Wie sich Unternehmen vor komplexen Angriffen schützen können Proaktiver Endpoint-Schutz mit EDR

Komplexe Angriffe entwickeln sich zu einer ernstzunehmenden Gefahr für große, aber auch kleine Unternehmen. Auch sie besitzen interessante Daten – oder werden als Einfallstor in ein Netzwerk instrumentalisiert.

Herr Milde, vor welchen Herausforderungen stehen Unternehmen heutzutage?

Komplexe und zielgerichtete Cyber-Angriffe auf Unternehmen entwickeln sich zu einer immer größeren Gefahr. Ob IoT, Cloud oder on-premise, Unternehmen stehen zunehmend vor der Herausforderung, ihre eigene IT-Landschaft umfassend abzusichern. Dabei sind nicht nur große Unternehmen und Konzerne, sondern auch kleinere und mittelgroße Firmen betroffen. Cyberkriminelle sind leider noch viel zu oft erfolgreich, weil vor allem kleinere Unternehmen meist schlechter geschützt sind als große. Sie vertreten manchmal noch die Auffassung, dass sie nicht interessant genug seien, um angegriffen zu werden. Infolgedessen haben sie nur schwache Schutzlösungen implementiert, die keine komplexen Angriffe erkennen, geschweige denn abwehren können. Dem gegenüber stehen Cyberkriminelle, die solche Unternehmen angreifen, um in Netzwerke größerer Firmen zu gelangen, weil sie beispielsweise ein Zulieferunternehmen für das eigentliche anvisierte Ziel sind. Sie missbrauchen sie schlicht als Türöffner.

Wie können sie sich schützen?

Das Stichwort zur Lösung – für Groß wie Klein – lautet Endpoint Detection and Response (EDR). Unternehmen sollten auf fortschrittliche Technologien setzen und einen mehrschichtigen Schutz implementieren. Mithilfe einer EDR-Lösung erhalten Unternehmen Einsicht in alle wichtigen Informationen zu Bedrohungen in ihrem Netzwerk – einschließlich der Visualisierung von Angriffen und Ursachenanalyse. Sofern eine verdächtige Datei, die nicht definitiv als schädlich eingestuft werden kann, gefunden wird, leitet die EDR-Lösung sie an eine nachgelagerte Sandbox weiter. Diese führt die verdächtige Datei in einer isolierten Umgebung aus und analysiert diese hinsichtlich ihres Gefährdungspotenzials – und gibt entsprechende Informationen aus und leitet gegebenenfalls Abwehrmaßnahmen ein.

Das heißt also, mit einer EDR-Lösung sind Unternehmen umfassend geschützt.

Ja und nein. Denn eine EDR-Lösung ist nur so gut, wie die Daten, die sie von der Endpoint-Lösung bekommt. EDR und Endpoint-Lösung sollten daher unbedingt zusammenarbeiten. In der Vergangenheit haben noch Signaturen, Regeln und Einschränkungen ausgereicht, um Angriffen entgegenzutreten, bei komplexen zielgerichteten und mehrstufigen Angriffen, wie wir sie heute sehen, reicht das nicht mehr. Mit einer Endpoint-Detection-and-Response-Lösung erhalten Unternehmen Einblick und Informationen über etwaige Sicherheitsvorkommnisse sowie eine umgehende Schadensanalyse und automatisierte Reaktionsoptionen. Sie ist ein individueller und schlüsselfertiger Schutz für Unternehmen jeder Größe.

EDR, Sandbox, Schadensanalyse, Reaktion… Das klingt, als müsste ein Sicherheitsexperte die Lösung bedienen.

Im Gegenteil, EDR kann als Managed Security Service genutzt werden. Solche Services richten sich an diejenigen Unternehmen, die intern nicht über ausreichend Ressourcen oder Expertise im Bereich Cybersicherheit verfügen. Für die automatisierten Funktionen sowie die vereinfachte Ursachenanalyse werden keine speziellen Fähigkeiten der Mitarbeiter für die Bedrohungserkennung und Vorfallanalyse benötigt, was eine solche Lösung auch vor allem für mittelständische Unternehmen interessant macht. Solche Managed Service werden üblicherweise durch Erkennungstechnologien sowie der Expertise professioneller Abteilungen im Bereich Threat Hunting und Incident Response ergänzt. Damit kann sich die unternehmensinterne IT-Abteilung auf ihre Kernkompetenzen fokussieren, während eine umfassende Sicherheit durch Experten des Managed Service gewährleistet wird.

Worauf sollten Unternehmen bei der Auswahl eines Service achten?

Die Expertise in der Erkennung von Angriffen ist der Schlüsselfaktor. Der offensichtliche Beweis hierfür sind eigene Forschungen des Anbieters. Durch eigene Analysen können SOC-Analysten schnell neue Bedrohungen in der Infrastruktur eines Kunden finden, da sie neue schädliche Taktiken selbst kennen und nicht auf die Veröffentlichung solcher Informationen durch andere angewiesen sind. Darüber hinaus sollte man auf die Technologie achten, auf der der Dienst aufbaut. Sie sollte so effektiv sein, dass die meisten Bedrohungen ohne Beteiligung der Sicherheitsanalysten – intern oder extern – verhindert werden können. Des Weiteren sollte ein Service Level Agreement eine klare Reaktionszeit festlegen, abhängig von der zugewiesenen Priorität eines erkannten Vorfalls. Im Falle eines Angriffs ist Zeit die wichtigste Komponente. Daher sollte ein MDR-Anbieter gewählt werden, der schnell auf Vorfälle reagieren kann – hierfür ist ein 24/7-Betrieb unerlässlich!

Bietet Kaspersky einen solchen Managed Detection and Response Service an?

Ja, unsere Kaspersky Managed Endpoint Detection and Response bietet solche automatisierten Funktionen und alle wesentlichen Vorteile eines ausgelagerten Security Operations Center (SOC), ohne dass dazu interne Expertise erforderlich ist. Hierfür kombiniert unser Managed Service mehrere unserer Produkte und Services: Die Endpoint-Telemetrie wird beispielsweise im internen Kaspersky Security Operations Center mit Hilfe von mehr als 700 ständig aktualisierten, proprietären TTP-basierten „Hunts“ und verschiedenen Erkennungs-Engines analysiert. Zusätzlich werden an allen Endpoints Informationen und Warnmeldungen gesammelt, so dass unser Service einzelne Glieder einer Angriffskette auf unterschiedlichen Geräten erkennen kann. Wird ein Angriff identifiziert, wird dieser Kaspersky-Experten validiert. Anschließend werden im MDR-Portal Vorfallwarnungen und einen umfassenden Leitfaden für die Reaktion auf einen Angriff bereitgestellt, die über einen speziellen Agenten dann auch eingeleitet werden kann.

Mehr Information finden Sie unter folgendem Link.

(ID:47473988)