Endpunktbedrohungen (Endpoint-Delivered Threats)

Wie funktioniert das?

An Endpunkte abgezielte Angriffe gelangen in der Regel wie folgt in eine Organisation:

  • ein benutzerinfiziertes Gerät, das Malware enthält, die sich lateral ausbreiten kann, wurde in das Unternehmensnetzwerk eingebracht
  • über ein infiziertes portables Gerät
  • durch Benutzer, die verleitet werden, schädliche Software herunterzuladen und zu installieren, unter der Vorgabe, dass es sich dabei um Virenschutzprogramme, Datenträgerbereinigungs- oder andere Dienstprogramm-Software handelt

Angreifer können Strategien wie das Zurücklassen eines infizierten USB-Datenträgers auf dem Parkplatz des Unternehmens anwenden, in der Hoffnung, dass ein Mitarbeiter diesen mitnehmen und an ein vernetztes System anschließen wird. Die Verwirklichung eines solchen Angriffs ist teuer und für den Angreifer mit hohen Risiken verbunden, besonders wenn dies aus der Ferne gemacht wird und ein geschulter Agent vor Ort am Angriff mitwirkt.

Der Schutz von Endpunkten wird wesentlich schwieriger, da Benutzer ihre eigenen Geräte an das Unternehmensnetzwerk anschließen und immer mehr Mitarbeiter Telearbeit verrichten. Eine Organisation muss akzeptieren, dass nicht aller Verkehr auf dem Gerät des Benutzers unternehmensinterne Sicherheitskontrollen durchlaufen wird und dass die Organisation in vielen Fällen nicht die Gerätekontrolle hat, um eine spezielle Endpunkt-Sicherheitslösung durchzusetzen.

Opportunistische Angreifer und Angreifer, die gezielte Angriffe auf Organisationen durchführen, neigen zur Verwendung von Social Engineering E-Mails, die an E-Mail-Unternehmenskonten geschickt werden, um Benutzerendpunkte zu infizieren.

Diese Strategie ist einfach umzusetzen und kosteneffektiv, da die Angreifer den Angriff ferngesteuert ausführen können und Angriffe auf mehrere Benutzer und zu mehreren verschiedenen Zeitpunkten möglich sind.  

Im Bericht „2013 Verizon Data Breach Investigations“ wird erläutert, dass die Ausführung einer Kampagne mit nur drei gezielten Phishing-E-Mails dem Angreifer eine Chance von mehr als 50 % gibt, mindestens einen Benutzer zum Klicken zu verleiten, und dadurch seinen Computer zu infizieren; zehn gezielte Phishing-E-Mails nahezu garantieren, dass mindestens ein Benutzer klickt und sein Gerät infiziert wird.  

Nach der Infizierung kann der Endpunkt gewaltige Datenmengen einer Organisation sowie die Anmeldeinformationen liefern, die der Schlüssel zu kritischen Systemen und Daten sind. Das Risiko des Auffliegens nimmt zu, wenn der infizierte Endpunkt mit dem Netzwerk verbunden wird und dem Angreifer die laterale Ausbreitung durch die vernetzten Endpunkte der Organisation ermöglicht wird.

Die beste Verteidigung ist ein geschichteter Sicherheitsansatz, der klassenbeste Sicherheitslösungen am Endpunkt zur Prüfung von schädlichen Verhaltensweisen, Signatur-Abstimmung und anderen Lösungen umfasst, die den Verkehr von und zu dem Gerät untersuchen. Außerdem ist die Erkennung und der Schutz vor Angriffen, die per E-Mail verbreitet werden, frühzeitig im Lebenszyklus eines Angriffs eine primäre Strategie zum Abwehren eines großen Volumens an Angriffen auf Endpunkte in Organisationen.