturen, Scannen oder Verhaltensanalyse. Ärzte arbeiten zunehmend abseits und getrennt vom Krankenhaus-Netzwerk.
2. Quarantäne von schädlichen exe-Dateien
   Früher haben Endpunkt-Schutzlösungen bösartige Prozesse kurzerhand eliminiert. Neue Technologien sind in der Lage, bösartige ausführbare Dateien in Quarantäne zu verwahren, um Versuche einer weiteren Ausbreitung oder Ausführung infizierter Dateien zu stoppen.
3. Inspektion und Analyse in der Cloud
   Intelligente Lösungen arbeiten zusammen mit Bedrohungsanalyse-Clouds, um zu bestimmen, ob eine ausführbare Datei bösartig ist. Solch eine Cloud kann die Gefahr einer unbekannten Bedrohung beseitigen, indem diese in etwa fünf Minuten in eine bekannte Bedrohung verwandelt wird. Die automatische Neuprogrammierung der Endpunktschutzlösung und die Umwandlung von Bedrohungsanalyse in Prävention macht es für einen Angreifer unmöglich, nicht bekannte und fortschrittliche Malware zu verwenden, um ein System zu infizieren.
4. Trusted-Publisher-Identifizierung
   Diese Methode ermöglicht es, „unbekannte gutartige“ Dateien, die als seriöse Softwarehersteller eingestuft worden sind, zu identifizieren. Diese ausführbaren Dateien werden erlaubt, ohne unnötige Analyse, so dass sie ohne Verzögerung oder Auswirkungen für den Benutzer verfügbar sind. Krankenhäuser haben oft eine Reihe von selbstsignierten Anwendungen in ihrer Umgebung im Einsatz. Jetzt können sie alle nicht-signierten Anwendungen mittels „WildFire“ und lokaler Analyse überprüfen.
5. Regelbasierte Einschränkung der Ausführung
   Einrichtungen im Gesundheitswesen können auf einfache Weise Richtlinien definieren, um bestimmte Ausführungsszenarien zu beschränken, wodurch die Angriffsfläche jeder Umgebung reduziert wird. Ein Beispiel wäre, zu verhindern, dass eine bestimmte Datei direkt von einem USB-Laufwerk ausgeführt wird.
6. Administrator-Richtlinien
   Ebenso lassen sich Richtlinien definieren, basierend auf dem Hash einer ausführbaren Datei, um zu kontrollieren, was in einer Umgebung ausgeführt werden darf oder nicht.

Prävention gegen Exploits

Zur Prävention gegen Exploits gehen intelligente Lösungen nach aktuellen Ausführungen von Palo Alto Networks nach den folgenden Ansätzen vor:

1. Prävention gegen Speicherbeschädigung/-manipulation
   Speicherbeschädigung ist eine Kategorie von Exploit-Techniken, bei denen der Exploit die Speicherverwaltungsmechanismen des Betriebssystems manipuliert, damit die Anwendung eine „bewaffnete“ Datendatei öffnet, die den Exploit enthält. Diese Präventionsmethode erkennt und stoppt diese Exploit-Techniken, bevor sie eine Chance haben, die Anwendung zu unterminieren.
2. Logic-Flaw-Prävention
   „Logic Flaw“ ist eine Kategorie von Exploit-Techniken, die dem Exploit ermöglicht, im Betriebssystem die normalen Prozesse zu manipulieren, die verwendet werden, damit die Zielanwendung die bewaffnete Datendatei öffnet und ausführt. Zum Beispiel kann der Exploit die Position verändern, wo „Dynamic Link Libraries“ (DLLs) geladen werden, so dass legitime durch schädliche DLLs ersetzt werden können. Diese Präventionsmethode erkennt diese Exploit-Techniken und stoppt sie, bevor sie erfolgreich eingesetzt werden.
3. Prävention gegen Ausführung von bösartigem Code
   In den meisten Fällen ist das Endziel eines Exploits, irgendeinen Code auszuführen, also die Befehle des Angreifers, die in der Exploit-Datendatei eingebettet sind. Diese Präventionsmethode erkennt die Exploit-Techniken, die es dem Angreifer ermöglichen, Schadcode auszuführen und blockiert sie rechtzeitig.

Intelligente Lösungen für Endpunktschutz in Healthcare-Umgebungen

Die größte Vorteile der Verwendung intelligenter Lösungen für Endpunktschutz in Healthcare-Umgebungen sind demnach:

1. Sie mindern Risiken, die aus EoL-Betriebssystemen (End of Life) hervorgehen
   Obwohl es in vielen Krankenhäusern Anstrengungen gibt, um End-of-Life-Betriebssysteme („Windows XP“ und „Server 2003“) auf Workstations zu aktualisieren oder zu ersetzen, sind diese oft noch im Einsatz. Bestimmte Anwendungen können nur auf den alten Systemen betrieben werden. Eine moderne Lösung kann hier installiert werden, um die Altsysteme vor Exploits sowie bekannten und unbekannten Sicherheitslücken zu schützen.
2. Sie mindern Risiken, die durch verspätetes Patch-Management entstehen
   Das Software-Patch-Management von Endpunkten ist eine ständige Herausforderung für Kliniken. Mit monatlichen Patches für „Adobe Acrobat“, „Flash“ und Microsoft Schritt zu halten, ist eine sehr komplizierte Aufgabe – und viele IT-Teams kommen nicht hinterher. Obwohl auf das monatliche Patchen nicht verzichtet werden sollte, bietet eine intelligente Endpunkt-Lösung Schutz vor der Ausnutzung von bekannten und unbekannten Sicherheitslücken für den Fall, dass Kliniken mit dem Patchen im Rückstand liegen.
3. Endpunkt-Lösung kann als Kompensation akzeptiert werden
   Viele Qualitätsmanager akzeptieren eine gute Endpunkt-Schutzlösung als kompensierende Kontrollmaßnahme für ungepatchte Systeme. Verantwortliche sollten sich in ihrem Haus darüber informieren.

Ransomware-Attacken auf Krankenhäuser sollten Branche wachrütteln!

Die spektakulären, erfolgreichen Ransomware-Attacken auf Krankenhäuser sollten die Branche wachrütteln, sagt Josip Benkovic, „Director Public Sector“ bei Palo Alto Networks.
Es gehe dabei nicht nur um Angriffe auf klassische Endpunkte wie Tablets und Notebooks, sondern auch vermehrt um Angriffe auf Geräte, die im „Internet of Things“ betrieben würden. „Die Angreifer agieren zunehmend clever und flexibel, und dies muss auch die Prämisse für die Endpunktschutz-Lösungen sein“, betont Benkovic.

[datensicherheit.de, 24.08.2016] Bei den jüngsten größeren Cyber-Angriffen auf Behörden seien stets bestimmte Konstanten gegeben gewesen, wie die Sicherheitsexperten von Palo Alto Networks in einer aktuellen Mitteilung aufzeigen. So habe es Schwachstellen im Betriebssystem oder in einer Anwendung auf dem Endpunkt gegeben und es sei versäumt worden, die neuesten Patches aufzuspielen. Die Angreifer hätten sich so die Schwachstellen auf dem Endpunkt zunutze machen können, um ungehinderten Zugang ins Netzwerk zu erlangen. Das Unzternehmen rät deshalb zu einen „präventiven Ansatz“, der auf mehreren Verfahren basiere und Malware intelligent an deren Verhalten frühzeitig erkenne.

Antivirus-Lösungen auf Endpunkten bei heutigen Sicherheitsbedrohungen unwirksam

Antivirus-Lösungen seien jahrelang auf Endpunkten eingesetzt worden, sie hätten sich mittlerweile jedoch für den Schutz vor heutigen Sicherheitsbedrohungen als unwirksam erwiesen. Als Gegenmaßnahmen empfiehlt Palo Alto Networks daher zunächst das regelmäßige Patchen, um Sicherheitslücken zu schließen, und eine Schwachstellenanalyse, um zu begreifen, wo die IT-Umgebung verwundbar ist.
Um Angriffe zu stoppen oder die seitliche Bewegung der Angreifer im Netzwerk zu verhindern, sei Netzwerksegmentierung wichtig. Eine moderne Next-Generation-Sicherheitsplattform liefere eine verbesserte Transparenz zur Netzwerknutzung. Zudem sei eine solche integrierte Sicherheitslösung den heutigen Bedrohungen besser gewachsen, als „punktuelle Produkte, die separat und unkoordiniert agieren“, erläutert Martin Zeitler, „Senior Manager Systems Engineering“ bei Palo Alto Networks.

Multi-Methoden-Ansatz zur Prävention

Palo Alto Networks empfiehlt zudem eine „intelligente Lösung für Endpunkte“, die Malware an deren Verhalten frühzeitig erkennt. Solch ein präventiver Ansatz greife auf mehreren Verfahren zurück. Hierbei komme eine Kombination hocheffektiver Methoden zum Schutz der Endpunkte vor bekannten und unbekannten Bedrohungen zum Einsatz. Eine moderne Endpunkt-Schutzlösung setzt demnach die folgenden Techniken gegen Malware ein:

1. Statische Analyse über maschinelles Lernen
   Diese Methode beurteilt jede unbekannte ausführbare Datei, bevor diese ausgeführt werden darf. Durch die Untersuchung Hunderter von Eigenschaften im Bruchteil einer Sekunde bestimmt diese Methode, ob die Datei bösartig oder gutartig ist, ohne die Abhängigkeit von Signaturen, Scannen oder Verhaltensanalyse.
2. Quarantäne von schädlichen exe-Dateien
   Bösartige ausführbare Dateien werden in Quarantäne gestellt, um Versuche einer weiteren Ausbreitung oder Ausführung infizierter Dateien zu stoppen.
3. Inspektion und Analyse mit cloud-basiertem Dienst
   Der Endpunktschutz von Palo Alto Networks z.B. arbeitet zusammen mit einer Bedrohungsanalyse-Cloud, um zu bestimmen, ob eine ausführbare Datei gutartig oder bösartig ist. Dieser Cloud-Dienst könne die Gefahr einer unbekannten Bedrohung beseitigen, indem diese in etwa fünf Minuten in eine bekannte Bedrohung verwandelt werde. Die automatische Neuprogrammierung der Endpunktschutz-Lösung und Umwandlung von Bedrohungsanalyse in Prävention mache es für einen Angreifer unmöglich, unbekannte und fortschrittliche Malware zu verwenden, um ein System zu infizieren.
4. „Trusted-Publisher“-Identifizierung
   Diese Methode ermöglicht es Behörden, „unbekannte gutartige“ Dateien, die als seriöse Softwareherstellern eingestuft worden sind, zu identifizieren.
5. Regelbasierte Einschränkung der Ausführung
   Organisationen können auf einfache Weise Richtlinien definieren, um bestimmte Ausführungsszenarien zu beschränken, wodurch die Angriffsfläche jeder Umgebung reduziert wird. Ein Beispiel wäre, zu verhindern, dass eine bestimmte Datei direkt von einem USB-Laufwerk ausgeführt wird.
6. Administrator-Richtlinien
   Organisationen können auch Richtlinien definieren, basierend auf dem Hash einer ausführbaren Datei, um zu kontrollieren, was in einer Umgebung ausgeführt werden darf und was nicht.

Prävention gegen Exploits

Zur Prävention gegen Exploits gehe „Produkt Traps“ von Palo Alto Networks nach den folgenden Ansätzen vor:

1. Prävention gegen Speicherbeschädigung/-manipulation
   Speicherbeschädigung ist eine Kategorie von Exploit-Techniken, bei denen der Exploit die Speicherverwaltungsmechanismen des Betriebssystems manipuliert, damit die Anwendung eine „bewaffnete“ Datendatei öffnet, die den Exploit enthält. Diese Präventionsmethode erkenne und stoppe diese Exploit-Techniken, bevor diese eine Chance hätten, die Anwendung zu kompromitieren.
2. „Logic-Flaw-Prävention
   „Logic Flaw“ ist eine Kategorie von Exploit-Techniken, die dem Exploit ermöglicht, im Betriebssystem die normalen Prozesse zu manipulieren, die verwendet werden, damit die Zielanwendung die bewaffnete Datendatei öffnet und ausführt. Zum Beispiel kann der Exploit die Position verändern, an der „Dynamic Link Libraries“ (DLLs) geladen werden, so dass legitime durch schädliche DLLs ersetzt werden können. Diese Präventionsmethode erkenne diese Exploit-Techniken und stoppe sie, bevor sie erfolgreich eingesetzt werden.
3. Prävention gegen Ausführung von bösartigem Code
   In den meisten Fällen ist das Endziel eines Exploits, irgendeinen Code auszuführen, also die Befehle des Angreifers, die in der Exploit-Datendatei eingebettet sind. Diese Präventionsmethode erkenne die Exploit-Techniken, die es dem Angreifer ermöglichten, Schadcode auszuführen und blockiere sie rechtzeitig.

Zudem ermögliche ein moderner Endpunktschutz, nicht-bösartige, aber anderweitig unerwünschte Software (zum Beispiel Adware) an der Ausführung zu hindern.

Für Behörden: Allgemeine Sicherheitsmaßnahmen

Obwohl es Anstrengungen gebe, gängige „End-of-Life“-Betriebssysteme („Windows XP“ und „Server 2003“) zu aktualisieren oder zu ersetzen, seien diese oft noch im Einsatz. Bestimmte Anwendungen, nicht nur in IT-, sondern auch OT-Netzwerken („Operational Technology“ / Informationstechnik in Produktionsumgebungen) Kritischer Infrastrukturen, könnten nur auf den alten Systemen betrieben werden. Hinzu komme, dass sich die Endpunkte veränderten und deren Anzahl im Rahmen des Aufbaus des Internets der Dinge (IoT) zunehme, was natürlich auch für öffentliche Versorgungsinfrastrukturen gelte. „Traps“ könne hier z.B. installiert werden, um die Altsysteme vor Exploits sowie bekannten und unbekannten Sicherheitslücken zu schützen.

Sicherheit: Sichtbarkeit aller Benutzer, Geräte und Anwendungen im Netzwerk

Entscheidend für mehr Sicherheit sei die Sichtbarkeit aller Benutzer, Geräte und Anwendungen im Netzwerk. Zusätzlich zur Benutzeridentifizierung und Multi-Faktor-Authentifizierung legten einige Organisationen bereits mittels „Whitelisting“ fest, welche Anwendungen für bestimmte Benutzer oder eine Benutzergruppe freigegeben werden. Dies gehe bis hinunter zur Beschränkung einzelner Funktionen in einer Anwendung, man denke an Chat oder File-Sharing innerhalb von „WebEx“ oder Datei-Downloads von „Dropbox“.
Es gebe jedoch auch die anerkannten Cyber-Sicherheitsmodelle wie den „Angriffslebenszyklus“ von Gartner oder die „Lockheed Martin Cyber Kill Chain“. Diese sollen bei der Erstellung einer aussagekräftigen Schwachstellenanalyse helfen, um genau zu wissen, wo das Netzwerk in jeder Phase des Angriffslebenszyklus verwundbar sein könnte. Dies sei entscheidend gerade für „SCADA“-Systeme, die auf „End-of-Life“-Betriebssystemen laufen und für die keine Patches mehr verfügbar sind.

Virtuelle Segmentierung des Netzwerks

Eine weitere Maßnahme sei die virtuelle Segmentierung des Netzwerks, also Zonen anzulegen, um die Benutzer pro Zone zu reglementieren und die Datenströme zwischen den Sicherheitszonen streng zu kontrollieren.
Diese Maßnahme gehe zurück auf das Modell des Cyber-Angriffslebenszyklus. Durch Segmentierung falle es leichter, ungewöhnliche Vorgänge an einer Stelle in der Angriffskette zu stoppen, um dadurch den gesamten Angriff zu vereiteln.

Endpunkt-zu-Netzwerk-Korrelation

Endpunkt-zu-Netzwerk-Korrelation sei in zeitgemäßen integrierten Sicherheitsplattformen verfügbar und verbessere den Zeitvorsprung, um einen Angriff zu verhindern.
Wenn im Netzwerk eine neue Malware erkannt wird, würden alle Indikatoren erfasst und relevante Informationen geteilt, um den Angriff auf dem Endpunkt zu verhindern.

Endgeräte- und Netzwerk-Sicherheitsfunktionen sollten sich gegenseitig ergänzen

Zu guter Letzt sollten Sicherheitsteams und Sicherheitsprodukte nicht in isolierten Strukturen agieren. Die Endgeräte- und Netzwerk-Sicherheitsfunktionen sollten sich gegenseitig ergänzen und Informationen austauschen.
Gleiches gelte für den globalen Austausch von Bedrohungsdaten im Rahmen von Sicherheitsallianzen und die Interaktion mit Interessengemeinschaften wie „SecurityRoundtable.org“ oder staatlichen Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI).