Effektiver Schutz vor Ransomware und Datenverlust

Das Konfigurieren einer temporären Freischaltung Ihres lokalen Rechners für manuelle Software-Installationen entlastet ihr IT-Fachpersonal. IT-Abteilungen haben die Möglichkeit, Verantwortung an die Mitarbeitenden abzugeben und müssen nicht bei jeder Softwareinstallation hinzugezogen werden. Mitarbeitende können mit entsprechender Berechtigung Software installieren, ohne auf die Bestätigung durch das IT-Team warten zu müssen. Die IT-Verantwortlichen überprüfen anschließend an zentraler Stelle, welche Anwendungen durch Selbstfreigaben installiert und gestartet wurden.

Sie verhindern, dass Ihr Browser PowerShell startet und so womöglich Schadsoftware auf den Computer gelangt. Dazu erstellen Sie mit DriveLock eine Regel, die verbietet, dass ihr Browser oder ein von ihm gestarteter Prozess PowerShell ausführt.

Der Missbrauch untergeordneter Prozesse ist eine gängige Malware-Strategie. Malware, die Microsoft Office-Dokumente als Vektor missbraucht, nutzt häufig VBA-Makros und Exploit-Code, um zusätzliche Nutzlasten herunterzuladen und auszuführen. Diese Line-of-Business-Anwendungen können jedoch auch untergeordnete Prozesse für harmlose und notwendige Zwecke starten, wie z.B. das Auslösen einer Eingabeaufforderung oder die Verwendung von PowerShell zur Konfiguration von Registrierungseinstellungen.

Innerhalb der DriveLock Application Control erstellen sie unter Application Behavior Control eine Anwendungsregel.

Sie legen fest, dass Dynamic Link Libraries (DLLs) nur aus bestimmten Verzeichnissen geladen werden dürfen. Sie wollen dadurch verhindern, dass der Windows Media Player weitere DLLs von Netzlaufwerken lädt. 
Mit DriveLock erstellen sie einfach eine Regel dafür.

Sie unterbinden, dass ihr Browser VB-Skripte (*.vbs) ausführt. Das Einschränken der Ausführung von Skripten ermöglicht Unternehmen ein hohes Maß an Sicherheit. DriveLock bietet Ihnen hierfür einen ganzheitlichen Ansatz und volle Konfigurierbarkeit. Sie können die Ausführung von Skriptdateien anhand

•    eines Hashwertes,
•    einer digitalen Signatur,
•    eines Pfades oder
•    eines Dateieigentümers erlauben.

Die Skripte und deren Interpreter können jederzeit erweitert werden. Sie konfigurieren mit DriveLock beispielweise das Whitelisting von .BAT-Dateien. Dies kann nach Belieben mit .CMD-Dateien erweitert werden. Die Vorgehensweise ist für jede Art von Datei, die von einer Anwendung interpretiert wird, wie z. B. PS1, VBS, JS, HTA, JAR usw. gleich.

Sie stellen sicher, dass nur Ihre eigene Bankensoftware Dateien innerhalb eines bestimmten Verzeichnis lesen kann. Für andere Anwendung verbieten Sie den Lesezugriff auf diesen Ordner, denn es wäre möglich, dass Malware über eine Sicherheitslücke im Browser aus diesem Verzeichnis Ihre Bankdaten ausliest. 

Konfigurieren Sie dazu eine entsprechende Regel mit DriveLock.

Sie legen fest, dass ein bestimmter Browser (Google Crome, Mozilla Firefox) nicht in den Ordner "Dokumente" schreiben darf. Da Sie dies für alle Benutzer und nicht nur für einige Benutzer festlegen, arbeiten Sie hier bei der Regelerstellung mit sog. Platzhaltern.

Sie möchten den Registry-Zugriff für Ihre Bankensoftware aus Anwendungsfall 5 steuern. Kein Problem: Mit DriveLock erstellen Sie zwei Anwendungsberechtigungen, damit nur die Banksoftware.exe die Registry im angegebenen Bereich lesend zugreifen darf. (Bsp.: HKEY_CURRENT_USER\SOFTWARE\Bank Software\)

DriveLock bietet Regeln, die auf dem MITRE ATT&CK™-Framework basieren. Dieses Framework ist eine weltweit zugängliche Wissensbasis für Taktiken und Techniken. Die ATT&CK-Wissensbasis dient als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung sowie in der Cybersecurity Produkt- und Service-Community. 

Sie können diese vordefinierten Regeln einmalig in ihr Regelwerk importieren. Der Zweck dieser Regeln besteht nicht darin, Aktionen zu blockieren oder zu erlauben, sondern einfach bestimmte Ereignisse auf dem jeweiligen Computer zu melden, die dann von den Ereignisfiltern und Alarmen verarbeitet werden.

Um die Verwendung von externen Laufwerke zu genehmigen, verwenden Sie entweder Regeln für bestimmte Hersteller-/Produkt-IDs oder Regeln für eine sogenannte Laufwerksammlung (Drive Collection).

Mit einer Hersteller-/Produkt-ID-Regel können Sie z.B. Folgendes zulassen:
•    Nur Laufwerke eines bestimmten Herstellers
•    Ein bestimmtes Produkt eines bestimmten Herstellers
•    Ein Laufwerk mit einer spezifischen Hersteller-ID, Produkt-ID und Seriennummer
•    Mehrere Laufwerke mit der gleichen Hersteller-ID und Produkt-ID, aber unterschiedlichen Seriennummern

Eine Drive Collection-Regel ist die Genehmigung einer Zusammenstellung von externen Laufwerken mit bestimmten Hersteller-IDs, Produkt-IDs und Seriennummern. 

Sie geben über die zentrale Richtlinie für externe USB-Laufwerke die Verwendung von USB-Geräten grundsätzlich frei, aktivieren jedoch zusätzlich noch den in Device Control integrierten Dateifilter. Dort legen sie fest, dass nur Dateien von dem externen Medium gelesen werden dürfen und verhindern somit, dass Daten auf dieses Medium gelangen.

Weiter stellen sie den Dateifilter so ein, dass er jede Datei prüft und nur von ihnen zugelassene Dateiformate durchlässt, in diesem Fall nur JPEG- oder PNG-Dateien.
Sie erleichtert die Verwaltung und Zulassung neuer Laufwerke, indem sie diese nur der vorhandenen Collection hinzufügen müssen.

Ein Beispiel für die portbasierte Steuerung ist die Steuerung von Bluetooth-Geräten. Sie können z.B. einen Logitech Spotlight Bluetooth-Präsentationsstick auf die Whitelist setzen.

Mit DriveLock sind detaillierte Einstellungen für die Verbindung von Geräten über Bluetooth möglich. So lassen sich zum Beispiel Kopplungen mit neuen Geräten vollständig unterbinden oder auf gewünschte Bluetooth-Dienste wie zum Beispiel Audio-Streaming oder Dienste, die für HID-Geräte wie Stifte und Tastaturen benötigt werden, einschränken. Die Synchronisation von Kontaktdaten oder die Übertragung von Dateien kann somit wirksam unterbunden werden.

Aktivieren Sie zusätzlich den Lernmodus Predictive Whitelisting, um alle Geräte dieses Typs automatisch auf die Whitelist setzen zu lassen, wenn er eingebaut oder angeschlossen ist, sobald der Client-Computer neu gestartet wird. Dadurch werden die integrierten Bluetooth-Controller für diesen Client-Computer ohne manuellen Eingriff zugelassen.

Stellen Sie sich vor, Sie würden ein scheinbar harmloses USB-Laufwerk an den Computer einstecken und damit im Hintergrund eine Schadsoftware installieren, die Dokumente kopiert, Passwörter stiehlt oder andere Angriffe durchführt. All dies lässt sich mit zuvor gelernten Tasteneingaben bewerkstelligen. Wenn Sie direkt vor diesem Computer sitzen, über ein fotografisches Gedächtnis verfügen und einige ausgeklügelte Skripte bzw. Tools haben, bräuchten Sie nur wenige Minuten. Ein Bad-USB Gerät kann genau das, in Sekunden. Es gibt sich einfach als Tastatur aus und injiziert Tastatureingaben, als ob ein Benutzer auf der Tastatur tippen würde. So werden Befehle automatisch ausgeführt und Programme gestartet, die den eigentlichen Angriff durchführen.

DriveLock Device Control kontrolliert diese sog. Human Interface Devices (HIDs) durch Geräte-Whitelisting. Es erlaubt den Zugriff auf neu angeschlossene HIDs nur dann, wenn der Benutzer eine angezeigte Nutzungsrichtlinie akzeptiert, nachdem er sich mit seinem Domänenpasswort authentifiziert hat.

Zusammen mit der Application Control bietet DriveLock so einen effektiven Schutz vor diesen heimlichen Angriffen.

Zusätzlich zur Device Control bietet DriveLock eine zuverlässige Verschlüsselung externer Laufwerke. Mit Encryption 2-Go haben Sie die Wahl, Ihre Daten auf Wechseldatenträgern entweder mit einer Container-Verschlüsselung oder mit einer ordnerbasierten Verschlüsselung zu schützen. Optional können sie dafür auch die in Windows integrierte Datenverschlüsselung BitLocker To Go verwenden.

Damit stellen Sie sicher, dass Ihre vertrauenswürdigen Daten auch dann geschützt sind, wenn sie über mobile Speichermedien wie USB-Laufwerke das Unternehmen verlassen. Gleichzeitig erfüllen Sie die gesetzlichen Anforderungen zum Schutz der Vertraulichkeit und Integrität ihrer Daten.

Encryption 2-Go bietet ein vollwertiges Verschlüsselungsmanagement-Tool für externe Medien:
•    Verschlüsselung von Dateien auf externen Speichermedien (USB-Sticks und externe Festplatten)
•    Erzwungene Verschlüsselung gemäß Unternehmensrichtlinien
•    Konfigurierbare Benutzerauswahldialoge beim Einstecken von externen Laufwerken

Wird eine neue Applikation gestartet, überprüft DriveLock, ob es sich um eine sichere Anwendung handelt, zeigt bei Bedarf eine kurze Security-Kampagne zum Thema „Umgang mit neuen Anwendungen“ an und gibt so wichtige Sicherheitshinweise.

Um alle 14 Tage bei jedem Outlook-Start einer Person eine bestimmte Security-Awareness-Kampagne anzuzeigen, erstellen sie eine Dateieigenschaftsregel und fügen dort die Ausführung der Kampagne hinzu.

Alle E-Learning Plattformen haben ein Problem gemeinsam: Eine Benutzerin oder ein Benutzer muss selbst tätig werden und über die Plattform den dort angebotenen Inhalt abrufen. Das geschieht oft nur nach wiederholter Aufforderung bzw. nach Androhung von erzieherischen Maßnahmen.

Mit DriveLock lösen sie dieses Problem auf einfache Weise. Optisch ansprechende und didaktisch aufbereitete Multimedia-Kampagnen werden kurz nach dem Login automatisch gestartet und in einem eigenen Fenster angezeigt. 

Dabei stehen unterschiedliche Formate in verschiedene Längen zur Verfügung – vom kurzen Micro-Learning bis hin zu ausführlichen Trainings und dazu passenden Tests.

Das DriveLock Operations Center bietet eine zentrale Auswertung und Konfiguration dieser Security Awareness Trainings und sie erhalten einen schnellen Überblick über die durchgeführten Schulungen.