Risk Assessment: Gezielt auf Schwachstellensuche

Cyberkriminelle werden niemals müde, nach neuen Wegen zu suchen, um Unternehmenssysteme zu kompromittieren. Mit viel Ehrgeiz versuchen sie, Lücken in der Abwehr einer Firmen-IT zu finden. Und diese sind manchmal schnell verortet, schließlich wird es für IT-Abteilungen immer schwieriger, die gesamte Angriffsfläche unter Kontrolle zu behalten. Oft fehlt es an Überblick über die Gesamtstruktur der IT-Landschaft. Zudem gibt es keine Visualisierungsmöglichkeiten, mit denen sich feststellen lässt, ob einzelne Geräte im Netzwerk Schwachstellen aufweisen, die dringend gepatcht werden müssen. Das Gleiche gilt für Devices, deren Sicherheitseinstellungen grundsätzlich schwach oder unzureichend sind. Auch der Hinweis auf unangemessenes oder anormales Verhalten innerhalb der Systeme als mögliches Anzeichen dafür, dass komplexe Angriffe im Gange sind, bleibt aus.

Das größte Hindernis: mangelnde Integration. Unternehmen setzen oft unterschiedliche Lösungen für IT-Sicherheit ein, die gar nicht oder wenig miteinander agieren und sich zudem in Merkmalen und Funktionen überschneiden. Auf diese Weise entsteht ein Netz unzusammenhängender und doppelter Technologien, die die Integration erschweren, den Zugang zu gemeinsamen Informationen einschränken und die Umsetzung einer maßgeschneiderten Umgebung behindern. Dass eine solche Infrastruktur mit inkompatiblen Sicherheitslösungen Lücken aufweisen kann, die Angreifern in die Hände spielen, bedarf kaum weiterer Erklärung.

Nach Angaben des Ponemon Institute haben 68 Prozent der Unternehmen einen oder mehrere Angriffe auf ihre Endgeräte erlebt, bei denen Daten und IT-Infrastruktur erfolgreich kompromittiert wurden. Solche Angriffe schaden nicht nur dem Ruf des Unternehmens. Sie gehen darüber hinaus mit Geldstrafen einher, sobald sich feststellen lässt, dass das betroffene Unternehmen nicht in der Lage war, die erforderlichen Sicherheitsmaßnahmen zu ergreifen. In der Regel werden solche Geldstrafen aufgrund unzureichender Präventions- und Abwehrmaßnahmen verhängt bzw. wenn es der Organisation nicht gelungen ist, die Quelle des Angriffs, mögliche Folgen oder die vertraulichen Daten, die konkret betroffen waren, zu identifizieren.

Was sind die größten Stolperfallen im Hinblick auf die Absicherung von Endgeräten?

• Nachlässiger Umgang mit Patches: Laut Venture Beat sehen 71 Prozent der Sicherheits- und Risikomanagementverantwortlichen im Patchen einen sehr komplizierten und zeitaufwendigen Prozess. Infolgedessen verschieben 62 Prozent diese Aufgabe auf später und konzentrieren sich auf andere Projekte. Im ersten Quartal 2022 stieg die Zahl der mit Ransomware verbundenen Schwachstellen im Vergleich zu Ende 2021 um 7,6 Prozent. Weltweit ist die Zahl der mit Ransomware verbundenen Schwachstellen innerhalb von zwei Jahren von 57 auf 310 gestiegen.
• Falsch konfigurierte Sicherheitslösungen: Damit ein System wirklich geschützt ist, müssen die Lösungseinstellungen richtig konfiguriert und aktiviert sein. Die Verwendung veralteter Software, die Beibehaltung von Standardschlüsseln und Initialkennwörtern oder die Ausführung unnötiger Dienste oder Funktionen kann Cyberkriminellen einen Vorteil verschaffen. Venture Beat verweist zudem darauf, dass auf den meisten Endgeräten durchschnittlich 11,7 Sicherheitskontrollen installiert sind, wobei jede einzelne unterschiedlich häufig versagt. Darüber hinaus haben 52 Prozent der Endgeräte drei oder mehr Management-Clients installiert. Dies schafft zusätzliche Angriffsfläche.
• Versehentlich nicht abgesicherte Endgeräte: Die Abwehrkette eines Unternehmens ist nur so stark wie ihr schwächstes Glied. Es genügt ein einziges kompromittiertes Gerät, um die Sicherheit des ganzen Unternehmens zu gefährden. Eine Umfrage von Dark Reading ergab, dass zwar 36 Prozent der Unternehmen über Sicherheitskontrollen für Endgeräte verfügen, aber nur sehr wenige eine vollständige Übersicht und Kontrolle über alle Geräte und Identitäten haben. So können IT-Abteilungen den Standort oder Status von bis zu 40 Prozent ihrer Endgeräte nicht jederzeit feststellen.
• Mangelnde Sicht auf Angriffsindikatoren (Indicators of Attack – IoA): Im Zuge von „Living-off-the-land“-Angriffen (LotL) verwenden Cyberkriminelle legitime Software oder Tools, die auf dem System des Opfers verfügbar sind (sogenannte dateilose Malware),  um bösartige Aktionen durchzuführen. Hier hilft nur eine fortschrittliche Sicherheitslösung, die anomales Verhalten analysiert und IoA erkennt.

Risk Assessment: Funktion, um Endpunktsicherheit zu gewährleisten

Der Einsatz unterschiedlichster Sicherheitslösungen allein reicht nicht aus, um die Endpunkte eines Unternehmens vollständig zu schützen. Wer böswillige Akteure davon abhalten will, ihre Pläne erfolgreich umzusetzen, benötigt darüber hinaus Einblick, welche potenziellen Lücken von den jeweiligen Lösungen und Geräten selbst ausgehen – beispielsweise verursacht durch Fehlkonfigurationen oder fehlende, aber wichtige Patches.

Es kommt in erster Linie darauf an, dass IT-Security-Administratoren das einschlägige Risiko von Cyberbedrohungen erkennen und verstehen. Denn nur auf diese Weise lassen sich die Kontrollen der Sicherheitslösungen stichhaltig stärken, was in Folge dazu führt, die Wahrscheinlichkeit einer Infektion und einer Geschäftsunterbrechung bewusst zu minimieren. Genau darauf zielt die von WatchGuard angebotene Funktion des Risk-Monitorings für Endpunkte ab. Diese identifiziert und kontrolliert Schwachstellen und Konfigurationsmängel auf den Geräten, auf denen die WatchGuard Endpoint Security-Lösungen eingesetzt werden, und sorgt somit für ein entscheidendes Plus an Kontrolle und Sicherheit.

Viele Angriffe aus der Vergangenheit, die infolge von Fehlkonfigurationen zum Erfolg führten, wären mithilfe einer solchen vorherigen Bestandsaufnahme vermeidbar gewesen, da der Administrator aufgrund der rechtzeitigen Einsicht in den Sicherheitsstatus die dringendsten Schwachstellen hätte beheben können. Dank der Identifikation der Lücken und automatischen Kategorisierung nach Dringlichkeitsstufe wird es möglich, die Anzahl der Infektionen, die durch eine schlechte Sicherheitskonfiguration oder das Versäumnis, kritische Patches aufzuspielen, verursacht werden, drastisch zu reduzieren.

Gleichzeitig versetzt die Funktion die Sicherheitsverantwortlichen in die Lage, potenzielle Risiken und den allgemeinen „Gesundheitszustands“ eines Geräts in Echtzeit zu überwachen. Berichte geben einen Überblick zum Risikostatus, so dass IT-Teams die gefährdeten Punkte sofort im Auge haben und die notwendigen Entscheidungen treffen können, bevor es zu spät ist. Ein solches Risk-Monitoring ist unverzichtbar und ein weiteres entscheidendes Puzzleteil für vollständige IT-Sicherheit.

Wer mehr über WatchGuard Endpoint Security und das Risk-Monitoring erfahren möchte, sollte am besten gleich die kostenlose Demo-Version ausprobieren. Der Mehrwert lässt sich kaum besser veranschaulichen als am direkten Beispiel. Unternehmen können die aktiven und potenziellen Risiken rechtzeitig erkennen und Gegenmaßnahmen ergreifen, bevor es zu ernsthaften Problemen kommt.

Wie das Feature „Endpoint Risk Assessment“ konkret unterstützt, zeigt Christian Kanders von WatchGuard im Video.

Quelle: WatchGuard-Blog