Wenn Sie darüber nachdenken, wie Sie Ihren Basis-AV-Schutz für Ihr Endgerät verbessern können, sollten Sie verstehen, welche Vorteile und Betriebseigenschaften die einzelnen Ansätze haben, die Sie in Betracht ziehen. Hier sind ein paar Richtlinien.

Angesichts der Tatsache, dass Antivirus-Tools nicht narrensicher sind, erweitern Unternehmen solche Schutzmechanismen durch andere Sicherheitskontrollen. Es gibt mehrere Möglichkeiten um die AV-Lücke abzudecken: ein zweites Antivirenprogramm, Exploit-Minderung, Anwendungsisolierung oder -eindämmung, Anwendungskontrolle oder Whitelisting, und Anti-Evasion. Wie können Unternehmen die Tauglichkeit dieser Schutzmaßnahmen bewerten und die für ihre Umgebung am besten geeigneten Ansätze auswählen? Wir werfen einen Blick darauf.

Vermeiden Sie das Duplizieren bereits vorhandener Funktionen

Obwohl das Konzept der Defense-in-depth sehr wertvoll für Unternehmensverteidiger ist, kann man es nur schwer rechtfertigen, mehrere Sicherheitstechnologien zu verwenden, die sich in ihren Fähigkeiten stark überschneiden. Überprüfen Sie die Sicherheitsfunktionen, die Ihr Betriebssystem und Ihre Basis-Endpoint Protection Platform (EPP) bieten. Verstehen Sie die Stärken und Schwächen dieser Ansätze und fügen Sie erst dann Sicherheitsebenen hinzu, die Ihnen sinnvolle Vorteile liefern, ohne bereits vorhandene Funktionen zu replizieren.

Falls sie beispielsweise darüber nachdenken, einen zweiten AV-Agenten hinzuzufügen, sollten Sie sicherstellen, dass sich der Ansatz des neuen Tools wirklich von den Möglichkeiten Ihrer Basis-AV-Software unterscheidet. Zu den Kernfunktionen der meisten Antivirus-Lösungen gehört die Entscheidung, ob ein Programm ausgeführt werden darf, obwohl es Ähnlichkeit mit bereits entdeckter Malware hat. Auch, wenn sich die Programme darin unterscheiden können, welche Algorithmen sie für diese Entscheidung benutzen: Alle AVs unterliegen den Beschränkungen der Malware-Erkennung, die auf dem Wissen über schädliche Muster beruhen.

Auf ähnliche Weise integriert Microsoft zunehmend Funktionen zur Redizierung von Exploits in den Kern von Windows 10. EPP-Lösungen bieten zusätzliche Funktionen zum Reduzieren von Exploits. Diese sollen die Fähigkeit des Systems stärken, Angriffen standzuhalten, die ungepatchte Sicherheitslücken ausnutzen. Wenn solche Layer vorhanden sind, kann es schwer sein das Hinzufügen eines Layers zu rechtfertigen, dessen Wertversprechen darauf beruht, Exploits zu reduzieren, da Sie schnell den Punkt erreichen könnten, an dem die Wirksamkeit abnimmt.

Verstehen Sie die Verantwortlichkeiten Ihrer Mitarbeiter

Manche Ansätze der Endgerät-Sicherheit sind schwerer auszurollen und zu pflegen als andere. Verstehen Sie, was für Ihre Mitarbeiter erforderlich ist um die Lösung nicht nur einzurichten, sondern auch, um ihre Effektivität dauerhaft zu sichern. Zusätzlich zur Anpassung der Konfiguration des Tools müssen Ihre Mitarbeiter darauf vorbereitet sein, mit Eskalationen umzugehen, die aus falschen positiven Ergebnissen des Produkts oder anderen Problemen entstehen, die die Geschäftsaktivitäten beeinträchtigen.

Wenn Sie beispielsweise eine Lösung für die Anwendungsisolierung einsetzen, welche Anwendungen in einer eingeschränkten Umgebung beinhaltet, müssen Sie die Pfade definieren, die der App erlauben, mit Unternehmensressourcen zu interagieren. Eine zu ehrgeizige Konfiguration wird normale Benutzeraktivitäten beeinträchtigen. Auf der anderen Seite werden übermäßige Beschränkungen die Fähigkeit der Technologie, Infektionen zu verhindern, schwächen. Um das richtige Gleichgewicht zu finden, erfordert es nicht nur anfängliche Bemühungen, sondern auch eine laufende Überwachung um mit den Updates der Anwendungen, neuen Ressourcenstandorten und sich ändernden Geschäftsanforderungen Schritt zu halten.

Genauso erfordern Lösungen für die Anwendungssteuerung einen wesentlichen Zeitaufwand, um die Whitelist der Programme zu erstellen und zu pflegen, die auf dem Endgerät ausgeführt werden dürfen. Ohne eine klar definierte Whitelist lässt die Effektivität dieses Ansatzes zur Sicherung von Endgeräten drastisch nach. Bei der Vorbereitung für das Einsetzen von Anwendungs-Whitelisting sollten Sie sich darauf einstellen, dringende Anfragen von Nutzern zu bearbeiten, um die sich ständig ändernde Liste von Programmen und deren Abhängigkeiten zu autorisieren. Wie bei der Anwendungsisolierung ist es schwer, das perfekte Gleichgewicht zu finden zwischen einem verriegeltem System und der Notwendigkeit, Geschäftsanforderungen zu unterstützen.

Bewerten Sie die Auswirkungen auf die Systemleistung

Es reicht nicht aus, dass die Technologie für Endgerätsicherheit signifikante Sicherheitsvorteile anbietet – denn diese müssen auf eine Art und Weise erreicht werden, die die Systemleistung nicht übermäßig belastet. Das gilt besonders für das Tool, dass sie Basis-AV-Funktionalität steigert, welche bereits Ressourcen verbraucht. Bewerten Sie die Auswirkung dieser zusätzlichen Sicherheitsebene in einer Konfiguration, die mit dem von Ihnen beabsichtigten Einsatzplan übereinstimmt. Stellen Sie sicher, dass sowohl moderne als auch ältere Systeme berücksichtigt werden.

Negative Leistungseffekte werden häufig bei Sicherheitstools beobachtet, die sich mit dem Scannen von Dateien und Prozessen beschäftigen, was oft eine CPU- und speicherintensive Aktion ist. Genauso führt die Achitektur mancher Anwendungsisolierungsprodukte zu Leistungseinbußen, verursacht durch eine Netzwerklatenz oder eine lokale Aktivitätsintrospektion. Manchmal bedeutet das Ausrollen eines leistungsintensiven Tools, dass einige seiner Funktionen deaktiviert werden müssen, was die Leistungsstärke der Anwendung für den Schutz des Endgeräts untergräbt.

Fragen zur Betrachtung einer Endpoint Security Solution

Wenn Sie entscheiden, wie sie Ihren Basis Antivirus-Schutz erweitern wollen, berücksichtigen (und beantworten) Sie die folgenden Fragen in Bezug auf die Sicherheitsvorteile und Betriebseigenschaften des Ansatzes:

  • Ist es effektiv gegen Bedrohungen, die Ihre bereits vorhandenen Kontrollen umgehen?
  • Wie verändert sich die Wirksamkeit in Bezug auf sich weiterentwickelnde Bedrohungen?
  • Integriert es sich in Ihre aktuellen Arbeitsabläufe und Tools?
  • Ist es kompatibel mit alten und zukünftigen Systemen?
  • Wie hoch sind die Einbußen der Endgerätleistung?
  • Wie aufwendig ist das erstmalige Einsetzen?
  • Wie umfassend sind die laufenden Wartungsaufgaben?

Die Anti-Evasion-Plattform von Minerva wurde unter Berücksichtigung dieser Fragen entworfen. Somit kann sie drastisch Ihre Fähigkeit verbessern, Angriffe zu blockieren, die andere Sicherheitskontrollen umgehen, und zwar ohne operative Belastungen und ohne Überschneidungen mit bereits vorhandenen Sicherheitsmaßnahmen. Indem verhindert wird, dass Funktionen von Malware missbraucht werden um Sicherheitstools zu vermeiden, wird eine effektive und praktische Möglichkeit geboten, den Grundschutz durch Antivirenprogramme auf Endgeräten zu erweitern. Um dieses Thema zu vertiefen und den Ansatz in Aktion zu sehen, kontaktieren Sie uns bitte.

Sie finden weitere Überlegungen zu den Möglichkeiten, mit denen Unternehmen die von AV-Lösungen hinterlassenen Lücken schließen können, im folgenden, aufgezeichneten Webinar: “Covering the AV Gap: Anti-Evasion and Other Approaches”.