HOWTO: Funktionsweise und Vorteile des Zero-Trust Application Services von WatchGuard Endpoint Security

Comment
Alle Tags (360 AD360 Advanced EPDR Application-Whitelisting Basic Elite Endpoint Endpoint Security Endpoint Security 360 Endpoint Security Elite EPDR Lock-Mode WatchGuard Endpoint Security WatchGuard-Endpoint Whitelisting Zero Trust Zero-Trust Application Service Zero-Trust-Schutz)

Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), Security 360 (vormals EPDR), WatchGuard EDR sowie die ehemalige Panda-Produktwelt (AD360 & Co.).

Moderne Cyberangriffe nutzen zunehmend bislang unbekannte Schadsoftware, Zero-Day-Exploits und ausgefeilte Angriffstechniken, die klassische signaturbasierte Sicherheitslösungen vor Herausforderungen stellen. Genau hier setzt der Zero-Trust Application Service (ZTAS) von WatchGuard an.

In diesem Artikel erläutern wir die Funktionsweise des Dienstes, die verschiedenen Betriebsmodi, die Vorteile gegenüber klassischen Antivirenlösungen sowie unsere Empfehlungen für den produktiven Einsatz.

1. Was ist der Zero-Trust Application Service?

Der Zero-Trust-Application Service (oftmals abgekürzt als ZTAS) ist die zentrale Sicherheitsfunktion in den fortschrittlichen Endpoint-Sicherheitslösungen von WatchGuard (nur enthalten in WatchGuard Endpoint Security Elite, WatchGuard Endpoint Security 360 sowie in WatchGuard EDR).

Kurz gesagt: Es handelt sich dabei um einen KI-gestützten Cloud-Dienst, der dafür sorgt, dass keine unbekannte Software auf Ihren Endgeräten ausgeführt werden darf, bis sie von WatchGuard als absolut sicher eingestuft wurde.

Das Prinzip: Erst prüfen, dann ausführen (Zero Trust)!

2. Funktionsweise

Klassische Antivirenprogramme arbeiten meist reaktiv: Sie kennen „gute“ und „schlechte“ Dateien über Signaturen. Wenn eine neue, unbekannte Datei auftaucht, lassen viele Programme sie erst einmal gewähren, solange kein Schadcode-Verhalten erkannt wird.

Der Zero-Trust Application Service (Application Whitelisting) von WatchGuard dreht dieses Prinzip um:

    1. Blockieren im Zweifelsfall: Jede ausführbare Datei (Anwendungen/Prozesse), die auf einem Endgerät gestartet werden soll und dem System noch völlig unbekannt ist (Hashwert-Abgleich), wird automatisch blockiert.
    2. Echtzeit-Analyse in der Cloud: Die Datei wird sofort an die WatchGuard-Cloud gemeldet. Dort wird sie mithilfe von künstlicher Intelligenz, maschinellem Lernen, Verhaltensanalysen (Sandbox-Verfahren) oder im Zweifelsfall durch IT-Forensiker von WatchGuard überprüft.
      Hinweis:

      • File-Upload Default max. Dateigröße 50 MB. WatchGuard behält sich vor die Dateigrößenbeschränkung unter bestimmten Faktoren im Hintergrund zu erhöhen. Alternativ können Sie die Dateien via PSInfo -> Sample Submit (Szenario: Other – Einreichen von großen Dateien) zur Analyse hochladen.
      • Sollte eine Datei aufgrund des Upload-Limits oder fehlender Internetkonnektivität nicht in die WG-Cloud übermittelt werden, wird diese trotzdem auf dem Endgerät blockiert -> Somit ist der Schutz gewährleistet!
      • Die Dauer der automatischen Klassifizierung ist abhängig von mehreren Faktoren. In der Regel ist die Analyse innerhalb von 4 Std. bis max. 24 Std abgeschlossen.
    3. Klassifizierung: Der Dienst klassifiziert die Datei in eine von zwei Kategorien:
      • Malware (Non-Goodware): Die Datei bleibt dauerhaft blockiert und wird gelöscht/unter Quarantäne gestellt.
      • Vertrauenswürdig (Goodware): Die Anwendung wird freigegeben und darf ab sofort auf allen Geräten ausgeführt werden. Trotz der Klassifizierung als Goodware überwacht der ZTAS kontinuierlich die Aktivitäten aller Anwendungen und (Unter-)Prozesse.

Wichtig zu wissen: WatchGuard wirbt mit einer 100%igen Klassifizierungsgarantie. Das bedeutet, dass jede blockierte Datei innerhalb kurzer Zeit automatisiert (oder im Ausnahmefall durch menschliche Forensiker bei WatchGuard) eindeutig als sicher oder bösartig eingestuft wird. Der Admin muss sich nicht selbst den Kopf zerbrechen.

3. Die Betriebsmodi

Auf Windows-Betriebssystemen lässt sich der Zero-Trust Application Service in drei Stufen konfigurieren:

  • Learning-Mode: Verfolgt die Aktivität aller Programme, die auf Ihren Computern ausgeführt werden. Unbekannte Programme dürfen gestartet werden. Schädliche und potenziell schädliche Programme werden entfernt. Das ideale Setup für die Testphase/Inbetriebnahme.
  • Hardening-Mode: Verfolgt die Aktivität aller Programme, die auf Ihren Computern ausgeführt werden. Schädliche und potenziell schädliche Programme werden entfernt. Unbekannte Programme, die aus dem Internet, von anderen Netzwerkcomputern oder von externen Laufwerken stammen, werden blockiert, bis WatchGuards Labor bestimmt hat, ob es sich um Malware handelt. Andere unbekannte Programme dürfen ausgeführt werden, während sie vom Labor analysiert werden.
  • Lock-Mode: Verfolgt die Aktivität aller Programme, die auf Ihren Computern ausgeführt werden. Schädliche und potenziell schädliche Programme werden entfernt. Unbekannte Programme werden blockiert, bis WatchGuards Labor bestimmt hat, ob es sich um Malware handelt.
    Unsere Empfehlung für den produktivem Einsatz!

4. Die Vorteile im Überblick

  • Schutz vor Zero-Day-Exploits/Zero-Hour-Malware: Da unbekannte Dateien standardmäßig blockiert werden, haben selbst brandneue, noch völlig unbekannte Ransomware- oder Malware-Stämme keine Chance, Schaden anzurichten (z. B. KI-generierte Malware).
  • Entlastung der IT-Abteilung: Bei herkömmlichen Systemen muss die IT oft selbst entscheiden, ob eine unbekannte Datei sicher ist. WatchGuard übernimmt diese Klassifizierung rund um die Uhr als Managed Service.
  • Keine Grauzonen: Es gibt kein „Vielleicht“. Eine Anwendung ist entweder vertrauenswürdig oder sie wird blockiert.

5. Fazit

Klassische Antivirensoftware sucht nach Mustern von bereits bekannter Viren. Moderne Angreifer nutzen jedoch maßgeschneiderte Ransomware, Zero-Day-Exploits oder „Living off the Land“-Techniken (Missbrauch legitimer Systemwerkzeuge).

Da der Zero-Trust Application Service von der Prämisse ausgeht, dass alles Unbekannte potenziell gefährlich ist, bietet er einen extrem hohen Schutz (Stichwort Hafnium, Log4j,..) gegen noch völlig unbekannte Bedrohungen und nimmt der IT-Abteilung gleichzeitig die Arbeit ab, Whitelists manuell pflegen zu müssen.

Zusammenfassend ist der Zero-Trust Application Service der Türsteher für Ihre Endgeräte: Wer nicht auf der Gästeliste steht und sich nicht ausweisen kann, kommt nicht rein.

Unsere klare Empfehlung lautet: Lock-Mode!
In der Praxis hat sich unser dreistufiges Best-Practice bewährt: HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security Elite (Advanced EPDR) / 360 (EPDR)

WICHTIG: Guter Schutz besteht aus mehreren Schichten!
Kein Security-Mechanismus allein ist perfekt. Für einen effizienten Schutz sollten alle Security-Features genutzt werden.
Was nicht durch signaturbasierte Schutzmechanismen wie WebBlocker, Antivirus, Anti-Exploit, … am Endgerät erkannt wird, wird z. B. durch den Lock-Mode und der Klassifizierung des ZTAS gestoppt (Layered-Protection). Wir empfehlen außerdem allen Kunden einen Blick auf den WatchGuard MDR/SOC-Service zu werfen. Dieser 24/7/365 Dienst überwacht durch KI und IT-Forensiker Ihre IT-Landschaft und reagiert nach einem gemeinsam erstellten Playbook auf Anomalien.

Weiterführende Links/Quellen

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adressse wird nicht veröffentlicht. Markierte Felder sind Pflichtfelder *