Dass der präventive Ansatz der Isolation als Schutz vor bekannter und insbesondere unbekannter Malware gegenüber der reinen Erkennung einige Vorteile bietet, hat sich in der Cybersecurity-Community bereits etabliert. Mittlerweile gibt es nun auch mehrere Produkte am Markt, welche Isolation zuverlässig umsetzen – jedoch mit unterschiedlichen Lösungsansätzen.

Einerseits gibt es ein Endpoint Security Produkt (Hint: Name klingt wie ein chemisches Element), welches E-Mail Attachments, Webseiten und Dateien von unsicheren Quellen auf dem PC in einer abgesicherten Umgebung (Micro-VM) ausführt.

Andererseits haben sich in den letzten Jahren mehrere Lösungen etabliert, welche auf dem Proxy, d.h. dem Web-Gateway Webinhalte in einer isolierten Umgebung ausführen und nur gerenderte Bilddaten zur Anzeige an den Browser des Benutzers senden.

Beide Ansätze haben Ihre Stärken und Schwächen und es gilt, im konkreten Kontext verschiedene Dimensionen zu betrachten, um die optimale Lösung zu evaluieren:

  • Scope:
    Gateway-Isolation schützt nur vor maliziösen Webinhalten (auch Links aus E-Mails),
    jedoch nicht vor Malware in E-Mail Anhängen oder auf USB-Sticks.
  • Usability:
    Beide Lösungsansätze bieten generell mittlerweile sehr hohe Usability und ermöglichen in der Regel normale Workflow- und Editierfähigkeiten. Der Teufel liegt jedoch im Detail, d.h. testen Sie ihre spezifischen Use Cases unbedingt in einem POC. Beispielsweise werden die Anzeige von aktivem Web-Content oder das Handling von Remote-Files je nach Lösung unterschiedlich implementiert.
  • Kompatibilität:
    unterstützter Devices, OS-Plattformen, Browser und auch Datei-Typen bestehen Unterschiede.
  • Deployment:
    Die Endpoint Lösung setzt auf einen lokal installierten Client, der entsprechend ausgerollt und zentral gemanagt werden muss. Bei der Gateway-Isolation ist natürlich kein lokaler Agent nötig.
  • Performance:
    Im normalen Office-Gebrauch sind bei beiden Ansätzen keine Performance-Einbussen spürbar. Zudem lassen beide Strategien zu, dass zwischen «vertrauenswürdigen» und «unvertrauenswürdigen» Quellen unterschieden werden. Mittels Policy kann also definiert werden, was isoliert wird und was nicht.

Wer ist im Lead?

In grossen Unternehmen bestehen meistens dedizierte und separate Teams für Workplace (Clients) und Web-Security. Aus unserer Erfahrung sind die Initiativen und Projekte in den unterschiedlichen Abteilungen nicht immer vollständig koordiniert. Statt das Thema Isolation nur im EPS-Team oder nur im Content-/Web-Security-Team zu betrachten, sollte die Diskussion ganzheitlich und übergreifend geführt werden, um gemeinsam die Anwendungsfälle und darauf basierend die Stärken und Schwächen der Lösungsansätze zu evaluieren. Insbesondere wenn Isolation vom Web-Security-Team initiiert wird, sollte abgeklärt werden, ob und wie die Themen Mail-Security (Mail-Anhänge) und File-Security (USB-Sticks, Dateien von File-Servern etc.) auch in den Scope gehören.

Malware Isolation Webinar – Endpoint vs. Gateway (Deutsch)


Links

Alles über Malware Isolation: https://www.avantec.ch/themen/malware-isolation/