Cyberangriffe: Auch namhafte Antiviren- und Endpunktschutz-Produkte allein schützen nicht zuverlässig

Erst im Mai dieses Jahres musste ein renommierter Sicherheitssoftware-Anbieter eine Reihe von Schwachstellen eingestehen und schließen: Die Angriffe gegen die Endpoint Security Lösung Apex One erlaubten Zugriffsrechte auszuweiten, Code auszuführen oder Zugriff auf Informationen zu bekommen. Zuletzt stellten Sicherheitsforscher auf der Black Hat USA einen Angriff gegen Microsofts Windows Defender vor. Die Man-in-the Middle Attacke ermöglicht das Einspielen manipulierter Updates. Signaturen zur Erkennung von Schädlingen könnten durch die Updates gelöscht oder als nicht schädlich eingestuft werden. So könnte der Schutz von Defender ausgehebelt werden. Microsoft hat die Schwachstelle beseitigt und Aktualisierungen für Defender bereitgestellt.
 
Cyberangriffe, wie Ransomware, sind besonders erfolgreich, wenn weite Teile der Infrastruktur eines Unternehmens kompromittiert werden können. Deshalb suchen Angreifer Möglichkeiten, vorhandene Schutzmaßnahmen zu umgehen. Mit entsprechenden Rechten oder speziellen Passwörtern versuchen sie den Endpunktschutz zu deaktivieren. Fehlt beides, ermöglichen Schwachstellen ein Deaktivieren oder Entfernen der Schutzprogramme. Die Angriffsmöglichkeiten können spezifisch für ein Produkt sein, wie beispielsweise für Crowdstrike Falcon. Doch nutzen Angreifer auch Vorgehensweisen die, durch die Architektur des Betriebssystems bedingt, alle Produkte betreffen. Unter Windows können beispielsweise viele Endpunktschutzprogramme mithilfe verwundbarer Systemtreiber (Bring Your Own Vulnerable Driver) deaktiviert werden. Solche Angriffe können nicht durch die Hersteller der AV- und EDR-Software verhindert werden. Cyberkriminelle gehen effizient und arbeitsteilig vor. Einsatzbereite Werkzeuge zum Deaktivieren aller gängigen Produkte werden für vierstellige Eurobeträge im Internet verkauft.
 
Oft gelingen Angriffe mit geringerem Aufwand. Ist Zugriff auf ein Netz möglich ist, können meist innerhalb weniger Tagen privilegierte Zugriffe ausgespäht werden. Diese erlauben Angreifern die Schutzprogramme wie ein Administrator zu bedienen. Gelingt dies nicht, bleibt Angreifern noch die Erkennung zu verzögern. Die Server zu verschlüsseln, die Ereignisse der angebundenen Clients verarbeiten, ist ein wirksames Mittel, um Auswertungen und Reaktionen zu verzögern.

Wirksamer Schutz vor Cyberangriffen
Abhilfe schafft nur, was für jede Software eine Selbstverständlichkeit sein sollte: Regelmäßiges aktualisieren bzw. überwachen, ob automatische Update auch erfolgreich durchgeführt wurden. Antivirus und Endpunktschutz sind wichtige Schutzmaßnahmen. Doch wissen Angreifer, wie diese umgangen werden können. Sodass nur eine ganzheitliche, gestaffelte Verteidigung kombiniert mit weiteren Detektionsmassnahmen wirksamen Schutz verspricht.
 
Finden Sie heraus, was Baker Tilly für Ihre Cyber Security tun kann ==>