DriveLock Endpoint Protection: Anwendungsfälle

Use Cases für den effektiven Einsatz von Applikationskontrolle und Gerätekontrolle.

 

Angriffsbeispiele

Angriff auf die Supply Chain mittels Social Engineering

+++ Cyberangreifer attackierten bei dem auf Netzmanagement-Software spezialisierten amerikanischen Unternehmen Solarwinds im Jahr 2020 die Lieferkette.

Der Softwarehersteller liefert über die Supply-Chain Software an Reseller und Partner aus. Ist die Original-Software bereits beim Hersteller „infiziert“, hat dies Konsequenzen auf alle nachgelagerten Unternehmen, die die Software einsetzen.

Der erste Schritt bei solch einem Angriff besteht in der Regel darin, Personen im Unternehmen, das die Zielsoftware herstellt, mit Phishing-E-Mails zum Preisgeben von Benutzerzugangsdaten zu überlisten. Im Idealfall findet der Angreifer ein besonders privilegiertes Konto mit schlechten Sicherheitsvorkehrungen. Wahrscheinlicher ist es jedoch, dass er mehrere Wochen mit sehr langsamen, vorsichtigen seitlichen Bewegungen zubringt, um sein Ziel unentdeckt zu erreichen. Der Angreifer nutzt dabei so viele native, d.h. systemeigene Tools wie möglich aus. Der Solarwinds-Angriff war auch deshalb so erfolgreich, weil die Angreifer fast keine traditionellen Indikatoren für eine Kompromittierung hinterlassen haben. Die Angriffsziele waren offensichtlich blind für die Eindringlinge in ihren Netzwerken. 

+++ Hacker legen wichtige US-Pipeline lahm

Nach einem Cyberangriff ist der Betrieb einer der größten Benzin-Pipelines in den USA vorübergehend eingestellt worden. Es sei Erpressungs-Software im Spiel gewesen.

 

Angriff auf Behörden

+++ Cyberkriminelle attackieren die Gemeindeverwaltung Kammeltal

Sämtliche Rechner im Rathaus waren von einem Trojaner infiziert. Dokumente sind verschlüsselt. Nur gegen Bezahlung von Lösegeld geben Erpresser die vollständigen Daten heraus.

+++ Behörden werden immer häufiger ein beliebtes Angriffsziel von Cyber-Kriminellen (Quelle: Behördenspiegel)
Die Übeltäter erlangen dabei in den meisten Fällen Zugriff auf sensible Daten, indem sie ahnungslose Behördenmitarbeiter gezielt täuschen: Neun von zehn Cyberangriffen starten mit einer solchen Phishing-Mail an Mitarbeiter. Die Angreifer verschlüsseln daraufhin die Behördendaten und verlangen enorme Lösegelder für die Entschlüsselung.

+++ Hacker greifen das Rathaus an (Quelle: Hannoversche Allgemeine Zeitung, 23.05.2020)

Langenhagen. Die Stadtverwaltung ist vermutlich Ziel eines Hackerangriffs geworden. Die Angreifer hatten eine E-Mail an Mitarbeiter geschickt. Diese sollten so zum Herunterladen von schädlichen Computercodes, die beispielsweise Betriebssysteme befallen oder Computersysteme beschädigen können, bewegt werden.

 

 

Angriff auf Industrie

Risiken für industrielle Produktions- und Kontrollsysteme (ICS) resultieren aus Bedrohungen, die aufgrund existierender Schwachstellen dem ICS und damit einem Unternehmen Schaden zufügen können. Die kritischen und am häufigsten auftretenden Bedrohungen für ICS stellt das BSI jährlich zusammen: Auf Platz 1 rangiert das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware (z. B. Bad USB).

Prominentes Beispiel: Der Stuxnet-Angriff erfolgte über einen Wechseldatenträger (USB-Drop Attack). Er war so invasiv, weil er durch Weitergabe über USB Sticks industrielle Systeme infiltrierte, und diese wiederum angesteckte USB-Sticks befiehlen, die dann wieder weitergenutzt wurden.

 

 

Angriff auf Krankenhäuser

+++ Die Urologische Klinik in Planegg ist im Januar Ziel eines Hacker-Angriffs geworden. Die Täter haben dabei offenbar Einblicke in sensible medizinische Patientendaten bekommen. Die Angreifer nutzten sogenannte „Ransomware“. Die Schadprogramme verschlüsselten einige IT-Systeme der Klinik gegen Geldforderung.

 

 

Abschließend stellt sich die Frage: Wären diese Angriffe zu verhindern gewesen?

Umfassende Sicherheit Ihrer Daten, Systeme und Endgeräte besteht heute aus einer Mehrzahl an Lösungen. Je nach Angriffstaktik gibt es unterschiedliche Use Cases / Anwendungsfälle, auf die wir in den folgenden Abschnitten eingehen.
Unsere Lösungen: Application Control, Application Behavior Control, Device Control, Security Awareness

 

Dateibasierte Schadsoftware (Klassischer Fall)

Einige der genannten Angriffe hätten durch Application Whitelisting verhindert werden können. Das Prinzip unterscheidet sich grundlegend vom dem einen Antivirenscanners, der mit einer Datenbank bekannter Viren und schadhafter Programme arbeitet (Blacklist).

Wie funktioniert Application Whitelisting?

Application Whitelisting stellt die Logik der Blacklist auf den Kopf: Sie erstellen eine Liste akzeptabler Entitäten (Anwendungen, Softwarebibliotheken, Skripte), die auf ein System oder Netzwerk zugreifen dürfen, und das System blockt automatisch die Ausführung von nicht ge-whitelisteter Software . Es basiert auf einem "Zero-Trust"-Prinzip, das im Wesentlichen alles verweigert und nur das Notwendige erlaubt.

Angesichts der Tatsache, dass Blacklists auf bekannte Variablen (dokumentierte Malware usw.) beschränkt sind und Malware-Varianten ständig weiterentwickelt werden, um verhaltens- oder signaturbasierte Erkennungsmethoden zu umgehen, hat sich mittlerweile die Ansicht durchgesetzt, dass Whitelisting den sinnvolleren Ansatz für die Informationssicherheit darstellt.

„Aus der Sicherheitsperspektive ist es sinnvoller, alles pauschal zu verbieten und nur die wenigen Auserwählten zuzulassen.“

 

Wenn nur zugelassene Software und Anwendungen ausgeführt werden dürfen, werden die Chancen, dass sich Malware auf dem System festsetzt, ebenfalls minimiert. Was Sie auf Ihrem System laufen lassen wollen, ist eine viel kleinere Menge an akzeptablen Entitäten und nicht solche, die Sie nicht brauchen. Wir wenden dieses Modell auf andere Aspekte der Sicherheit in unserem Leben an: Wen lassen Sie zum Beispiel in Ihr Haus? Sie führen nicht eine Liste mit allen schlechten Menschen auf der Welt. Vielmehr lassen Sie nur Menschen in Ihr Haus, denen Sie vertrauen.

Mit DriveLock können Sie das Beste aus beiden Welten nutzen - Blacklisting und Whitelisting.

So lassen Sie einerseits nur die Software, Softwarebibliotheken und Skripte zu, die zum Arbeiten benötigt werden. Und auf der anderen Seite können Sie eingebaute Tools, die von Tätern missbraucht werden, auf eine Blacklist setzen oder die Nutzung auf bestimmte administrative Benutzer beschränken.

Wie wird Application Whitelisting mit DriveLock konfiguriert? Um Application Whitelisting bei Ihnen einzurichten, müssen Sie in DriveLock die notwendigen Einstellungen in den Richtlinien vornehmen.

Ist die Konfiguration nicht sehr aufwendig? Um den Aufwand für Application Whitelisting mit DriveLock zu reduzieren und zu vereinfachen, gibt es z.B. folgende Optionen:

  • Einbindung eines Software-Deployment-Agenten
    Sie können Software-Verteilungssysteme, Patch-Management-Systeme und Stand-Alone-Updater in DriveLocks Application Control integrieren. Somit reduzieren Sie den administrativen Aufwand signifikant.
  • Einbindung einer vertrauenswürdigen Quelle
    Um die Anwendungskontrolle weiter zu vereinfachen, können Sie Dateispeicher (zentral oder lokal), aus denen die Anwendungen ausgeführt werden dürfen, als vertrauenswürdig einstufen. Somit entfällt eine Prüfung in künftigen Fällen.
  • Temporäre Freischaltung
    Das Konfigurieren einer temporären Freischaltung Ihres lokalen Rechners für manuelle Software-Installationen entlastet IT-Fachpersonal. IT-Abteilungen haben die Möglichkeit, Verantwortung an die Endbenutzer abzugeben und müssen nicht bei jeder Softwareinstallation gefragt werden. Endbenutzer können mit entsprechender Berechtigung Software installieren, ohne auf die Bestätigung durch das IT-Team warten zu müssen. Die IT-Verantwortlichen überprüfen anschließend an zentraler Stelle, welche Anwendungen durch Selbstfreigaben installiert und gestartet wurden.

Zudem steuert die Applikationskontrolle das Aufrufen von Skripten und Unterprozessen.

 

Jetzt DriveLock 30 Tage kostenlos & unverbindlich testen

 

Dateilose Angriffstaktiken

Der Angriff auf die Supply-Chain des Softwareunternehmens durch Social Engineering aus dem ersten Abschnitt zeigt, dass Angreifer entgegen dem klassischen Verständnis dateibasierter Schadsoftware immer häufiger systemeigene, legale Tools und Skripte nutzen, diese missbrauchen und für ihre Zwecke umfunktionieren. Diese Fälle lassen sich verhindern, wenn die auf der Whitelist erlaubten Anwendungen inklusive Windows eigene Skripte in ihrer Nutzung durch sogenannte Anwendungsberechtigungen eingeschränkt werden.
Welche Methoden nutzen Angreifer, die Anwendungsberechtigungen verhindert hätten?
Alle nachfolgend beschriebenen Anwendungsfälle lassen sich unkompliziert im DriveLock Regelwerk abbilden. Weitere Infos finden Sie unter https://drivelock.help/versions/current/index.html

Anwendungsfall 1: Verhindern, dass PowerShell startet

Sie wollen verhindern, dass Ihr Browser PowerShell startet und so womöglich Schadsoftware auf den Computer gelangt. Dazu erstellen Sie mit DriveLock eine Regel, die dem Browser und allen von ihm gestarteten Prozessen den Start von PowerShell verbietet.

 

Anwendungsfall 2: Verhindern, dass Subsprozesses (Childprozesse) gestartet werden

Das Erstellen bösartiger untergeordneter Prozesse ist eine gängige Malware-Strategie. Malware, die Microsoft Office-Dokumente als Vektor missbraucht, führt häufig VBA-Makros und Exploit-Code aus, um zusätzliche Nutzlasten herunterzuladen und auszuführen. Einige legitime Line-of-Business-Anwendungen können jedoch auch untergeordnete Prozesse für harmlose Zwecke generieren, wie z.B. das Auslösen einer Eingabeaufforderung oder die Verwendung von PowerShell zur Konfiguration von Registrierungseinstellungen. Sie unterbinden das mit DriveLock Application Behavior Control mit einer Anwendungsregel.

 

Anwendungsfall 3: Laden einer DLL einschränken

Sie möchten festlegen, dass Dynamic Link Libraries (DLLs) nur aus bestimmten Verzeichnissen geladen werden dürfen, z.B. möchten Sie verhindern, dass der Windows Media Player DLLs von Netzlaufwerken lädt. Erstellen Sie mit DriveLock eine Regel dafür.

 

Anwendungsfall 4: Skripte ausführen

Application Behavior Control - Use Case Skripte ausführenSie wollen verhindern, dass Browser VB-Skripte (*.vbs) ausführt. Das Einschränken der Ausführung von Skripten ermöglicht Unternehmen ein hohes Maß an Sicherheit. DriveLock bietet Ihnen hierfür einen ganzheitlichen Ansatz und volle Konfigurierbarkeit. Sie können die Ausführung von Skriptdateien anhand

  • eines Hashwertes,
  • einer digitalen Signatur,
  • eines Pfades oder
  • eines Dateieigentümers erlauben.

Die Skripte und deren Interpreter können jederzeit erweitert werden. Sie können mit DriveLock beispielweise das das Whitelisting von .BAT-Dateien konfigurieren. Dies kann nach Belieben mit .CMD-Dateien erweitert werden. Die Vorgehensweise ist für jede Art von Datei, die von einer Anwendung interpretiert wird, wie z. B. PS1, VBS, JS, HTA, JAR usw. gleich.

 

 

Anwendungsfall 5: Lesen eines bestimmten Verzeichnisses

Sie möchten sicherstellen, dass beispielsweise nur Ihre eigene Bankensoftware Lesezugriff auf ein bestimmtes Verzeichnis hat, für andere Anwendung möchten Sie den Lesezugriff verbieten. Denn es wäre möglich, dass Malware über eine Sicherheitslücke im Browser lesend auf dieses Verzeichnis zugreift und so Ihre Bankdaten ausliest. Konfigurieren Sie dazu eine Regel mit DriveLock.


Anwendungsfall 6: Schreiben in ein bestimmtes Verzeichnis

Sie möchten festlegen, dass ein bestimmter Browser (Google Crome, Mozilla Firefox) nicht in den Ordner "Dokumente" schreiben darf. Da Sie dies für alle Benutzer und nicht nur für einige Benutzer festlegen wollen, arbeiten Sie hier bei der Regelerstellung mit sog. Platzhaltern.


Anwendungsfall 7: Zugriff auf die Registry einschränken

Sie möchten den Registry-Zugriff für Ihre Bankensoftware aus Anwendungsfall 5 steuern. Kein Problem: Mit DriveLock erstellen Sie zwei Anwendungsberechtigungen, damit nur die Banksoftware.exe die Registry im angegebenen KEY lesen darf. (Bsp.: HKEY_CURRENT_USER\SOFTWARE\Bank Software\)


Anwendungsfall 8: Erkennen von Angriffen mit den beispielhaften MITRE ATT&CK™-Regeln

DriveLock bietet Regeln, die auf dem MITRE ATT&CK™-Framework basieren. MITRE ATT&CK™ ist eine weltweit zugängliche Wissensbasis für Taktiken und Techniken. Die ATT&CK-Wissensbasis dient als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung sowie in der Cybersecurity-Produkt- und Service-Community.
Sie können diese Regeln in den EDR (Endpoint Detection & Response)-Knoten importieren. Der Zweck dieser Regeln besteht nicht darin, Aktionen zu blockieren oder zu erlauben, sondern einfach bestimmte Ereignisse auf dem jeweiligen Computer zu melden, die dann von den Ereignisfiltern und Alarmen verarbeitet werden.


Anwendungsfall 9: Security-Awareness-Kampagne beim Start von Outlook anzeigen

Security Education | Security Awareness Training zum Thema PhishingAnlassbezogene Security Awareness kann gerade in Zeiten des Home-Office sehr wichtig sein, wenn Benutzer isoliert voneinander arbeiten und bei zweifelhaften Mails nicht direkt bei Ihren Kollegen oder der IT nachfragen. Wird beispielsweise eine neue Applikation gestartet, kann DriveLock überprüfen, ob es sich um eine sichere Anwendung handelt und im Zweifelsfall eine kurze Security-Kampagne zum Thema „Umgang mit neuen Anwendungen“ ausspielen und entsprechende Sicherheitshinweise geben.
Sie möchten beispielweise alle 14 Tage bei jedem Outlook-Start des Benutzers eine Security-Awareness-Kampagne anzeigen? Sie erstellen zu diesem Zweck eine Dateieigenschaftsregel.

 

Jetzt DriveLock 30 Tage kostenlos & unverbindlich testen

 

Angriff über Datenträger und externe Geräte

DriveLock kann den Datenfluss über Datenträger, Laufwerke und externe Geräte überwachen und steuern. DriveLock Device Control verfolgt wie beim Application Whitelisting den Ansatz, alles zu verweigern, was nicht explizit zugelassen wurde.

Anwendungsfall 1: Bluetooth Devices

Ein Beispiel für die portbasierte Steuerung ist die Steuerung von Bluetooth-Geräten. Sie können z.B. einen Logitech Spotlight Bluetooth-Präsentationsstick auf die Whitelist setzen.

Mit DriveLock sind detaillierte Einstellungen für die Verbindung von Geräten über Bluetooth möglich. So lassen sich zum Beispiel Kopplungen mit neuen Geräten vollständig unterbinden oder auf gewünschte Bluetooth-Dienste wie zum Beispiel Audio-Streaming oder Dienste, die für HID-Geräte wie Stifte und Tastaturen benötigt werden, einschränken. Die Synchronisation von Kontaktdaten oder die Übertragung von Dateien kann somit wirksam unterbunden werden.

Zusätzlich können Sie den automatischen Lernmodus aktivieren, um Geräte des Typs, der gerade eingebaut oder angeschlossen ist, automatisch auf die Whitelist setzen zu lassen, wenn der Client-Computer neu gestartet wird - nachdem er die Richtlinie mit dieser Einstellung aktiviert hat. Dadurch werden die integrierten Bluetooth-Controller für diesen Client-Computer auf die Whitelist gesetzt.

 

Anwendungsfall 2: Bad USB

Stellen Sie sich vor, sie könnten ein scheinbar harmloses USB-Laufwerk an den Computer einstecken und damit eine Backdoor installieren, Dokumente exfiltrieren, Passwörter stehlen oder viele andere Angriffe durchführen. All dies lässt sich mit gut ausgeklügelten Tasteneingaben bewerkstelligen. Wenn Sie direkt vor diesem Computer sitzen und über ein fotografisches Gedächtnis verfügen sowie einige ausgeklügelte Skripten, bräuchten Sie wenigen Minuten. Ein BadUSB-Gerät tut dies in Sekunden. Es missbraucht das Vertrauen, das Computer in den Menschen haben, indem es sich als Tastatur ausgibt - und Tastatureingaben injiziert, als ob ein Benutzer auf der Tastatur tippen würde.
DriveLock Device Control kann Human Interface Devices (HIDs) durch Geräte-Whitelisting kontrollieren. Es kann auch den Zugriff auf neu angeschlossene HIDs nur dann erlauben, wenn der Benutzer eine Nutzungsrichtlinie akzeptiert, indem er sich mit seinem Domänenpasswort als Voraussetzung authentifiziert.


Anwendungsfall 3: Verschlüsselung von Wechseldatenträgern

Encryption 2-Go ist Teil der DriveLock Device Control und bietet eine vollständig integrierte Lösung zum Verschlüsseln externer Laufwerke. Mit Encryption 2-Go haben Sie die Wahl, Ihre Daten auf Wechseldatenträgern entweder mit einer Container-Verschlüsselung oder mit einer ordnerbasierten Verschlüsselung zu schützen. Damit stellen Sie ist sicher, dass Ihre vertrauenswürdigen Daten auch dann geschützt sind, wenn sie über mobile Speichermedien wie USB-Laufwerke das Unternehmen verlassen. Gleichzeitig erfüllen Sie die gesetzlichen Anforderungen zum Schutz der Vertraulichkeit und Integrität von Daten.
Encryption 2-Go bietet ein vollwertiges Verschlüsselungsmanagement-Tool für externe Medien:

  • Verschlüsselung von Dateien auf externen Speichermedien (USB-Sticks und externe Festplatten)
  • Erzwungene Verschlüsselung gemäß Unternehmensrichtlinien
  • Konfigurierbare Benutzerauswahldialoge beim Einstecken von externen Laufwerken

Sie haben die Wahl zwischen containerbasierter Verschlüsselung oder ordnerbasierter Verschlüsselung.



Anwendungsfall 4: Laufwerkskontrolle - Verhindern Sie Datenverlust oder Einschleusen von Malware

Eine der Säulen der Zero-Trust-Sicherheitsstrategie ist es, externe Speicherlaufwerke standardmäßig zu verweigern und nur bestimmte Laufwerke bei Bedarf zuzulassen. Das gleiche Konzept gilt auch dafür, nur autorisierten Benutzern die Nutzung von externen Laufwerken zu erlauben und anderen Benutzern den Zugriff zu verweigern. DriveLock blockiert standardmäßig unbekannte Laufwerke. So können nur zugelassene externe Laufwerke verwendet werden und nur autorisierte Benutzer können diese externen Laufwerke nutzen.
Der Zugriff auf die Laufwerke wird protokolliert. Dateien, die gelesen und geschrieben werden, werden ebenfalls überwacht.


Anwendungsfall 5: Restriktive Nutzung von externen Laufwerken

Um externe Laufwerke zu genehmigen, können Sie entweder Regeln für die Hersteller-/Produkt-ID oder Regeln für die Laufwerksammlung verwenden. Mit einer Hersteller-/Produkt-ID-Regel können Sie folgendes genehmigen:

  • Laufwerke eines bestimmten Herstellers
  • Ein bestimmtes Produkt von einem bestimmten Hersteller
  • Ein bestimmtes Laufwerk nach Hersteller-ID, Produkt-ID und Seriennummer
  • Mehrere Laufwerke mit der gleichen Hersteller-ID und Produkt-ID, aber unterschiedlichen Seriennummern

Eine Drive Collection-Regel ist die Genehmigung einer Sammlung von externen Laufwerken nach Hersteller-ID, Produkt-ID und Seriennummer, die jedoch unterschiedliche Hersteller-IDs haben können. Sie erleichtert die Verwaltung und Zulassung neuer Laufwerke.

 

 

 

DriveLock 30 Tage kostenlos & unverbindlich testen.

Bitte tragen Sie hier Ihre Daten ein. Sie erhalten kurzfristig weitere Informationen zu Ihrem Testzugang.