Sophos Endpoint Threat Protection

Transkript

1 Autor: Chester Wisniewski, Senior Security Advisor Unternehmensnetzwerke werden heutzutage geradezu mit Bedrohungen bombardiert. Die Hauptzahl aller Angriffe konzentriert sich hierbei auf Endpoints. Um diese System vor der wachsenden Bedrohung durch Malware zu bewahren, ist eine Strategie von Nöten, welche den Einsatz zahlreicher Verfahren und Richtlinien vorsieht. Die vorliegende Anleitung dient als Ergänzung zu den Installationsanleitungen und Benutzerhandbüchern, die Sie gemeinsam mit Ihrem Sophos Produkt erhalten haben, und verschafft Ihnen Einblick in die Bedrohungsschutzverfahren des Sophos Endpoint Control Agent. Wir verraten Ihnen Tipps und Tricks, wie Sie Sophos Endpoint Security and Control am besten konfigurieren, um Ihr Unternehmen optimal zu schützen. Sophos Einstellungen und Optionen zum Schutz vor Bedrohungen Es stehen zahlreiche Schutzverfahren bereit, die Ihr Unternehmen bei der Erkennung und Unterbindung von Malware-Attacken aktiv unterstützen, u.a. Malwarekennungen, Host Intrusion Prevention-Systeme (HIPS), Pufferüberlauf- Schutzsysteme (BOPS), Verhaltensblockierung, Firewalls, Reputation Whitelistung, Live-Schutz und Update-Services. Damit Hacker-Angriffe erfolgreich sind, muss eine Kette von Ereignissen auftreten. Durch die Anwendung der oben genannten Verfahren im Rahmen einer gut durchdachten Verteidigungsstrategie eröffnen sich Ihnen zahlreiche Möglichkeiten, diese Kette zu durchbrechen. Tatsächlich reicht es meist schon aus, ein Glied der Kette auszuschalten, um zu verhindern, dass Malware-Schädlinge sich zu gefährlichen Angriffen formieren. Bedrohungen von heute sind hochkomplex und perfekt durchdacht. Daher haben oft nur ein oder zwei Schutzebenen Ihrer Sicherheitslösung die Chance, zu greifen und eine gegebene Bedrohung auszuschalten. Anti-Viren-Software identifiziert und stoppt bekannte Bedrohungen zuverlässig, wenn Virenkennungen zur Verfügung stehen. Beim Schutz vor neuesten Malware- Bedrohungen (z.b. polymorphe Angriffe) erweisen sich Kennungen jedoch oft als wenig hilfreich oder sogar komplett nutzlos. Host Intrusion Prevention-Systeme (HIPS) erweisen sich bei der Bereitstellung proaktiver Schutzverfahren als äußerst wirksam, da sie zur Identifizierung von Malware- Bedrohungen auf Endpoints und im Netzwerk innovative Erkennungsmethoden verwenden. Außerdem benötigen HIPS-Regeln keine regelmäßigen Updates, um zuverlässig vor neuen Malware-Bedrohungen schützen zu können. Buffer Overflow Protection Service (BOPS) ist eine weitere proaktive Sicherheitsanwendung. BOPS schützt vor Malware, die versucht, Code auszuführen und Programme durch das Erzeugen von Pufferüberläufen zu manipulieren. Verhaltenserkennung und -blockierung überwachen Dateiaktivitäten und verhindern Änderungen am Betriebssystem und dessen Dateien. Prozesse zur Verhaltensblockierung können beispielsweise die Systemregistrierung überwachen und Warnungen aussprechen, sobald eine Datei versucht, Manipulationen vorzunehmen. Um eine Sperrung legitimer Programme zu vermeiden, prüfen Verfahren zur Verhaltensblockierung, ob ein vorliegender Prozess zu erwarten war und fordern den User auf, diesen entweder zuzulassen oder aber zu unterbinden. Internetbasierte Malware-Gegenprüfungen ermöglichen eine zeitnahe und den modernen Anforderungen entsprechende Bereitstellung des Schutzes. Anbieter ergänzen ihre normalen Updates durch Echtzeit-Gegenprüfungen verdächtiger Dateien. Diese Methode ist weniger aggressiv als proaktive Verfahren, bildet jedoch ein zusätzliches Sicherungsnetz zur sofortigen Erkennung neuer Bedrohungen. URL-Filterung schützt User vor Bedrohungen aus dem Internet, indem es URLs blockiert, die bekannterweise Malware hosten. Sobald ein User versucht, über seinen Internet-Browser auf eine URL zuzugreifen, wird die URL aus dem Traffic-Fluss extrahiert und geprüft. Ist die URL des Users bereits durch das Hosten von Malware aufgefallen oder bekanntermaßen schädlich, wird ein Laden der Seite verweigert. Firewalls sind und bleiben integraler Bestandteil jeder effektiv arbeitenden Sicherheitslösung und dienen als erste Verteidigungslinie Ihres Unternehmens zum Schutz vor Angriffen. Sophos Endpoint Threat Protection 1

2 Mit Sophos können Sie ganz leicht und ohne komplizierte Konfiguration von all diesen Verfahren profitieren, denn wir haben sämtliche Technologien in nur einen Endpoint Agent integriert: Sophos Endpoint Security and Control. Werfen wir nun einen Blick auf die Ihnen zur Verfügung stehenden Sophos Technologien und deren empfohlene bzw. Standardeinstellungen. ACHTUNG! Wenn Sie ein Upgrade auf Enterprise Console 4.5 planen, sollten Sie Ihre bestehenden Richtlinien eingehend prüfen. Die in dieser Anleitung beschriebenen Standardeinstellungen beziehen sich lediglich auf neu erstellte Richtlinien. Neue Funktionen sind standardmäßig deaktiviert und bestehende Änderungen bleiben während des Upgrade-Prozesses bestehen. Abbildung 1: Die Bedrohungsschutzverfahren in Sophos Endpoint Security and Control im Überblick: Sophos Anti-Virus-Scan Sophos Live Protection Sophos Intrusion Prevention (HIPS) Die Sophos Virus Detection Engine setzt zur Erkennung von Viren, Spyware, Adware, verdächtigen Dateien, verdächtigem Verhalten und potenziell unerwünschten Anwendungen sowohl kennungsals auch verhaltensbasierte Scanverfahren ein. Virenkennungen Behavioral Genotype Protection Live-Schutz-Verfahren sorgen für eine schnelle und wirksame Erkennung von Zero-Day-Bedrohungen ohne Kennungsupdates. Neue Reputationsdaten können dank der Sophos Protection Engine sofort online und noch während des Scanvorgangs gegengeprüft werden. Sophos Live-Anti-Virus Sophos-Live URL-Filterung Auf dieser Erkennungsebene werden kritische Systemprozesse auf Anzeichen aktiver Malware überwacht, z.b. verdächtige Registrierungseinträge oder Dateikopiervorgänge. Das Programm kann so eingestellt werden, dass der Administrator gewarnt und/oder der Prozess blockiert wird. Laufzeit-Verhaltensanalyse Sophos Client Firewall Sophos Endpoint Threat Protection 2

3 Sophos Live Protection: Anti-Virus- und HIPS- Richtlinien Einstellung: Live-Schutz aktivieren Standard: Aktiviert, wenn Dateien automatisch senden aktiviert ist (siehe unten) Funktion: Sophos Live Protection stellt den Sophos Live-Virenschutz für Sophos Endpoint Security and Control bereit. Identifiziert der Sophos Scan auf einem Endpoint eine verdächtige Datei und kann diese auf Basis der auf dem Computer gespeicherten Kennungen weder als malwarefrei noch schädlich eingestuft werden, werden Informationen über die Datei zum Zwecke eingehender Analysen an Sophos übertragen (Hinweis: Diese Funktion überträgt lediglich Dateidaten wie Prüfsummen oder Informationen zum Dateityp, nicht aber die Datei selbst). Der Live-Schutz gleicht die verdächtige Datei sofort mit der Sophos Live Protection- Datenbank ab. Wenn eine Datei als unbedenklich oder schädlich identifiziert wird, wird diese Entscheidung zurück an den Endpoint gemeldet und der Status der Datei aktualisiert. Sobald eine neue Bedrohung identifiziert wird, erfolgt über Live Intelligence Sharing eine Aktualisierung der Bedrohungsdatenbanken und der Schutz auf sämtlichen Sophos Produkten und geschützten Endpoints wird auf den neuesten Stand gebracht. Empfehlung: Aktivieren Sie diese Funktion auf allen Endpoints mit Internet-Zugang (Kommunikationen mit Sophos verwenden DNS). Einstellung: Dateisamples automatisch an Sophos senden (zur Verwendung dieser Funktion muss Sophos Live Protection aktiviert sein) Funktion: Wenn Sophos Live Protection auf eine Datei stößt, die bis dato unbekannt war, und diese Einstellung aktiviert ist, wird die gesamte Datei an die SophosLabs geschickt und dort zur Optimierung bestehender Erkennungsmechanismen eingehend geprüft. Empfehlung: Setzen Sie diese Funktion auf allen Endpoints mit Internet-Zugang ein. Überprüfen Sie die Richtlinien Ihres Unternehmens eingehend und treffen Sie eine Entscheidung darüber, ob Sie Dateien mit Sophos unter Wahrung der Vertraulichkeit austauschen können. Einstellung: Nur Alerts ausgeben Standard: Aktiviert Funktion: Der Modus Nur Alerts ausgeben dient als Testlauf für HIPS/BOPS. Er erkennt Pufferüberläufe und verdächtiges Verhalten, ohne die Ausführung der Anwendung zu unterbrechen, die das Ereignis ausgelöst hat. Ein Alert wird an die Enterprise Console gesendet, und es obliegt dem Administrator, zu entscheiden, ob der Alert von einer legitimen Anwendung ausgelöst wurde. Ist die Anwendung legitim, kann sie, um zukünftige Erkennungen zu verhindern, in die Liste autorisierter Anwendungen aufgenommen werden. Die proaktiven Erkennungsverfahren von Sophos fangen über 85% unbekannter Malware in the wild ab. Empfehlung: Da es sich bei verdächtigen Dateien nicht zwingend um Malware handelt, empfiehlt Sophos einen Testlauf von HIPS/BOPS mit sämtlichen Standardanwendungen. So können Sie Anwendungen, die nicht mit dem Sophos Regelsatz konform sind, autorisieren. Deaktivieren Sie Nur Alerts ausgeben, sobald Sie mit der Installation beginnen. Sophos Endpoint Threat Protection 3

4 Sophos Intrusion Prevention: Richtlinie verdächtiges Verhalten Einstellung: Erkennung verdächtigen Verhaltens Standard: Aktiviert Nur Alerts ausgeben Funktion: Über die Einstellung Erkennung verdächtigen Verhaltens aktivieren Sie das Sophos Behavioral HIPS-Verfahren. HIPS ist eine wirksame Methode zum Blockieren von Zero-Day-Bedrohungen. Das Schlüsselwort hierbei ist jedoch verdächtig. Sobald ein unübliches Verhalten beobachtet wird, sendet HIPS einen Alert an den Administrator. Dies bedeutet jedoch nicht, dass es sich definitiv um Viren oder andere Malware handelt. HIPS konnte die Wirksamkeit seiner proaktiven Erkennungsverfahren bereits bei der Aufdeckung von Bedrohungen wie gefälschter Anti-Viren-Software, Conficker und den Aurora-Attacken auf Google unter Beweis stellen. Einstellung: Erkennung von Pufferüberläufen Standard: Aktiviert Aktiviert Nur Alerts ausgeben Funktion: Erkennung von Pufferüberläufen ist eine proaktive Erkennungsfunktion zur Identifizierung von Prozessen, deren Speicher durch Exploits manipuliert wurden. Die Funktion stoppt den angegriffenen Prozess, bevor Malware in den Endpoint eingeschleust werden kann. So werden Endpoints vor unbekannten Exploits geschützt und Ihre Systeme vor schädlichen Payloads bewahrt. Durch Einsatz dieser Funktion konnten Operation Aurora-Attacken auf den Internet-Explorer, Conficker und eine Reihe von PDF-Exploits erfolgreich gestoppt werden. Empfehlung: Diese Funktion eignet sich perfekt dafür, Exploits in Anwendungen und übrige Angriffe aufzudecken. Wir empfehlen daher die Aktivierung. Virenkennungen Empfehlung: Nicht alle verdächtigen Verhaltensweisen stellen ein Risiko für Ihre Sicherheit dar. Sophos empfiehlt daher während des ersten Testlaufs eine Beibehaltung der Standardeinstellungen. Für den normalen Tagesbetrieb sollte HIPS jedoch in jedem Fall vollständig aktiviert werden (also nicht Nur Alters ausgeben -Modus). Sollte eine Anwendung fälschlicherweise als verdächtig identifiziert werden, kann eine Ausnahme definiert und die Anwendung zugelassen werden. Falls Sie unsicher sein sollten, ob eine Datei ein Sicherheitsrisiko darstellt, können Sie diese zur Analyse an die SophosLabs senden. Einstellung: On-Access-Scans aktivieren Standard: Aktiviert Funktion: On-Access-Scans aktivieren kontrolliert die traditionellen kennungsbasierten Virenschutz- und Behavioral Genotype-Scans. Bei Behavioral Genotype handelt es sich um einen differenzierteren Scan, der Sophos Endpoint Security and Control anweist, nach bekannten Elementen und Elementkombinationen, die in früheren Varianten bekannter Malware beobachtet wurden, zu suchen. Durch Einsatz dieses Verfahrens können bekannte Malware-Familien in den meisten Fällen proaktiv erkannt werden. Empfehlung: Aktivieren Sie diese Funktion stets für alle Plattformen. Sophos Endpoint Threat Protection 4

5 Einstellung: Datei prüfen beim: (Lesen/Schreiben/ Umbenennen) Standard: Lesen Funktion: Gibt den Scan-Zeitpunkt einer Datei an. Einstellung: Macintosh-Viren einbeziehen Funktion: Diese Einstellung weist die Anti-Virus-Engine an, nach Macintosh-Malware zu suchen. Empfehlung: Ändern Sie die Standardeinstellung. Auf modernen Computern sollten Sie sowohl Lesen als auch Schreiben aktivieren. So wird die Datei beim Schreiben auf die Festplatte und beim Lesen gescannt und ein lückenloser Schutz auch im Falle einer Aktualisierung der Virenkennungen gewährleistet. Eine Überprüfung oder Umbenennung der Dateien ist meist überflüssig, da eine Überprüfung beim Lesen und vor dem Zulassen jeglicher Aktivitäten durch die Datei vorgenommen wird. Empfehlung: Aktivieren Sie diese Einstellung für Umgebungen, in denen Netzwerk-Segmente mit Macintosh-Computern geteilt werden. Für Macintosh- Computer werden nur wenige Kennungen bereitgestellt, daher hat das Wählen der Einstellung praktisch keinen Einfluss auf die Performance. Einstellung: Verdächtige Dateien (HIPS) einbeziehen Einstellung: Adware und PUA einbeziehen Funktion: Diese Einstellung scannt Endpoints bei Aktivierung auf Adware, potenziell unerwünschte Anwendungen (PUAs), ausgewählte Remoteverwaltungsprogramme und weitere Elemente, die laut SophosLabs in die Kategorie Hacker-Programme fallen. Wird ein solches Element erkannt, kann es je nach Richtlinie zugelassen werden, d.h. einigen Mitarbeitern wird der Einsatz dieser Programme gestattet, während sie für die Allgemeinheit gesperrt bleiben. Empfehlung: Ändern Sie die Standardeinstellung. Zwar möchten nicht alle Unternehmen die Nutzung von Grayware einschränken. Sophos empfiehlt jedoch eine Sperrung solcher Anwendungen. Funktion: Über diese Einstellung werden statische Analysen zur Erkennung von Malware-Verhaltensweisen vor Code-Ausführung aktiviert. Diese Art der Erkennung sucht nach Kombinationen bekannter Codes, die mit großer Wahrscheinlichkeit schädlich sind, jedoch in exakt dieser Konfiguration bisher noch nicht beobachtet werden konnten. Empfehlung: Es besteht das Risiko, dass verdächtige Dateien in Einzelfällen doch unbedenklich sind. Aufgrund des Risikos unerwünschter Erkennungen sollte diese Einstellung vor einem Einsatz unter Realbedingungen zunächst getestet werden. Die Installation neuer Anwendungen löst höchstwahrscheinlich einen Fehlalarm aus. Werden Software-Installationen nur von Administratoren vorgenommen, empfehlen wir Ihnen eine Aktivierung dieser Einstellung. Sollte sich die Funktion unter Testbedingungen erfolgreich behaupten, wird sie unter Realbedingungen den von Sophos bereitgestellten Schutz vor Zero-Day-Malware erhöhen. Sophos Endpoint Threat Protection 5

6 Einstellung: Sonstige Scan-Optionen Einstellung: Virus/Spyware-Bereinigungsverhalten Standard: Zugriff verweigern Funktion: Diese Einstellung ermöglicht einen Scan von Archivdateien und Boot-Sektoren. Empfehlung: Wir raten davon ab, Zugriff auf Laufwerke mit infizierten Boot-Sektoren zu gewähren oder Scans innerhalb von Archiv-Dateien vorzunehmen. Scans innerhalb von Archiven belasten Ihre Systeme erheblich und führen nur selten zu zufriedenstellenden Ergebnissen. Beim Extrahieren eines Archivs werden sämtliche Inhalte unter Anwendung der empfohlenen Einstellungen gescannt. Funktion: Diese Einstellung kommt zum Einsatz, wenn eine automatische Bereinigung deaktiviert wurde bzw. nicht durchgeführt werden konnte. Bei einer Infektion kritischer Systemdateien mit Malware kann es zu einem Systemausfall kommen bzw. das System kann u.u. nicht mehr gestartet werden. Ein Verschieben von Dateien ist genauso gefährlich, da schädliche Inhalte übertragen werden könnten. Empfehlung: Zugriff verweigern ist die beste Maßnahme im Falle einer fehlgeschlagenen Bereinigung. Registerkarte Bereinigung Einstellung: Objekte mit Virus/Spyware automatisch bereinigen Funktion: Diese Einstellung tut genau, was ihr Name besagt automatisch Elemente bereinigen, die mit Malware infiziert wurden. Um Fehlalarme zu vermeiden, ist diese Funktion standardmäßig deaktiviert. Nicht alle Kennungen verfügen über Bereinigungsfunktionen. Diese Funktion eignet sich für Kennungen, die eine komplexe Bereinigung erfordern. Empfehlung: Sophos empfiehlt die Aktivierung dieser Funktion und die meisten Unternehmen machen von ihr Gebrauch. Diese Funktion ist standardmäßig deaktiviert, um sicherzustellen, dass Ihnen die Entscheidung obliegt, welche Änderungen am System vorgenommen werden. Sophos Endpoint Threat Protection 6

7 Schutz für das Internet Einstellung: Zugriff auf schädliche Websites sperren Standard: Aktiviert Funktion: Dieses Verfahren sperrt den Zugriff auf Websites, die dafür bekannt sind, Malware zu hosten, und unterbindet den Zugriff auf schädliche Objekte. Browseranfragen von Endpoints werden abgefangen und mit der Sophos Datenbank zur Live-URL-Filterung abgeglichen, die Daten zu Millionen missbrauchter Websites enthält. Die SophosLabs aktualisieren die Datenbank täglich mit neuen Websites. Dieses Verfahren schützt Endpoints vor Bedrohungen aus dem Internet, unabhängig vom Standort des Users. Alle führenden Browser werden unterstützt, u.a. Internet Explorer, Firefox, Safari, Opera und Chrome. Empfehlung: Lassen Sie diese Richtlinie deaktiviert. Spezifizieren Sie ggf. Websites, die Sie von der Prüfung ausnehmen möchten (z.b. Intranet-Sites). Diese können sowohl im Endpoint Agent als auch der Sophos Enterprise Console konfiguriert werden. entdeckt, erfolgt eine Sperrung des ursprünglichen Seiteninhalts. Die infizierte Webseite bzw. das infizierte Element werden durch eine sichere Report-Seite ersetzt und eine Desktop-Meldung für jedes blockierte Schadelement generiert. Meldungen werden in alle von Sophos unterstützten Landessprachen übersetzt und informieren den User über die Sperrung schädlicher Inhalte. BHO versucht, so viel wie möglich von der originalen Website und somit einen Großteil des originalen Browsing-Erlebnisses zu bewahren. Im Nur Alerts ausgeben -Modus werden blockierte Webseiten and die Sophos Enterprise Console gemeldet. Empfehlung: Lassen Sie diese Einstellung aktiviert, um Endpoints vor schädlichen Websites zu schützen. Da schädliche Inhalte vom Endpoint gelöscht werden und kein Eingreifen zur Bereinigung der Bedrohung erforderlich ist, führt ein Wählen dieser Einstellung nicht zu einem erhöhten Verwaltungsaufwand. Einstellung: Download-Scans Standard: Bei Zugriff Funktion: Dieser Schutz für Internet-Browser verhindert die Ausführung von Internet-Malware in HTML, Skripts, Streaming Media und Bilddateien. Er stellt ein Plug-In für Internet Explorer-Versionen 6 und 7 bereit das Sophos Browser Helper Object (BHO). Die Einstellung Download-Scans kontrolliert das BHO. Zusätzlich zur Live-URL-Filterung scannt diese Option Objekte innerhalb des Internet Explorers auf Schadcode und überprüft Webseiten auf die Einbindung schädlicher Java Scripts. Wird eine webbasierte Attacke in der Haupt-Webseite oder in einem ihrer Unterelemente Sophos Endpoint Threat Protection 7

8 Firewall-Richtlinien Hinweis: Sophos empfiehlt ein Umgehen des Assistenten und die Auswahl von erweitert, da so individuellere Einstellungen für Firewall-Richtlinien möglich sind. Über die Registerkarte Allgemein haben Sie die Möglichkeit, über die integrierte Funktion zur Standorterkennung einen primären und sekundären Standort zu konfigurieren jeweils mit abweichenden Regeln für mobile User. Unter Konfiguration für jede Richtlinie stehen einige nützliche Optionen bereit: Einstellung: Funktionsmodus Standard: Sperren Einstellung: Prüfsummen zur Authentifizierung von Anwendungen verwenden (zu finden unter Blockieren ) Standard: Aktiviert Funktion: Diese Funktion verhindert, dass nicht zugelassene Anwendungen sich als zugelassene Programme tarnen. Empfehlung: Behalten Sie die Standard-Konfiguration für einen sicheren Installationsvorgang bei. Beachten Sie jedoch, dass eine Aktivierung dieser Funktion mit einem erheblichen Verwaltungsaufwand verbunden ist, da die Prüfsummen sämtlicher Netzwerk-Anwendungen bei einer Aktualisierung erneut autorisiert werden müssen. Funktion: Über den Funktionsmodus legen Sie fest, wie die Firewall mit Traffic verfahren soll, dem keine spezifische Regel zugeordnet wurde. Empfehlung: Die sicherste Option besteht darin, die Standardeinstellung beizubehalten und Traffic zu blockieren, für den keine Regel existiert. Bei der Erstellung von Richtlinien empfehlen wir jedoch, den Funktionsmodus Zulassen zu wählen. In Kombination mit niedrigeren Einstellungen für das Melden von Traffic an die Enterprise Console ist dieser Modus bei der Erstellung neuer Richtlinien äußerst hilfreich. Nachdem Sie diesen Modus eine Woche lang ausgeführt haben, sollten Sie eine Prüfung des Traffics durch Wählen der Option Ansicht -> Firewall-Ereignisse vornehmen. So können Sie die Ports und Protokolle des autorisierten Traffics einem Audit unterziehen und eine Sperrungsrichtlinie mit einem höheren Sicherheitsgrad ohne Beeinflussung Ihrer User implementieren. Einstellung: Unter der Registerkarte LAN befinden sich Optionen, die Ihnen einen großzügigeren Umgang mit Ihren Regeln ermöglichen, ohne einzelne Regeln auswählen zu müssen. Sie können IP-Bereiche, einzelne IPs oder Domain-Namen eingeben. Für all diese besteht die Wahl zwischen NetBIOS oder Zuverlässig. Standard: Hinzufügen lokaler LANs, die über Ihren Netzwerk-Adapter erkannt werden Funktion: Bei Wahl der Option Zuverlässig wird sämtlicher Traffic von dieser IP-Adresse zugelassen. NetBIOS erlaubt oder sperrt Traffic zur Datei- oder Druckerfreigabe. Hinweis: Dieses Kontrollkästchen setzt die Erstellung globaler Regeln für NetBIOS-Traffic außer Kraft. Sophos Endpoint Threat Protection 8

9 Einstellung: In der Registerkarte Standorterkennung konfigurieren Sie, wie Standorte erkannt werden. Hierzu stehen zwei Methoden bereit: Standort per DNS und Standort per Gateway-Mac-Adresse. Standard: Keine Funktion: Standortidentifizierung per DNS ermittelt den Standort durch Abfrage eines DNS-Namens, der nur intern zur Verfügung steht und dem Eintrag entsprechen muss. Diese Methode hat sich bewährt und ist flexibel genug, um auch externe Bürostandorte berücksichtigen zu können und zu verhindern, dass falsche Regeln im Internet zum Einsatz kommen. Standortidentifizierung per Gateway-MAC- Adresse gleicht die angegebene MAC-Adresse mit der MAC-Adresse des aktuellen Standard-Gateways ab. Eine geeignete Methode für übersichtliche Arbeitsumgebungen mit wenigen Standorten. Beim Erwerb eines neuen Routers oder einer neuen Firewall müssen Sie diesen Eintrag aktualisieren. Empfehlung: Ausgenommen von sehr kleinen Netzwerken empfiehlt Sophos den Einsatz der Funktion Standortidentifizierung per DNS. Einstellung: Application Control So arbeitet das Verfahren auch bei einer Aktualisierung Ihrer Programme weiterhin zuverlässig. Zu Controlled Applications zählen u.a. Browser-Plug-Ins, Programme zur Desktopsuche, Dateifreigabe-Programme, Instant Messaging und Remoteverwaltungsprogramme. Empfehlung: Da viele der oben genannten Anwendungen Ihr Risiko für Datenverluste erhöhen und Exploits enthalten, empfiehlt Sophos die Entwicklung von Richtlinien zur Anwendungskontrolle. Sollten Sie keine komplette Sperrung von Anwendungen wünschen, bietet sich der Modus Erkennen aber laufen lassen an, über den die Anwendungen in Ihrer Umgebung einem Audit unterzogen werden können. Unter security/analyses/controlled-applications/ finden Sie eine komplette Auflistung von Anwendungen, die in Ihrem Netzwerk gesperrt werden können. Einstellung: Device Control Funktion: Viele Unternehmen berichten von Datenverlusten sowie Malware- und Compliance-bezogenen Vorfällen infolge des Anschlusses von Wechselmedien an USB-Laufwerke. Device Control kann zur gezielten Beschränkung von Gerätetypen eingesetzt werden und legt fest, welche Geräte verwendet und mit Computern des Netzwerks verbunden werden dürfen. Ausnahmen für USB-Geräte können auf Basis des Gerätetyp, Herstellers oder der Richtlinie erfolgen. Funktion: Zur Reduzierung Ihrer Angriffsfläche ist es ratsam, die Anzahl der in Ihrer Umgebung ausgeführten Anwendungen zu minimieren. Application Control greift zur Identifizierung unschädlicher Anwendungen, die Sie in Ihrem Netzwerk ggf. sperren möchten, auf eine spezielle Kennungsliste der SophosLabs zurück. Anstatt Prüfsummen zu betrachten, sucht dieses Verfahren nach einzigartigen Merkmalen bekannter Anwendungen. Empfehlung: Sophos empfiehlt in jedem Fall die Erstellung einer Richtlinie. Viele moderne Bedrohungen verbreiten sich über Wechselmedien. Auf diesem Wege geschehen auch mit Abstand die meisten Datenverluste. Sophos empfiehlt, die Verwendung von USB-Sticks zu beschränken und jegliches Bridging von WLAN-Karten zu unterbinden. Sophos Endpoint Threat Protection 9

10 Einstellung: Network Access Control Funktion: Network Access Control dient dazu, unbefugten oder Gastcomputern den Zugriff auf Daten und Ressourcen Ihres Netzwerkes zu verweigern und sicherzustellen, dass verwaltete Computer Sicherheitsrichtlinien des Unternehmens und externe Vorschriften lückenlos einhalten. Online-Tests zeigen, dass 86% aller Unternehmenscomputer bei grundlegenden Sicherheitschecks durchfallen, da ihnen wichtige Patches, eine Firewall oder aktuelle Virenschutz-Software fehlen. Wenn Sie Gästen in Ihrem Netzwerk unkontrollierten Zugriff einräumen, drohen Datenverluste und Systemeinbrüche. Mit Sophos NAC können Unternehmen ohne Änderungen der Netzwerk-Architektur oder Upgrade kontrollieren, wer und was auf ihre Netzwerke zugreift. NAC kann unverwalteten Computern den Zugriff verweigern und nicht richtlinienkonforme, aber verwaltete Computer blockieren bzw. korrigieren. Wenn Sie Netzwerkzugriff lediglich überwachen und über diesen Reports erstellen, jedoch keine Sperrungen vornehmen möchten, stehen zahlreiche Funktionen zum Reporting in Echtzeit zur Verfügung, dank derer Sie Ihre Compliance mit Richtlinien und Vorschriften problemlos nachweisen können. Empfehlung: Sophos empfiehlt den Einsatz von NAC, um die Wirksamkeit bestehender Patch- Lösungen sicherzustellen und das von Besuchern und Leiharbeitern ausgehende Risiko einzudämmen. NAC kann als Reporting-Tool zur Bemessung oder zum Enforcement von Sicherheitsrichtlinien eingesetzt werden (siehe knowledgebase/article/32670.html). Einstellung: Data Control Funktion: In einigen Unternehmen genießt die Bekämpfung von Datenverlusten den gleichen Stellenwert wie die Bekämpfung von Malware. Sophos hat eine einzigartige und äußerst benutzerfreundliche Lösung zur Data Loss Prevention (DLP) im Angebot, welche durch die Integration von Inhaltsscans in den Endpoint Security and Control Agent realisiert wird. Vordefinierte Listen zur Inhaltskontrolle aus den SophosLabs beinhalten Hunderte regionsspezifische Typen personenbezogener und weiterer sensibler Daten (z.b. Kreditkartendaten, Kontodaten, Adressen, Telefonnummern usw.). Aus diesen wählen Sie ganz einfach die Datentypen die Daten aus, die für Ihr Unternehmen schützenswert sind. Außerdem können Sie Maßnahmen festlegen, die getroffen werden sollen, wenn sensible Daten auftauchen, für die eine DLP- Richtlinien-Regel greift (protokollieren, warnen, sperren oder verschlüsseln). Die DLP-Funktionen sind in unsere Sophos Endpoint- und Appliance-Produkte integriert. Empfehlung: Sophos empfiehlt in jedem Fall die Erstellung einer Richtlinie. Diese Entscheidung hängt jedoch auch von Ihren Compliance-Anforderungen oder der Datenschutzrichtlinie Ihres Unternehmens ab. Sophos empfiehlt eine Aktivierung dieser Funktion, da die Verwendung sensibler Daten so bereits an der Quelle eingeschränkt wird und User wertvolles Feedback zum Umgang mit sensiblen Unternehmensdaten erhalten. Data Control ist über einen benutzerfreundlichen und auf dem Point-and-Click -Prinzip basierenden DLP- Richtlinien-Assistenten verfügbar. Eine individuelle Anpassung an eigene und branchenspezifische personenbezogene bzw. sensible Daten ist problemlos realisierbar. Idealerweise sollten Sie sowohl auf Ihren Endpoints als auch auf sämtlichen -Appliances einheitliche Richtlinien implementieren und über die Möglichkeit verfügen, Anpassungen von der Sophos Enterprise Console zu exportieren und in die DLP-Engine der Appliances zu importieren. Der Sophos Anti-Virus-Scan setzt Behavioral Genotype ein, ein Verfahren, das dazu dient, spezifische Merkmale von Dateien vor deren Ausführung zu identifizieren und so zu ermitteln, ob schädliche Absichten vorliegen. Dieses Verfahren stellt über eine proaktive Überprüfung die Funktion und das wahrscheinliche Verhalten von verdächtigem Code fest, ohne dass er dazu ausgeführt werden muss, und schützt so zuverlässig vor unbekannter Malware. So erkennt die Sophos Threat Detection Engine Zero-Day-Bedrohungen ohne Kennungsupdates oder separate HIPS-Software. Sophos Endpoint Threat Protection 10

11 Fazit Ein umfassendes und auf mehreren Ebenen greifendes Endpointschutz-Konzept bewahrt Ihre Endpoints, Ihr Netzwerk und unternehmenskritische Daten vor eine Reihe interner und externer Bedrohungen allen voran Malware und Viren. Wie immer gilt es den Balanceakt zwischen der Bereitstellung effektiver Sicherheitsmaßnahmen und Nutzungsrichtlinien einerseits und der Wahrung der Mitarbeiterproduktivität durch effektiv und schnell operierende Endpoints sowie einen problemlosen Zugriff auf benötigte Daten andererseits zu meistern. Der Sophos Endpoint Security and Control Agent ist Teil der branchenweit umfassendsten, leistungsstärksten und benutzerfreundlichsten Produktpalette bewährter Sicherheitsverfahren und -lösungen. Während des Installationsprozesses sollten Sie einen Blick in unsere umfassende Knowledgebase werfen. Hier finden Sie Tipps und Beispiele dazu, wie Sie am meisten aus Ihrer IT-Security- Lösung herausholen, ohne Ihr Budget übermäßig zu belasten. Aktuelle Informationen über Viren und Spyware finden Sie auf der SophosLabs Website zur Sicherheitsanalyse. Sophos Endpoint Threat Protection 11

12 Boston, USA Oxford, UK Copyright Sophos Plc. Alle Rechte vorbehalten. Alle Marken sind Eigentum ihres jeweiligen Inhabers.