Verbesserte Anwendungskontrolle durch Einsatz einer Endpointsicherheitslösung

Transkript

1 Verbesserte Anwendungskontrolle durch Einsatz einer Endpointsicherheitslösung Unerwünschte Anwendungen wie Spiele können die Produktivität Ihres Unternehmens mindern. Aus Angst vor Produktivitätseinbußen entscheiden sich daher viele Unternehmen für die Implementierung einer Anwendungskontrolle, auch bekannt unter der englischen Bezeichnung Application Control. Produktivitätseinbußen sind jedoch nicht das einzige Problem: Nicht zugelassene Anwendungen können auch das Risiko Ihres Unternehmens für Malwareinfektionen und Datenverluste in die Höhe treiben. In diesem White Paper erfahren Sie, warum Endpointsicherheitslösungen mit integrierter Application Control am effektivsten und umfassendsten vor nicht zugelassenen Anwendungen schützen. Autor: Dan Kirtley, Product Manager, Sophos

2 Warum Sie Anwendungen kontrollieren müssen Fast alle Unternehmen sind sich darüber im Klaren, dass ihre Systeme vor bösartiger Software geschützt werden müssen. Daher setzen die meisten Unternehmen Virenschutzsoftware routinemäßig ein, um Malware, Keylogger, Adware, gefälschte Antivirensoftware und sonstigen Schadcode abzuwehren. Application Control bedeutet jedoch mehr, als bösartige Anwendungen aus Ihrem Netzwerk zu verbannen. Denn Sie müssen auch einige legitime Anwendungen kontrollieren ungeachtet dessen, ob diese aus dem Internet heruntergeladen oder von privaten Flash-Laufwerken kopiert werden. Gerissene Mitarbeiter installieren solche Anwendungen häufig, um einfacher kommunizieren, Dateien austauschen und besser zusammenarbeiten zu können. Einige der beliebtesten Anwendungen, die zwar legitim, aber nicht immer im Unternehmensnetzwerk erwünscht sind: Internet-Browser wie Google Chrome oder Flock Instant Messaging-Software wie u.a. AIM oder Windows Live Messenger P2P (Peer-to-Peer)-Anwendungen zur Dateifreigabe wie z.b. utorrent oder Azureus All diese Anwendungen mögen harmlos erscheinen. Ihr Einsatz, besonders in ungetesteter Form, kann Ihr Unternehmen jedoch zahlreichen Gefahren aussetzen (u.a. Infektionen mit Schadcode und unbeabsichtigter Austausch von Unternehmensdaten mit Unbefugten). In ihrem jährlichen Bericht Secunia Yearly Report kam die Secunia 2010 zu dem Ergebnis, dass 14 Software-Anbieter, einschl. namhafter Unternehmen wie Apple, Google, Microsoft, IBM, Cisco und Adobe, im vorausgegangenen 2-Jahres-Zeitraum für die Hälfte aller bekannten Software- Sicherheitsanfälligkeiten verantwortlich waren. Der Bericht führt weiter aus, dass aus der Perspektive des Angreifers keinerlei Grund dafür besteht, von den Angriffen auf Drittanbieter-Programme beliebter Anbieter in naher Zukunft abzulassen. Es war für Benutzer nie leichter, webund cloudbasierte Anwendungen herunterzuladen. Die mit diesen Anwendungen einhergehenden Risiken dürfen allerdings nicht ignoriert werden. Der Verizon Data Breach Investigations Report für das Jahr 2011 kommt zu dem Schluss, dass Remote-Zugriff und Desktop-Dienste wieder einmal auf Platz 1 der beliebtesten Angriffswege stehen. Ganze 71 % aller Angriffe der Hacking- Kategorie erfolgten über diese Vektoren. 2 Onlinespeicher-Anwendungen wie Dropbox oder MobileMe sm Remoteverwaltungstools wie z.b. GoToMyPC und LogMeIn Cyberkriminelle und ihre gefährlichen Exploits stellen nur eine der Bedrohungen dar, die mit der uneingeschränkten Nutzung nicht zugelassener Anwendungen einhergehen. P2P-Dateifreigaben für Filme und Musik können z.b. infolge von Lizenzverletzungen Haftungsrisiken auf den Plan rufen. 1. Secunia Yearly Report Secunia. Alle Rechte vorbehalten. 2. Verizon Data Breach Investigations Report 2011 Verizon. Alle Rechte vorbehalten. 1

3 Ich bin mir sicher, dass Millionen Chefs mich hassen. Würde ich an jeder mit Solitaire verschwendeten Arbeitsstunde einen Penny verdienen, hätte ich Bill Gates schon längst als meinen Golf Caddie engagiert. Wes Cherry, Autor von Microsoft Windows Solitaire Und solche Fälle sind alles andere als selten. Im Februar 2010 benachrichtigte die Federal Trade Commission fast 100 Unternehmen darüber, dass sensible Daten in ihren Computernetzwerken offengelegt und in P2P-Netzwerken zur Dateifreigabe zugänglich waren. Diese gefährdeten Kunden- und Mitarbeiterdaten könnten leicht für Identitätsdiebstähle oder -betrügereien missbraucht werden. 3 Spiele und sonstige unwillkommene Anwendungen können die Produktivität Ihres Unternehmens mindern. Auch Social-Media- Tools wie TweetDeck, die die Produktivität eigentlich steigern sollen, können sich als ablenkend erweisen. Allgemeine Konzepte zur Anwendungskontrolle Hierzu zählen eine Reihe von Maßnahmen zur Kontrolle von Anwendungen, die dazu dienen, Risiken durch Malware und nicht zugelassene Anwendungen einzudämmen. Jeder diese Methoden hat Vor- und Nachteile. Zu diesen Methoden zählen: Einsatz von Anti-Malware und HIPS-Funktionen (Host Intrusion Prevention-Systeme) Einschränkung von Administratorrechten Einsatz von Client Firewalls Verwendung von Anwendungsblocklisten Anti-Malware und HIPS-Funktionen Funktionen zur Malwareerkennung und HIPS-Verfahren sind die am häufigsten eingesetzten Techniken zum Sperren von Malware und bekannt schädlicher Anwendungen. Anti-Malware-Software ist zahlreichen Vorschriften unterlegen (z.b. PCI DSS) und wird als Element einer Endpointsicherheitslösung bereitgestellt. HIPS, ebenfalls Element ausgereifter Endpointsicherheitslösungen, analysiert Anwendungen auf verdächtige Verhaltensweisen. Zu diesen Verhaltensweisen gehören u.a. Registrierungsänderungen, ein Schreiben verdächtiger Dateien auf das Dateisystem bzw. Prozesse, die auf verdächtige oder ungewöhnliche Weise starten. Anti-Malware und HIPS-Verfahren erweisen sich beim Sperren von schädlichem Code als äußerst wirksam. Den Einsatz legitimer, jedoch unerwünschter Anwendungen können sie jedoch nicht kontrollieren. Verwendung von Allow-Listen für Anwendungen (auch geläufig unter der Bezeichnung Whitelists ) 3. FTC benachrichtigt rund 100 Unternehmen über P2P-Datenlöcher: 2

4 Allow-Listen bzw. Whitelists für Anwendungen In einer Allow-Liste für Anwendungen geben Sie an, welche Anwendungen und Versionen auf Ihren Systemen ausgeführt werden dürfen. Dieses Konzept der Standard-Zugriffsverweigerung blockiert also alle Anwendungen, die nicht explizit erlaubt wurden. Spezielle Allow-Listen-Anwendungen sind oft zu zeitaufwendig und ihre Implementierung erweist sich in Unternehmen mit breitem Tätigkeitsfeld als wenig erfolgversprechend. Ganz zu schweigen von dem konstanten Forschungs-, Auswertungs- und Verwaltungsaufwand, den Sie betreiben müssen, um die Anwendungsliste immer auf dem neuesten Stand zu halten. Außerdem: Je länger die Allow-Liste, desto weniger effektiv die Sicherheit. Leider wird Ihre Liste automatisch lang, wenn Ihr Tätigkeitsfeld relativ breit ist. Wenn Sie die Anzahl erlaubter Anwendungen erhöhen, weiten Sie auch Ihre Angriffsfläche aus und werden somit anfälliger für Attacken. Allow-Listen mögen für spezielle Computer-Umgebungen wie z.b. Point-of- Sale-Systeme sinnvoll sein, in denen die Allow-Liste mit großer Wahrscheinlichkeit begrenzt ist. Für Unternehmen mit einem breiteren Tätigkeitsfeld und komplexeren Benutzeranforderungen kann diese Methode jedoch den IT-Personalbedarf erhöhen und die Produktivität Ihrer Benutzer schmälern. Eingeschränkte Administratorrechte Sie sollten die Administratorrechte in Ihrem Unternehmen einschränken. Mit diesen Maßnahmen reduzieren Sie die Anzahl nicht zugelassener Anwendungen in Ihrer Umgebung erheblich. Aber verlassen Sie sich nicht blind auf diese Maßnahme. Viele Anwendungen wie der Internet-Browser Google Chrome können ohne Administratorrechte installiert werden. Außerdem können Benutzer ungeachtet ihrer Zugriffsrechte portable Software- Versionen über Wechselmedien downloaden. Vor- und Nachteile herkömmlicher Konzepte zur Kontrolle von Anwendungen Konzept Vorteil Grenzen Anti-Malware und HIPS Erkennt und sperrt Malware. Kann legitime, jedoch unerwünschte Anwendungen nicht sperren. Allow-Listen für Anwendungen Eingeschränkte Administratorrechte Client Firewalls Block-Listen für Anwendungen Sperrt alle Anwendungen, deren Ausführung nicht ausdrücklich erlaubt wurde. Reduziert die Anzahl nicht zugelassener Anwendungen. Kontrolliert den Zugriff auf Netzwerk- und Internet-Ressourcen. Sperrt und überwacht zu kontrollierende Anwendungen. Führt in den meisten Situationen zu einem erhöhten IT-Personalbedarf und schützt Systeme unzureichend vor Angriffen. Kann lediglich Anwendungen sperren, für deren Installation Administratorrechte erforderlich sind. Kann die Ausführung systemeigener Anwendungen nicht unterbinden und bietet keinen Schutz, wenn ein System außerhäusig zum Einsatz kommt. Kann den IT-Personalbedarf erhöhen, da die Erstellung einzigartiger Signaturen für jede zu kontrollierende Anwendung und Version von Nöten ist. 3

5 Client Firewalls Eine Client Firewall kann den Einsatz nicht zugelassener Anwendungen reduzieren, indem sie den Zugriff auf Netzwerk- oder Internet-Ressourcen kontrolliert. Sie kann beispielsweise nach IM-Traffic Ausschau halten und diesen sperren. Jedoch kann eine Client Firewall die Ausführung systemeigener Anwendungen nicht unterbinden. Einige Anwendungen wie Skype können Client Firewalls überlisten, indem Sie sich geschickt tarnen. Solche Anwendungen finden Wege, ihren Traffic zu verbergen, indem sie unschuldige Ports identifizieren und ihren Traffic durch diese leiten, um einer Erkennung und Sperrung zu entgehen. Zusätzlich erschwert wird das Problem durch die große Anzahl von Benutzern, die außerhalb der Unternehmens-Firewall in ungesicherten Netzwerken (Internet-Cafés, Hotels oder zu Hause) arbeiten. Denn nur technisch ausgereiftere, standortspezifische Client Firewalls auf Laptops und Endpoints können strengere Sicherheitsmaßnahmen durchsetzen, wenn eine Verbindung zu einem nicht vertrauenswürdigen Netzwerk hergestellt wird. Block-Listen für Anwendungen Über Block-Listen für Anwendungen überwachen und unterbinden Sie den Einsatz zu kontrollierender Anwendungen. Block-Listen sind vor allem für die komplette Sperrung bestimmter Anwendungen geeignet. Ferner können sie dazu dienen, hochriskante Verhaltensweisen von Benutzern zu überwachen und Sicherheitsrichtlinien entsprechend anzupassen. Bei den meisten Block-Listen-Lösungen müssen IT-Administratoren für alle zu kontrollierenden Anwendungen Signaturen erstellen. Dieser Vorgang wird meist über einen Prüfsummen-Identifier realisiert, der zunächst konfiguriert und dann in regelmäßigen Abständen gewartet werden muss, um Nachfolge-Softwareversionen identifizieren zu können. Praktischer können Block-Listen gestaltet werden, indem Erkennungsdaten vom Sicherheitsanbieter zum Einsatz kommen, die zahlreiche Anwendungskategorien abdecken. So könnten beispielsweise Anwendungen zur Dateifreigabe komplett gesperrt und der Einsatz von Software eingeschränkt werden, die von Anbietern stammt, welche besonders häufig in Angriffe involviert sind. Dieser Ansatz erfordert weit weniger Konfiguration und Wartung, da der Anbieter für die Aktualisierung der Kriterien zur Anwendungserkennung bei Software- Neuveröffentlichungen verantwortlich ist. 4

6 Application Control als Teil einer Endpointsicherheitslösung Wie viele andere Sicherheitsverfahren arbeitet Application Control am besten als Element einer umfassenden Endpointsicherheitslösung. Denn auch hier gilt: Das Ganze ist mehr, als die Summe aller Teile. Mit einer kompletten Endpointsicherheitslösung können Sie zahlreiche Sicherheitsfunktionen einfach kombinieren u.a. Anti-Malware, HIPS, Block-Listen und Client Firewalls und so eine besonders strenge und umfassende Application Control implementieren. Mit einer umfassenden Endpointsicherheitslösung können Sie: die Ausführung von Malware stoppen. Datenverlustrisiken eindämmen. die Ablenkung Ihrer Mitarbeiter durch nicht zugelassene Anwendungen auf ein Minimum reduzieren. Haftungsrisiken durch Film- und Musikdownloads eindämmen. Endpointsicherheitslösungen für umfassende und kosteneffiziente Application Control Eine umfassende Endpointsicherheitslösung wehrt nicht zugelassene Anwendungen zuverlässig ab. Sie profitieren von einer zentralen Sicherheitslösung, die einfach bereitzustellen und zu verwalten ist. Sie erhalten ferner eine nahtlos ineinandergreifendes Funktionspaket, das im Hintergrund intelligent und effizient die Fäden zieht. Indem Sie Application Control als Element einer Endpointsicherheitslösung einsetzen, können Sie: Ihre IT-Personalkosten gering halten und den Wartungsaufwand dank Einsatz von Erkennungsdaten reduzieren, die vom Anbieter bereitgestellt werden. IT-Administratoren bessere Einsicht in hochriskantes Benutzerverhalten gewähren und so die Richtliniensetzung erleichtern. Ihre Computerressourcen ideal nutzen, damit Ihre Benutzer produktiv bleiben. Wie Application Control als Element einer Endpointsicherheitlösung arbeitet Endpointsicherheitsfunktion Geleistete Anwendungskontrolle Schützt vor Malwareerkennung Wenn ein Benutzer versucht, eine Anwendung herunterzuladen oder einzusetzen, scannt die Anti-Malware-Software die Anwendung auf bekannte Malware. Werden keine Schädlinge gefunden, greift die HIPS-Funktion. Schützt vor: Bekannter Malware oder gefälschtem Anti-Virus (z.b. W32.Stuxnet oder Trojan. Win32.FakeAV.cogs). HIPS Application Control-Listen Standortspezifische Client Firewall HIPS analysiert, ob die Anwendung verdächtige Verhaltensweisen aufzeigt. Wenn ein verdächtiges Verhalten beobachtet werden kann, wird die Anwendung entweder blockiert oder es wird eine Benachrichtung an den Administrator gesendet. Wenn kein verdächtiges Verhalten beobachtet werden kann, kommt die Application Control-Checkliste zum Einsatz. Die Anwendung wird in einer vorbereiteten Kontrollliste auf Übereinstimmungen geprüft. Wird eine übereinstimmende Anwendung gefunden, greifen die geltenden Richtlinieneinstellungen. Die Anwendung kann gesperrt oder aber unter der Bedingung erlaubt werden, dass eine Benachrichtigung an den Administrator gesendet wird. Wenn Benutzer außerhalb des Büros auf das Unternehmensnetzwerk zugreifen, können automatisch strengere Sicherheitsvorkehrungen getroffen werden. Client Firewalls dienen besonders in Kombination mit HIPS-Verfahren dazu, den Download und die Ausführung verdächtiger Anwendungen zu blockieren. Schützt vor: Neuer Malware, die verdächtige Verhaltensweisen aufzeigt und oft mit Zero- Day-Angriffen einhergeht. Schützt vor: Tools zur Dateifreigabe, Remoteverwaltungstools und sonstigen unerwünschten Anwendungen. Schützt vor: Traffic von nicht zugelassenen Anwendungen, der nicht vom Application Control-Feature gesperrt wird. 5

7 Sophos Application Control: Ganzheitliche Kontrolle über Benutzerinstallationen Wir helfen Ihnen, Anwendungen wie Instant Messaging oder P2P zu kontrollieren, die sich sowohl sicherheitstechnisch als auch rechtlich als Problem erweisen können. Außerdem bekommen Sie mit uns unerwünschte Anwendungen in den Griff, die Ihr Netzwerk verstopfen. Mit unserer Application Control, die in Sophos Endpoint Security and Data Protection integriert ist, überwachen und kontrollieren Sie, welche Anwendungen Ihre Mitarbeiter installieren, ohne Arbeitsabläufe zu beeinträchtigen. Wie funktioniert's? Wir haben Application Control in unsere Antiviren-Engine integriert, um Ihnen die Bereitstellung und Verwaltung eines separaten Produkts zu ersparen. Wir stellen Ihnen Kennungsdaten für zahlreiche Anwendungen bereit, die von unseren Experten aktualisiert und regelmäßig um neue Versionen und Anwendungen erweitert werden. Sie setzen ganz einfach Richtlinien für das gesamte Unternehmen oder bestimmte Gruppen, um ausgewählte Anwendungen zu sperren bzw. zu erlauben. Nutzen Sie Application Control, um VoIP nur für mobile Mitarbeiter zu erlauben. Oder legen Sie sich auf einen Standard-Browser fest. Kostenlos testen Testen Sie Sophos Endpoint Security and Data Protection jetzt 30 Tage kostenlos. Boston, USA Oxford, UK Copyright Sophos Ltd. Alle Rechte vorbehalten. Alle Marken sind Eigentum ihres jeweiligen Inhabers. wpna