iX 12/2019
S. 84
Report
Gerätesicherheit

Marktübersicht: Neue Techniken der Endpoint-Security

Endstation Gerät

Stefan Strobel

Was einst mit trivialen Virenschutzprogrammen für Desktops angefangen hat, hat sich unter dem Schlagwort „Endpoint-Security“ zu komplexen Schutzmechanismen für alle erdenklichen Endpunkte und Geräte entwickelt. Der Markt ist in den letzten Jahren stark in Bewegung geraten.

Endpoint-Security ist ein Thema mit einer langen Geschichte, und dennoch ist es derzeit aktueller als in den letzten 15 Jahren. Von vielen Herstellern werden Produkte als „Next Generation“-Antivirus (AV), Anti-Malware oder schlicht „Endpoint-Security“ angeboten. In den letzten Jahren hat hier ein technischer Wandel stattgefunden, der von neuen Herstellern getrieben wurde, aber auch die etablierten dazu gebracht hat, ihre Lösungen stark zu erweitern. Wie überall in der IT spielen dabei Buzzwords wie „künstliche Intelligenz“, „maschinelles Lernen“ oder schlicht „Cloud“ eine wichtige Rolle.

Der größte Treiber des aktuellen Wandels ist die Diskussion über APTs (Ad­vanced Persistent Threats), also gezielte professionelle Angriffe, die man mit klassischen signaturbasierten Antivirus-­Techniken nicht verhindern kann. Viele Organisationen haben erkannt, dass si­gna­turbasierter Virenschutz zu langsam und immer weniger wirksam geworden ist.

In Unternehmen ist Endgerätesicherheit heute mehr als nur der Schutz vor Malware. Auch die sichere Verbindung in ein Unternehmensnetzwerk über ein VPN, die Verschlüsselung lokal gespeicherter Daten, der Versuch, Datenabfluss zu verhindern, die Kontrolle von Schnittstellen wie USB oder die Kontrolle eingehender Kommunikation mit Firewall-Funktionen gehören neben vielen weiteren Sicherheitsfunktionen typischerweise zu Produkten in diesem Bereich dazu.

Die Ursprünge des Marktes für Endgerätesicherheit gehen dabei in die 80er-Jahre zurück, als Firmen wie McAfee, Symantec, Norman, Avira, G DATA und einige mehr erste Produkte zum Virenschutz entwickelt haben. Teilweise waren es auch einzelne Personen wie John McAfee oder ­Eugene Kaspersky, deren Namen schon damals mit Virenschutz assoziiert wurden.

Die Suche nach dem Muster

Die wichtigste Technik war ursprünglich die Suche nach bestimmten Mustern („Signaturen“) in Dateien. Diese Grundtechnik ist nach wie vor ein wesentlicher Bestandteil fast aller Virenscanner. Ihre Probleme liegen vor allem im technischen Fortschritt: Mit dem Wachstum des Internets und der zunehmenden weltweiten IT-Kompetenz gibt es auch immer mehr Kriminelle, die die IT und das Internet für sich entdeckt haben. Entsprechend gibt es immer mehr Malware, die täglich aufs Neue angreift. Gleichzeitig sind die Bandbreiten im Internet immer weiter angewachsen, was die Verbreitung von Malware beschleunigt. Beides führt dazu, dass die Listen mit Signaturen, die ein Virenscanner benötigt, immer größer werden und eine neue Malware schneller verbreitet werden kann, als die Hersteller von AV-Lösungen ihre Signatur-Updates zu den Kunden bringen.

Klassischer signaturbasierter Virenschutz ist dadurch nicht generell schlecht, aber oft zu langsam. Malware wird dann weder zum Zeitpunkt der Infektion erkannt noch kann die Infektion verhindert werden. Auch der Ressourcenbedarf eines solchen AV-Systems wird durch das Wachstum der Signaturlisten größer, da immer mehr Signaturen vorgehalten und verglichen werden müssen.

Schon früh kamen erste Hersteller deshalb auf die Idee, andere, ergänzende Techniken in ein Schutzprodukt einzubauen oder komplementäre Produkte auf den Markt zu bringen. Der Versuch, Malware ergänzend zu Signaturen mit Heuristiken zu erkennen, ist ein Beispiel dafür. Bei dieser Methode wird eine Datei auf verdächtige, viren­typische Eigenschaften überprüft.

Eine recht interessante Alternative kam um die Jahrtausendwende auf den Markt. Firmen wie Okena oder Platform Logic haben Produkte entwickelt, die jeden Zugriff eines Programms auf Ressourcen wie die Festplatte, die Registry, Netzwerk­kommunikation, das Starten neuer Pro­zesse etc. überwachen und mit einem Regelwerk kontrollieren. Die Regeln definieren beispielsweise, dass ein Internetbrowser keine beliebigen anderen ­Pro­gramme starten darf, nur in bestimmte Verzeichnisse und Registry-Bereiche schreiben darf und so weiter. Diese Lösungen wurden „Host-based Intrusion Prevention System (HIPS)“ genannt.

Mit geeigneten Regeln kann ein HIPS verhindern, dass eine Malware Schaden auf einem Endgerät anrichtet und sich weiterverbreitet. Die Regeln müssen dabei auf die tatsächlich benötigten Programme angepasst werden. Signaturen oder Anpassungen an neue Malware sind dagegen nicht notwendig. Somit bietet ein HIPS einen tatsächlich proaktiven und auch starken Schutz der Endgeräte.

Aus HIPS wird Verhaltenskontrolle

Problematisch ist allerdings die Komplexität und Menge der in der Praxis benötigten Regeln. Zudem kam die Technik zu einer Zeit auf den Markt, als noch Windows 98 und später Windows XP verbreitet waren. Diese Betriebssysteme hatten keine klaren Schnittstellen für derartige Sicherheitsprodukte, sodass sich ein HIPS mit Tricks an vielen Stellen in das Betriebssystem einklinken musste, was der Stabilität nicht gerade zuträglich war.

2003 wurde die Firma Okena von Cisco übernommen, die aus dem ursprünglichen Produkt den „Cisco Security Agent“ machte, letztlich damit aber nicht erfolgreich war und ihn später einstellte. Platform Logic wurde von Symantec gekauft und teilweise in die existierende Lösung für Arbeitsplätze integriert. Für Server wurde daraus das Produkt „Symantec Critical System Protection“. Auch McAfee kaufte einen HIPS-Player, die Firma Entercept.

Heute sind die Ideen von HIPS in vielen AV-Produkten integriert. Manchmal wird dafür auch noch der Name HIPS verwendet, manchmal ist nur von Verhaltenskontrolle die Rede. Auch Microsoft bietet für Windows 10 ähnliche Funktionen unter dem Namen „Attack Surface Reduction“ an. Sie sind vor allem Bestandteil von „Windows Defender Advanced Threat Protection“ und damit erst für Kunden mit einer E5-Lizenz, einer Unternehmensvolumenlizenz von Micro­soft, verfügbar. Ein kleinerer Teil steht auch schon mit der günstigeren Microsoft-E3-Lizenz zur Verfügung.

Noch älter als HIPS ist die Idee des „Application Whitelisting“. Pioniere in diesem Bereich waren beispielsweise die Firmen SecureWave in den 90er-Jahren (heute Ivanti) und Bit9 (2002 gegründet, heute CarbonBlack). Ein Application-­Whitelisting-System gestattet ausschließlich das Ausführen von Programmen, die explizit erlaubt (in einer Whitelist enthalten) sind. Der dadurch erreichbare Schutz vor Malware ist durchaus hoch, zumindest wenn die Malware als ausführbares Programm konzipiert ist oder ein solches nachlädt. Der Betriebsaufwand ist bei ­einer solchen Implementation aber auch sehr hoch.

Vom Whitelisting zur Signatur

Entsprechend hat sich die Technik weiterentwickelt und Bit9 war einer der ersten Anbieter, die das Ausführen von Programmen automatisch anhand sinnvoller Kriterien erlaubt haben. Kriterien waren dabei die digitale Signatur eines vertrauenswürdigen Herstellers oder der Weg, über den die Software installiert wurde.

Kommentieren