Black Kite berichtet, dass 53 % aller Unternehmen im Jahr 2021 von Ransomware-Angriffen betroffen waren und dass diese Zahl für das Jahr 2022 voraussichtlich auf 69 % ansteigen wird. Es gibt also keinerlei Anzeichen für eine Reduzierung von Cyberangriffen. Daher ist es wichtig, dass Unternehmen die notwendigen Sicherheitsvorkehrungen treffen. Eine der besten Möglichkeiten, Ihre IT-Umgebung zu schützen, ist ein Prozess für den Endpunktschutz.
Was ist Endpunktschutz?
Endpunktschutz umfasst das Härten und die Sicherung Ihrer Endpunkte zum Schutz vor bösartigen Angriffen. Es handelt sich dabei um einen Cybersicherheitsansatz, der darauf abzielt, ein System zu schützen, indem seine Angriffsfläche reduziert wird.
Beispiele für Endpunkte
Endpunkte sind Remote-Geräte, die für die Computerarbeit verwendet werden. Beispiele sind: Desktops, Laptops, Server, Tablets, Smartphones, Workstations und Geräte am Internet-of-Things (IoT).
Was ist der Unterschied zwischen Endpunktschutz und Antivirus-Software?
Endpunktschutz umfasst alle Prozesse, Tools und Konfigurationen, die Sie zum Schutz eines Endpunkts vor Bedrohungen einsetzen. Er ist somit viel umfassender als Antivirusprogramme, die lediglich ein bestimmtes Tool in Ihrem Endpunkt-Schutzpaket darstellen. Beim Endpunktschutz wird Antivirus in Verbindung mit EDR, Hardening-Konfigurationen für Endpunkte, DNS-Filtering, Firewalls, Netzwerksicherheit und Sicherheitsschulungen für Endbenutzer:innen eingesetzt.
Warum Endpunktschutz so wichtig ist
In der IT-Umgebung Ihres Unternehmens gibt es drei Hauptangriffspunkte auf ein System. Diese potenziellen Einstiegspunkte sind Menschen, Netzwerke und Endpunkte.
Bedrohungsakteure können versuchen, Menschen durch Strategien wie Phishing dazu zu bringen, ihnen ihre Anmeldedaten zu geben. Auch eine Schwachstelle in Ihrem Netzwerk kann es jemandem ermöglichen, in Ihre Systeme einzudringen und sie anzugreifen. Beim Thema Endpunkte können Sie letztlich nichts mehr mit ihrem System tun, wenn Sie nicht in ein Gerät gelangen können. Deshalb sind Endpunkte ein wichtiger Angriffspunkt für den Zugriff auf IT-Systeme.
Jeder einzelne Endpunkt in Ihrem Unternehmen ist ein potenzielles Einfallstor in Ihre IT-Umgebung, das für eine Cyberbedrohung oder einen Cyberangriff ausgenutzt werden kann. Daher sollte das Hardening von Endpunkten eines der wichtigsten Anliegen Ihres Unternehmens im Bereich Cybersicherheit sein.
Wie funktioniert der Endpunktschutz?
1) Praxisrelevante Informationen sammeln
Um Ihre Endpunkte effektiv vor aktuellen Bedrohungen zu schützen, müssen Sie wissen, um welche Bedrohungen es sich handelt. Suchen Sie nach zuverlässigen Quellen, die Sie mit den neuesten Informationen über Bedrohungen und deren Bekämpfung versorgen können. Hier sind einige Ideen für den Anfang:
Vertrauenswürdige Sicherheitsressourcen und Bedrohungs-Feeds
- InfoSec Twitter (Ihr Ausgangspunkt)
- Nachrichten-Feeds von CVE, RSS und US-Behörden
- Feeds seriöser Sicherheitsanbieter
Communities mit Branchenkollegen
- MSP:
- Interne IT-Abteilungen / Unternehmens-IT:
- Rund um das Thema Sicherheit:
2) Hardening-Prozess aktualisieren
Mit den Informationen, die Sie aus diesen Quellen gewinnen, sind Sie bereit, sie in Ihrer IT-Umgebung umzusetzen. Um eine erfolgreiche Implementierung zu gewährleisten, sollten Sie über einen etablierten Hardening-Prozess verfügen. Dazu gehören die folgenden wesentlichen Schritte zur Abschwächung von Bedrohungen und zum Hardening von Geräten:
- Identifizieren Sie das Risiko
- Ermitteln Sie die Wahrscheinlichkeit und die Auswirkungen eines Risikos
- Entwickeln Sie die Konfiguration zur Behebung oder Minderung des Risikos
- Testen und verifizieren Sie die Abhilfemaßnahmen
- Implementieren Sie die Abhilfemaßnahmen schrittweise mit einem Backout-Plan
- Dokumentieren Sie die Änderung und protokollieren Sie die Ausnahmen
- Überwachen Sie die Eindämmung der Schwachstelle mit Ihrem RMM
3) Gefährdungen durch überholte Altsysteme minimieren
Leider gibt es viele ältere Technologien, die mit Schwachstellen behaftet sind. Sie sollten diese Schwachstellen mit geeigneten Maßnahmen entschärfen. Hier ist eine Liste der wichtigsten Schwachstellen von Legacy-Technologien:
- Server Message Block v1: Verwenden Sie SMB1 nicht mehr
- PowerShell 2.0: Deaktivieren Sie Windows PowerShell 2.0
- TLS 1.0/1/1 und SSL (alle Versionen): Behebung des TLS 1.0-Problems
- LanMan (LM) und NTLMv1: Einstellungen der LanMan-Authentifizierungsebene
- Digest-Authentifizierung: WDigest-Authentification muss deaktiviert werden
- Patching: aktualisieren Sie und wenden Sie Patches als Teil des Schwachstellen-Managements an, indem Sie Cloud-basiertes Patch-Management verwenden
4) Endpunkte Ihres Unternehmens sichern
Hardening Ihres Betriebssystems
Im Mittelpunkt einer modernen Sicherheitsstrategie sollte zunächst die Konfiguration Ihres Betriebssystems und dessen Absicherung gegen Bedrohungen stehen. Der Aufbau von Schutzmaßnahmen auf dieser Ebene ermöglicht es Ihnen, den Rest Ihrer Sicherheitsbemühungen auf ein solides und zeitgemäßes Fundament zu stellen. In den folgenden Quellen erfahren Sie, wie Sie dies effektiv tun können:
- ASR/Anti-Exploit-Regeln
- Abwehr von Werkzeugen und Techniken zur Seitwärtsbewegung in der Netzwerkumgebung (Lateral Movement Prevention)
- Native Funktionen
- Reputationsbasierter Schutz
- SmartScreen für Microsoft Edge
- Blockieren potenziell unerwünschter Anwendungen
- SmartScreen für Apps aus dem Microsoft Store
- Secure Boot
- Protokollierung
- Löschen unnötiger Anwendungen und Features
Netzwerk-Hardening
Nachdem Sie sich nun um die Absicherung des lokalen Betriebssystems gekümmert haben, können Sie Ihre Aufmerksamkeit dem Netzwerk und den Diensten zuwenden, die mit dem Internet verbunden und dementsprechend exponiert sind. Dieses weite Feld reicht von der Konfiguration des lokalen Netzwerks bis zur Reduktion des zulässigen eingehenden Datenverkehrs.
- Deaktivierung von RDP oder Hardening von RDP
- DNS-Multicast deaktivieren
- NetBios deaktivieren
- SmartNameResolution deaktivieren
- Firewall konfigurieren
Sicherheitsmaßnahmen zum Schutz von Benutzerkonten
Die Reduzierung der Angriffsfläche durch lokale Konten, Services und Passwort-Management-Systeme, stellt eine frustrierende Hürde für potenzielle Angreifer dar und verhindert ein schnelles Hochstufen von Zugriffsrechten. Im Falle eines Angriffes könnten Sie durch diese Maßnahmen vorgewarnt werden und darüber hinaus verlängert sich die Zeitspanne, die Angreifer benötigen, um Ihre Defensivmaßnahmen zu umgehen. Das kann ausreichen, um ein erfolgreiches Eindringen zu verhindern.
- Lokale Administratorrechte entfernen
- Den Schutz von lokalen Administratorkonten verbessern
- Zugriffsrechte von Benutzerkonten beschränken
- Die Sicherheitsgruppe geschützter Benutzer verwenden (Protected Users Group für in Active Directory eingebundene Geräte)
- Die Anmeldedaten der Domain mit Credential Guard schützen
Anwendungshardening
Angreifer versuchen oft, einige der gängigsten Geschäftsanwendungen und Einstellungen auszunutzen, auf deren Komfort sich Unternehmen gerne verlassen. Diese Elemente sind weit verbreitet und auf Endpunkten installiert. Ohne weitere Konfiguration können sie leicht zu Gelegenheitsangriffen führen.
- Office-Paket
- Adobe Reader
- In Prozessen denken
- Eine Anwendung auswählen
- Bedürfnisse und Risiken evaluieren
- Mit wichtigen Ansprechpartnern zusammenarbeiten, um ein gutes Gleichgewicht zwischen Risiko und Benutzerfreundlichkeit zu gewährleisten
- Hardening-Techniken für dieses spezielle Programm recherchieren
- Das Risiko und die Gefährdung durch umfassendere Konfigurationen abschwächen
Browser-Hardening
Webbrowser gehören erfahrungsgemäß eher zu den Elementen im Technologie-Stack, die leicht übersehen werden. Ihre Konfiguration ist jedoch äußerst relevant, bedenkt man, dass Browser zu den weitverbreitetsten Programmen überhaupt gehören. Das Sperren und Durchsetzen einiger grundlegender Sicherheitsfunktionen kann dazu beitragen, diesen kritischen Zugangspunkt gegen ungewollte Eindringlinge abzusichern.
- Smartscreen Phishing Filter und Advanced Protection
- Sandboxing von Prozessen
- Die meisten Browser isolieren heute diejenigen Prozesse, welche die Grundlagen bilden, die uns alle in die Lage versetzen, durch das Internet zu surfen. Application Guard lässt sich auf andere Browser erweitern, was eine von der Hardware isolierte Browser-Sitzung für problematische Internetseiten ermöglicht.
- Edge
- Andere Browser
- Installierte Erweiterungen steuern
Beginnen Sie mit der Erhöhung Ihres Endpunktschutzes
Endpunktschutz ist ein wesentlicher Bestandteil einer sicheren und funktionierenden IT-Umgebung. Endpunktschutz ist ein wesentlicher Bestandteil einer effektiven Cybersicherheit. Wenn die Geräte Ihres Unternehmens gehärtet und gegen Bedrohungsakteure und böswillige Angriffe geschützt sind, verhindert dies eine Kaskade möglicher negativer Auswirkungen. Außerdem ist es viel einfacher, die richtigen Schutz- und Vorsichtsmaßnahmen vor einem Angriff zu ergreifen, als zu versuchen, die Daten im Nachhinein zu retten.
Die automatisierte Endpunkt-Management-Software von NinjaOne erfüllt die grundlegenden Anforderungen an den Endpunktschutz. Mit unseren Tools erhalten Sie einen besseren Einblick in ein Gerät, können Konfigurationen zum Hardening von Endpunkten bereitstellen, Patches verwalten und verteilen und vieles mehr. Entdecken Sie, wie Ninja die Sicherheit Ihrer Endpunkte erhöhen kann, indem Sie sich noch heute für eine kostenlose Testversion anmelden.
