Nachholbedarf

Endpunktsicherheit im Gesundheitswesen

| Redakteur: Ira Zahorsky

Nicht nur das Krankenhaus-Personal sollte sich vor Infektionen schützen, auch die Endgeräte müssen abgesichert werden
Nicht nur das Krankenhaus-Personal sollte sich vor Infektionen schützen, auch die Endgeräte müssen abgesichert werden (Bild: Sherry Young-Fotolia.com)

Im Gesundheitswesen wurden bislang Antiviren-Lösungen auf Endpunktgeräten eingesetzt. Die kriminellen Akteure nutzen heutzutage oft Malware und Software-Exploits in Kombination, um Systeme zu infizieren. Deshalb empfehlen sich Endpunktschutz-Lösungen, die auf Prävention ausgelegt sind.

Idealerweise basieren solche Lösungen, die einen präventiven Ansatz unterstützen, auf mehreren Verfahren. Eine Kombination hocheffektiver Methoden zum Schutz der Endpunkte vor bekannten und unbekannten Bedrohungen sein empfehlenswert.

Techniken zum Schutz vor Malware

1. Statische Analyse durch maschinelles Lernen: Diese Methode beurteilt jede unbekannte ausführbare Datei, bevor diese ausgeführt werden darf. Durch die Untersuchung Hunderter von Eigenschaften im Bruchteil einer Sekunde bestimmt diese Methode, ob die Datei bösartig oder gutartig ist, ohne Abhängigkeit von Signaturen, Scannen oder Verhaltensanalyse. Ärzte arbeiten zunehmend abseits und getrennt vom Krankenhausnetzwerk. Diese neue Methode der Analyse ist daher besonders effektiv in Healthcare-Umgebungen, da Offline-Geräte nicht die Präventionsmethoden unterstützen, die durch die Bedrohungsanalyse-Cloud Wildfire bereitgestellt werden.

2. Quarantäne von schädlichen exe-Dateien: Früher haben Endpunktschutzlösungen bösartige Prozesse kurzerhand eliminiert. Neue Technologien sind in der Lage, bösartige ausführbare Dateien in Quarantäne zu verwahren, um Versuche einer weiteren Ausbreitung oder Ausführung infizierter Dateien zu stoppen.

3. Inspektion und Analyse in der Cloud: Intelligente Lösungen arbeiten zusammen mit Bedrohungsanalyse-Clouds, um zu bestimmen, ob eine ausführbare Datei bösartig ist. Solch eine Cloud kann die Gefahr einer unbekannten Bedrohung beseitigen, indem diese in etwa fünf Minuten in eine bekannte Bedrohung verwandelt wird. Die automatische Neuprogrammierung der Endpunktschutzlösung und die Umwandlung von Bedrohungsanalyse in Prävention macht es für einen Angreifer unmöglich, nicht bekannte und fortschrittliche Malware zu verwenden, um ein System zu infizieren.

4. Trusted-Publisher-Identifizierung: Diese Methode ermöglicht es, „unbekannte gutartige“ Dateien, die als seriöse Softwarehersteller eingestuft worden sind, zu identifizieren. Diese ausführbaren Dateien werden erlaubt, ohne unnötige Analyse, sodass sie ohne Verzögerung oder Auswirkungen für den Benutzer verfügbar sind. Krankenhäuser haben oft eine Reihe von selbstsignierten Anwendungen in ihrer Umgebung im Einsatz. Jetzt können sie alle nicht-signierten Anwendungen mittels Wildfire und lokaler Analyse überprüfen.

5. Regelbasierte Einschränkung der Ausführung: Einrichtungen im Gesundheitswesen können auf einfache Weise Richtlinien definieren, um bestimmte Ausführungsszenarien zu beschränken, wodurch die Angriffsfläche jeder Umgebung reduziert wird. Ein Beispiel wäre, zu verhindern, dass eine bestimmte Datei direkt von einem USB-Laufwerk ausgeführt wird.

6. Administrator-Richtlinien: Ebenso lassen sich Richtlinien definieren, basierend auf dem Hash einer ausführbaren Datei, um zu kontrollieren, was in einer Umgebung ausgeführt werden darf oder nicht.

Ansätze zur Prävention gegen Exploits

1. Prävention gegen Speicherbeschädigung/-manipulation: Speicherbeschädigung ist eine Kategorie von Exploit-Techniken, bei denen der Exploit die Speicherverwaltungsmechanismen des Betriebssystems manipuliert, damit die Anwendung eine „bewaffnete“ Datendatei öffnet, die den Exploit enthält. Diese Präventionsmethode erkennt und stoppt diese Exploit-Techniken, bevor sie eine Chance haben, die Anwendung zu unterminieren.

2. Logic-Flaw-Prävention: Logic Flaw ist eine Kategorie von Exploit-Techniken, die dem Exploit ermöglicht, im Betriebssystem die normalen Prozesse zu manipulieren, die verwendet werden, damit die Zielanwendung die bewaffnete Datendatei öffnet und ausführt. Zum Beispiel kann der Exploit die Position verändern, wo Dynamic Link Libraries (DLLs) geladen werden, sodass legitime durch schädliche DLLs ersetzt werden können. Diese Präventionsmethode erkennt diese Exploit-Techniken und stoppt sie, bevor sie erfolgreich eingesetzt werden.

3. Prävention gegen Ausführung von bösartigem Code: In den meisten Fällen ist das Endziel eines Exploits, irgendeinen Code auszuführen, also die Befehle des Angreifers, die in der Exploit-Datendatei eingebettet sind. Diese Präventionsmethode erkennt die Exploit-Techniken, die es dem Angreifer ermöglichen, Schadcode auszuführen und blockiert sie rechtzeitig.

Vorteile von intelligenten Lösungen für Healthcare-Umgebungen

  • Sie mindern Risiken, die aus EoL-Betriebssystemen (End of Life) hervorgehen: Obwohl es in vielen Krankenhäusern Anstrengungen gibt, um End-of-Life-Betriebssysteme (Windows XP und Server 2003) auf Workstations zu aktualisieren oder zu ersetzen, sind diese oft noch im Einsatz. Bestimmte Anwendungen können nur auf den alten Systemen betrieben werden. Eine moderne Lösung kann hier installiert werden, um die Altsysteme vor Exploits sowie bekannten und unbekannten Sicherheitslücken zu schützen.
  • Sie mindern Risiken, die durch verspätetes Patch-Management entstehen: Das Software-Patch-Management von Endpunkten ist eine ständige Herausforderung für Kliniken. Mit monatlichen Patches für Adobe Acrobat, Flash und Microsoft Schritt zu halten, ist eine sehr komplizierte Aufgabe und viele IT-Teams kommen nicht hinterher. Obwohl auf das monatliche Patchen nicht verzichtet werden sollte, bietet eine intelligente Endpunkt-Lösung Schutz vor der Ausnutzung von bekannten und unbekannten Sicherheitslücken für den Fall, dass Kliniken mit dem Patchen im Rückstand liegen.
  • Die Endpunkt-Lösung kann als Kompensation akzeptiert werden: Viele Qualitätsmanager akzeptieren eine gute Endpunkt-Schutzlösung als kompensierende Kontrollmaßnahme für ungepatchte Systeme. Verantwortliche sollten sich in ihrem Haus darüber informieren.

„Die spektakulären, erfolgreichen Ransomware-Attacken auf Krankenhäuser sollten die Branche wachrütteln. Es geht dabei nicht nur um Angriffe auf klassische Endpunkte wie Tablets und Notebooks, sondern auch vermehrt um Angriffe auf Geräte, die mit Internet of Things beschrieben werden“, so Josip Benkovic, Director Public Sector bei Palo Alto Networks. „Die Angreifer agierend zunehmend clever und flexibel, und dies muss auch die Prämisse für die Endpunktschutz-Lösungen sein.“

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44259542 / Sicherheit/Datenschutz)