Von Antivirus zu Endpoint Detection & Response

Die Evolution der Endpunktsicherheit

| Autor / Redakteur: Matthias Canisius / Peter Schmitz

Endpoint Detection and Response (EDR) erhöht die Transparenz von Bedrohungen wesentlich, indem alle Änderungen, Netzwerkverbindungen und Binärausführungen über die Endpunkte eines Unternehmens hinweg dokumentiert und analysiert werden.
Endpoint Detection and Response (EDR) erhöht die Transparenz von Bedrohungen wesentlich, indem alle Änderungen, Netzwerkverbindungen und Binärausführungen über die Endpunkte eines Unternehmens hinweg dokumentiert und analysiert werden. (Bild: gemeinfrei / Pixabay)

Der Begriff Endpoint Detection & Response – kurz EDR – steht für zukunftsgerichtete Endpunktsicherheit, die Unternehmen tiefen Einblick in verdächtige und schädliche Aktivitäten gewährt. Davon ausgehend, dass es keinen hundertprozentigen Schutz geben kann, ermöglicht es EDR als sinnvolle Ergänzung zur Endpoint Protection, verdächtige Aktivitäten aufzuspüren, zu analysieren und schließlich darauf zu reagieren.

Erste Erwähnung fand der Begriff EDR im Jahr 2013 im Blog des Gartner-Analysten Anton Chuvakin, der damit eine Gruppe von Tools klassifizierte, die sich auf die Erkennung verdächtiger Aktivitäten an Endpunkten konzentriert, indem sie – anders als herkömmliche Sicherheitslösungen – nicht nach bekannter Malware sondern abnormalen Verhaltensweisen suchen. Anstatt potenzielle Malware einfach unter Quarantäne zu stellen, stand hinter diesen Lösungen die Idee, im Falle von Auffälligkeiten Alerts auszulösen, die weitere Untersuchungen und Analysen nach sich ziehen.

Dass Security-Technologien dieser Art damals längst überfällig waren, wurde spätestens ein Jahr später klar, als Symantec, führender AV-Anbieter mit einem Marktanteil von damals 25 Prozent, gegenüber der New York Times eingestehen musste, dass Antivirus-Lösungen in mittlerweile 49 Prozent der Angriffsfälle unwirksam seien. Dies war nicht überraschend, verfolgen klassische Antivirus-Lösungen doch einen rein signaturbasierten Ansatz, der primär auf Hashes bekannter Malware oder bekannten Zeichenketten basiert, und für Cyberkriminelle daher längst kein unüberwindbares Hindernis mehr darstellt.

Mit KI die Gefahr im Unbekannten aufspüren

Podcast zu Künstlicher Intelligenz (KI)

Mit KI die Gefahr im Unbekannten aufspüren

16.05.19 - Artificial Intelligence (AI) kann dabei helfen, auch neuartige Risiken in Echtzeit zu bewerten und noch unbekannte Attacken abzuwehren. Auf der AI Innovation Night in München sprach Oliver Schonschek, Insider Research, mit Matthias Canisius, Regional Director CEE bei SentinelOne, über die Chancen von AI für die Security. lesen

Spätestens seit Malware-Autoren begonnen haben, Hashs zu modifizieren oder Zeichenketten gezielt zu verschlüsseln, können sie signaturbasierte Erkennung oder Binärscanner problemlos umgehen. Hinzu kommt, dass Cyberkriminelle immer häufiger spezielle Memory-basierte Schadsoftware einsetzten, die lediglich im Speicher aktiv ist, keinerlei Rückstände auf der Festplatte hinterlässt und damit für herkömmliche Schutzlösungen unsichtbar bleibt.

EPP – Antivirus einen Schritt voraus

In ihrer Existenz bedroht, haben traditionelle AV-Anbieter schließlich begonnen, ihre Lösungen zu so genannten Endpoint Protection Plattformen (EPP) weiter zu entwickeln und dabei um zusätzliche Security-Features wie etwa Firewall-Steuerung, Datenverschlüsselung, Intrusion Prevention (IPS) oder Data Loss Prevention (DLP) erweitert. Dabei konnten sie die inhärenten Schwachstellen klassischer AV-Lösungen – die Signatur-Abhängigkeit und den Fokus auf reine Prävention – jedoch nicht gänzlich aus der Welt schaffen. Hinzu kommt, dass stetes Ergänzen und Hinzufügen nicht gerade der Benutzerfreundlichkeit zuträglich ist, was wiederum auf Kosten der Sicherheit und des Betriebes geht.

Cyberangriffe und Datenschutzvorfälle, wie WannaCry, der EternalBlue-Exploit oder der Equifax-Hack haben dieses Problem dann immer sichtbarer gemacht und bei vielen Unternehmen ein Umdenken in Sachen Endpunktschutz eingeleitet. Sie wünschten sich eine verbesserte Sichtbarkeit und Analyse potenziell schädlicher Aktivitäten direkt am Endgerät und das in Echtzeit.

EDR – Licht ins Dunkel bringen

Mit Endpoint Detection and Response (EDR) wurde dann eine Sicherheitslösung entwickelt, die genau diese Sichtbarkeit liefert und die Transparenz von Bedrohungen wesentlich erhöht, indem sämtliche Dateiausführungen und -modifikationen, Registrierungsänderungen, Netzwerkverbindungen und Binärausführungen über die Endpunkte eines Unternehmens hinweg dokumentiert und analysiert werden. Diese Analyse macht es nicht nur möglich, Indikatoren einer möglichen Kompromittierung (ICO = indicator of compromise) von Endgeräten wirksam zu identifizieren und zu melden, sondern gleichzeitig detaillierte Forensik- und automatisierte Reaktionsmaßnahmen durchzuführen, um den Modus Operandi von Schadcode genauer zu beleuchten und gezielte Gegenmaßnahmen ergreifen zu können.

Viele Daten = viel Arbeit

In der erhöhten Sichtbarkeit liegt aber auch die Schwachstelle vieler EDR-Lösungen. Denn eine erhöhte Transparenz bedeutet eine erhöhte Menge an Daten, die analysiert, in Zusammenhang gebracht und meist manuell bewertet werden müssen. Es werden schlicht zu viele Ressourcen benötigt – d.h. Zeit, Bandbreite, aber vor allem qualifizierte Cybersecurity-Spezialisten –, die in den meisten Unternehmen sowieso knapp sind.

Hinzukommt, dass viele EDR-Lösungen nicht auf dem Endgerät selbst laufen, sondern eine Cloud-Konnektivität erfordern, und es im Ernstfall deshalb zu fatalen Zeitverzögerungen bei der Gefahrenabwehr kommen kann. Denn raffinierten Angreifern reichen heute schon Bruchteile einer Sekunde aus, um Daten erfolgreich abzuführen oder zu verschlüsseln.

Wie KI den Kampf gegen Cybercrime entscheidet

IT-Security-Teams mit ActiveEDR entlasten

Wie KI den Kampf gegen Cybercrime entscheidet

Erfahren Sie alles über die innovative Endpoint Security, die auf künstliche Intelligenz, statt auf überholte Technologien und zeitraubende Cloud-Dienste setzt. weiter...

Die Zukunft von EDR

Die Zukunft und allgemeine Markakzeptanz im Bereich EDR – auch abseits der Großunternehmen – wird maßgeblich davon abhängen, in wieweit Anbieter in der Lage sind Analyse, Erkenntnis und Reaktion zu einem Großteil zu automatisieren und unabhängig von menschlichem Eingreifen darzustellen. Maschinelles Lernen und künstliche Intelligenz werden hier sicher eine wichtige Rolle spielen. Konzepte wie „Active EDR“, also das Analysieren von Daten in Echtzeit direkt auf dem Endpoint – ohne Rückgriff auf die Cloud – werden hier sicher dazu beitragen. Sämtliche Events werden dabei in Echtzeit direkt auf dem Endpoint analysiert und die riesigen Datenmengen werden in komplette „Attack Stories“ zusammengeführt, die es auch weniger versierten Mitarbeitern erlaubt, nachvollziehen zu können, was tatsächlich geschehen ist. Im Falle tatsächlicher Angriffe werden umgehend automatisch Reaktionen eingeleitet und das in Echtzeit. Letztlich agiert „Active EDR“ wie ein SOC-Analyst auf jedem Endpunkt – prompte Erkenntnis und prompte Reaktionsmöglichkeiten inklusive.

Vor allem für mittelständische Unternehmen, die vom Fachkräftemangel betroffen und deshalb nicht in der Lage sind, alle Aspekte der Cybersecurity mit eigenen Spezialisten abzudecken, besteht zudem die Möglichkeit, EDR-Lösungen als Managed Security Service (MDR = Managed Detection & Response) zu beziehen. Indem die Endpunktsicherheit hier an Security-spezialisierte Dienstleister ausgelagert wird, hat die eigene IT-Abteilung wieder mehr Zeit und Ressourcen, um sich auf die eigentlichen Kernkompetenzen zu konzentrieren, ohne dabei die Unternehmenssicherheit zu vernachlässigen. Und selbstverständlich hilft es auch einen ordentlichen Schutz zu implementieren. Je besser mein Schutz ausfällt, umso mehr können sich die Spezialisten, um die wirklich anspruchsvollen Angriffe kümmern.

Über den Autor: Matthias Canisius, Regional Director Central and Eastern Europe bei SentinelOne.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46006146 / Endpoint)