{"id":18749,"date":"2019-03-15T12:06:38","date_gmt":"2019-03-15T10:06:38","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18749"},"modified":"2022-05-05T14:18:02","modified_gmt":"2022-05-05T12:18:02","slug":"adaptive-anomaly-control-kesb","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/adaptive-anomaly-control-kesb\/18749\/","title":{"rendered":"Sch\u00fctzen Sie Workstations ohne exzessives Blockieren von Unternehmensanwendungen"},"content":{"rendered":"

In der Regel greifen Cyberkriminelle Workstations an, indem sie Schwachstellen in h\u00e4ufig verwendeten Programmen oder potenziell gef\u00e4hrliche Features in legitimer Software ausnutzen. Daher kann es auf den ersten Blick sinnvoll erscheinen, die Verwendung derartiger Software einzuschr\u00e4nken. Das unbedachte Blockieren von Software kann jedoch zu schwerwiegenden Gesch\u00e4ftssch\u00e4den f\u00fchren; wie kann eine solche Einschr\u00e4nkung also erm\u00f6glicht werden, ohne dabei wichtige Gesch\u00e4ftsprozesse zu beeintr\u00e4chtigen? Unser Ansatz besteht in der Minimierung potenzieller\u00a0Angriffspunkte<\/a> durch adaptive Anomaliesteuerung unter Verwendung maschineller Lerntechnologien.<\/p>\n

Seit vielen Jahren gilt MS Office in Sachen \u201eAnzahl ausgenutzter Schwachstellen\u201c als f\u00fchrender Platzhirsch. Das hei\u00dft aber nicht, dass die Software an sich schlecht ist. Sicherheitsl\u00fccken gibt es immer und \u00fcberall. Das Problem ist einfach, dass Cyberkriminelle ihren Fokus prim\u00e4r auf Office legen, weil es sich schlichtweg um das meist genutzte Office-Paket handelt. Selbst wenn Ihr Unternehmen bereit ist, Geld f\u00fcr die Umschulung von Mitarbeitern in die Hand zu nehmen, um auf eine Alternativsoftware umzusteigen, wird eine andere Produktivit\u00e4tssuite Office vom Exploit-Thron sto\u00dfen, sobald diese an Popularit\u00e4t gewinnt.<\/p>\n

Einige Produkte bringen Features mit sich, die offensichtlich gef\u00e4hrlich sind. So k\u00f6nnen Makros in Office beispielsweise verwendet werden, um Schadcode auszuf\u00fchren. Ein pauschales Verbot w\u00e4re jedoch mehr als unpraktisch, da Finanzanalysten und Buchhalter diese im Alltagsbetrieb ben\u00f6tigen.<\/p>\n

Die Aufgabe besteht also darin, derartige Programme strikt zu \u00fcberwachen und nur dann einzugreifen, wenn anomale Aktivit\u00e4ten entdeckt werden. Doch an dieser Stelle gibt es ein Problem.<\/p>\n

Wie definiert man \u201eanomal\u201c?<\/h2>\n

Das Wesen cyberkrimineller Aktivit\u00e4ten besteht im Grunde genommen darin, in den Augen von Sicherheitssystemen legitim zu erscheinen. Wie kann ein Cybersicherheitssystem also feststellen, ob eine an einen Mitarbeiter gesendete Nachricht ein wichtiges Dokument mit einem Makro oder einem Trojaner enth\u00e4lt? Hat der Absender eine .js-Datei lediglich zu Arbeitszwecken gesendet oder versteckt sich hinter der Datei vielleicht doch ein Virus?<\/p>\n

Zumindest in der Theorie w\u00e4re es m\u00f6glich, die Arbeit jedes einzelnen Mitarbeiters manuell zu analysieren, um herauszufinden, welche Tools er ben\u00f6tigt und welche nicht, um auf der Grundlage dieser Informationen ein Bedrohungsmodell zu erstellen und bestimmte Programmfunktionen chirurgisch zu blockieren.<\/p>\n

Doch auch an dieser Stelle treten zahlreiche Komplikationen auf. Denn je gr\u00f6\u00dfer das Unternehmen, desto schwieriger ist es, f\u00fcr jeden Mitarbeiter ein spezifisches und vor allem pr\u00e4zises Modell zu erstellen. Dar\u00fcber hinaus erfordert die manuelle Konfiguration selbst in einem kleinen Unternehmen viel Zeit und M\u00fche seitens der Administratoren. Abgesehen davon muss der Prozess sehr wahrscheinlich wiederholt werden, sobald die Infrastruktur oder Tools des Unternehmens ge\u00e4ndert werden.<\/p>\n

Um die geistige Gesundheit von Administratoren und IT-Sicherheitsbeauftragten zu wahren, besteht also die einzige sinnvolle M\u00f6glichkeit darin, die Einschr\u00e4nkungskonfiguration zu automatisieren.<\/p>\n

Adaptive Kontrolle<\/h2>\n

Wir haben den Automatisierungsprozess folgenderma\u00dfen implementiert: Zum einen haben auf maschinellen Lernprinzipien basierende Systeme unsere Bedrohungsdatenbanken durchforstet und Standardmuster f\u00fcr potenziell sch\u00e4dliche Aktivit\u00e4ten erstellt. Anschlie\u00dfend haben wir eine punktgenaue Blockierung dieser Muster auf jeder spezifischen Workstation implementiert.<\/p>\n

Zum anderen haben wir einen automatischen Anpassungsmodus (auch Smart-Modus genannt) erstellt, um die Benutzeraktivit\u00e4t zu analysieren und zu bestimmen, welche Regeln angewendet werden k\u00f6nnen und welche dieser Regeln den normalen Betrieb beeintr\u00e4chtigen k\u00f6nnten\/w\u00fcrden. Das Ganze funktioniert wie folgt: Zun\u00e4chst sammelt das System im Lernmodus f\u00fcr einen bestimmten Zeitraum Statistiken \u00fcber das Ausl\u00f6sen von Steuerungsregeln und erstellt dann ein Modell f\u00fcr den Normalbetrieb des Benutzers oder der Gruppe (legitimes Szenario). Danach wird der Lernmodus deaktiviert und es werden ausschlie\u00dflich die Steuerungsregeln aktiviert, die anormale Aktionen blockieren.<\/p>\n

Sollte das Arbeitsmodell des Benutzers ge\u00e4ndert oder angepasst werden, kann das System wieder in den Lernmodus versetzt und an das neue Szenario angepasst werden. Dar\u00fcber hinaus besteht die M\u00f6glichkeit des Fine-Tunings, um spezifische Ausnahmen hinzuzuf\u00fcgen.<\/p>\n

Nat\u00fcrlich handelt es sich auch hierbei um kein Patentrezept, jedoch k\u00f6nnen m\u00f6gliche Angriffspunkte auf diese Weise erheblich reduziert werden.<\/p>\n

Das AAC-Modul (Adaptive Anomaly Control) ist Teil unserer aktualisierten L\u00f6sung Kaspersky Endpoint Security for Business Advanced<\/a>, die wir k\u00fcrzlich vorgestellt haben. Mit einem Klick auf das Banner unten, k\u00f6nnen Sie eine kostenlose Testversion der Sicherheitsl\u00f6sung herunterladen.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Um Angriffspunkte zu reduzieren, k\u00f6nnen verwundbare Softwarefunktionen blockiert werden. Wie das Ganze ohne die Beeintr\u00e4chtigung von Gesch\u00e4ftsprozessen funktioniert, erfahren Sie hier.<\/p>\n","protected":false},"author":2706,"featured_media":18751,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[3246,1844,2954,2360,1498],"class_list":{"0":"post-18749","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-anomaly-control","10":"tag-endpoint","11":"tag-endpunkt","12":"tag-maschinelles-lernen","13":"tag-schwachstellen"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/adaptive-anomaly-control-kesb\/18749\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/adaptive-anomaly-control-kesb\/15553\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/13097\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/17474\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/adaptive-anomaly-control-kesb\/15622\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/14195\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/adaptive-anomaly-control-kesb\/18025\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/adaptive-anomaly-control-kesb\/17038\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/adaptive-anomaly-control-kesb\/22425\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/adaptive-anomaly-control-kesb\/5840\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/25966\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/adaptive-anomaly-control-kesb\/11520\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/adaptive-anomaly-control-kesb\/11661\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/adaptive-anomaly-control-kesb\/10472\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/adaptive-anomaly-control-kesb\/22796\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/adaptive-anomaly-control-kesb\/18122\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/adaptive-anomaly-control-kesb\/22405\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/adaptive-anomaly-control-kesb\/22341\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/endpunkt\/","name":"Endpunkt"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18749","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=18749"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18749\/revisions"}],"predecessor-version":[{"id":20886,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18749\/revisions\/20886"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/18751"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=18749"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=18749"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=18749"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}