Mit Deep Learning zu mehr Cybersicherheit Warum EDR nicht mehr ausreicht

Von Kevin Börner

Anbieter zum Thema

„Sicher ist, dass nichts sicher ist. Selbst das nicht.“ Was der Kabarettist und Schriftsteller Joachim Ringelnatz im letzten Jahrhundert lakonisch formulierte, kann durchaus auf die aktuelle Cyberbedrohungslandschaft und die Sicherheit unserer Kritischen Infrastrukturen übertragen werden. Cybersicherheit muss heute weiter und neu gedacht werden.

Das Sicherheitsgefühl ist trügerisch – und das nicht erst seit der von Bundeskanzler Olaf Scholz propagierten Zeitenwende, die eigentlich bereits mit der Corona-Pandemie begonnen hat.
Das Sicherheitsgefühl ist trügerisch – und das nicht erst seit der von Bundeskanzler Olaf Scholz propagierten Zeitenwende, die eigentlich bereits mit der Corona-Pandemie begonnen hat.
(Bild: ArtemisDiana - stock.adobe.com )

Trotz eines inzwischen größtenteils stattfindenden Remote-Arbeitsalltages mit immensen neuen Angriffsflächen wähnen sich viele Unternehmen und Organisationen weiterhin in trügerischer Sicherheit, ausgestattet mit einer Tool-Box konventioneller Cybersicherheitslösungen, wie etwa EDR-Tools (Endpoint Detection and Response). EDR erfreut sich in den IT-Sicherheitsabteilungen großer Beliebtheit, in der Annahme, dass sie die meisten der Cybersecurity-Bedrohungen, denen Unternehmen täglich ausgesetzt sind, stoppen und beseitigen können. Es gibt jedoch immer mehr Beweise, die ein ganz anderes Bild von der Effektivität und den Schutzfähigkeiten von EDR zeichnen. In demselben Zeitraum, in dem EDR zu einer tragenden Säule moderner Sicherheitsmaßnahmen geworden ist, sind Häufigkeit, Schwere und Erfolg von Angriffen sprunghaft angestiegen.

Die Bedrohungslandschaft wird nachweislich immer gefährlicher. Zwischen 2019 und 2020 gab es einen Anstieg der Ransomware-Angriffe um 800 Prozent, wie 2021 der Sicherheitsreport von Deep Instinct herausfand. Und Ponemon Research hat festgestellt, dass 80 Prozent der erfolgreichen Sicherheitsverletzungen auf bisher unbekannte Malware und Zero-Day-Angriffe zurückzuführen sind. Die Tools, die viele Unternehmen einsetzen, bieten keinen ausreichenden Schutz mehr vor immer raffinierteren Angriffen.

Ein zunehmend aussichtsloser Kampf

Wären EDR-Tools allein die Antwort auf die Abwehr von Ransomware und Zero-Day-Bedrohungen, müssten die Angriffe tendenziell eigentlich zurückgehen. Stattdessen erleben wir trotz Milliardeninvestitionen in Sicherheitstechnologien einen stetigen Anstieg der Angriffe.

Wie der Name schon sagt, nutzt EDR die Automatisierung, um Sicherheitsbedrohungen zu erkennen und Sicherheitsteams als Teil der Reaktion zu alarmieren. Doch genau wie herkömmliche Antiviren-Tools stützen sich EDR-Lösungen bei der Erkennung von Malware stark auf digitale Signaturen.

Angesichts Hunderttausender neuer Malware, die täglich auftaucht, und der Fortschritte bei polymorphen Malware-Varianten, die ihr Erscheinungsbild bei jeder Vervielfältigung und Verbreitung ändern, ist klar, dass die Jagd nach Signaturen ein aussichtsloser Kampf ist und keine überzeugende Strategie zur Verhinderung von Sicherheitsverletzungen darstellt. Selbst ausgefeiltere Tools, die Ähnlichkeiten zwischen Varianten erkennen können, müssen regelmäßig mit Informationen darüber gefüttert werden, wonach genau und an welchen Punkten zu suchen ist.

Wachsende Perimeter, zunehmende Endpunkte

Sicherheit ist immer ein Gleichgewicht zwischen dem Schutzbedarf und den Anforderungen des Unternehmens. Die Zunahme von Online-, Cloud-basierten und SaaS-Lösungen verbessert die Produktivität, erhöht aber auch die Anfälligkeit für Bedrohungen, da der digitale Fußabdruck wächst. Gleichzeitig werden die Grenzen des Unternehmens immer weiter ausgedehnt: Remote-Benutzer, IoT-Geräte, Steuersysteme, Sensoren und persönliche Telefone rücken immer näher an das Unternehmen heran und stellen Verbindungen her, für die ein unterschiedlicher Grad an Sicherheit gilt. Trotz all dieser Veränderungen konzentrieren sich Unternehmen nach wie vor darauf, Angriffe im Nachhinein zu erkennen, anstatt sich darauf zu konzentrieren, wie man sie verhindern kann.

Immer mehr ‘false positives’

Wie viele aktuelle Cybersecurity-Tools neigen auch EDR-Lösungen dazu, eine große Anzahl von Warnungen zu generieren, oft Zehntausende pro Tag, von denen viele falsch-positive Warnungen sind. Diese Flut von Warnungen ist für Sicherheitsteams nicht nur lästig, sondern beeinträchtigt auch die Produktivität und lenkt sie ab.

Es bleibt einfach nicht genug Zeit, um auf jede Warnung schnell zu reagieren, was bedeutet, dass überlastete Teams immer hinter der Kurve zurückbleiben werden. Wenn nur bekannt ist, dass verdächtige Aktivitäten irgendwann in der Vergangenheit stattgefunden haben, ist der Schaden bereits angerichtet. Eine präventive Lösung würde die Zahl bösartiger Aktivitäten bereits im Vorfeld verhindern, die Alarmflut drastisch reduzieren und den ohnehin schon überlasteten Sicherheitsteams die Möglichkeit geben, sich auf die wirklich wichtigen Sicherheitsfragen zu konzentrieren.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die Cyber-Verteidigung muss neu gedacht werden

Nach der Ausführung des Angriffs ist es zu spät, um eine Sicherheitsverletzung zu verhindern, und die Behebung ist kostspielig und zeitaufwändig. Dieser Punkt wurde nochmal durch eine kürzlich durchgeführte Untersuchung der Wirksamkeit von 11 der bekanntesten EDR-Tools unterstrichen –denn sie zeigte deren inhärente Unzulänglichkeiten auf.

Die zunehmende Raffinesse moderner Bedrohungen und die hohe Zahl erfolgreicher Einbrüche haben bewiesen, dass EDR nicht ausreicht, um die immer fortschrittlicheren Bedrohungen von heute zu stoppen.

Es ist an der Zeit, neu zu definieren, was Bedrohungsabwehr wirklich ist, und neue Technologien auf der Grundlage von Deep Learning zu erforschen, die über eine präventive Malware-Erkennung und Klassifizierung verfügen, um einen Angriff zu vereiteln.

Prävention ist besser als Reaktion

Sicherheitsteams erkennen immer mehr, dass ihre Sicherheitsfunktionen sie nicht vor den modernsten Bedrohungen von heute schützen und investieren aktiv in einen besseren Schutz. Für 2021 bilanzierte Gartner erstmals weltweiten Ausgaben für Sicherheit und Risikomanagement von über 150 Milliarden US-Dollar. Wahrscheinlich ist diese Summe inzwischen deutlich höher.

Ein auf Prävention ausgerichteter Ansatz zum Stoppen von Bedrohungen wird bestehende EDR-Lösungen ergänzen oder ersetzen, um das Risiko zu mindern. Das Verhindern von Malware vor der Ausführung und das Verringern von Fehlalarmen verbessert die Abläufe, senkt die Kosten und stoppt bekannte, unbekannte und Zero-Day-Bedrohungen, einschließlich Ransomware, bevor sie die Möglichkeit haben, Ihre Umgebung zu infizieren. Deep Learning als Weiterentwicklung von auf maschinellem Lernen basierender (ML) Tools kann sich hier als Game Changer erweisen.

Automatisierte und selbstlernende Prävention

Deep Learning ist die nächste Evolutionsstufe des maschinellen Lernens. Wie ein menschliches Gehirn kann eine Deep-Learning-Lösung sich selbst beibringen, große Mengen an Rohdaten zu kategorisieren und zu analysieren, um neue Varianten zu erkennen, sobald sie auftauchen, und sie automatisch zu verhindern, bevor sie ausgeführt werden und in eine Umgebung eindringen können.

Im Gegensatz zu auf Erkennung und Reaktion basierenden Lösungen, die auf den Angriff warten, nimmt Deep Learning die Verweildauer aus der Gleichung heraus und begrenzt die potenzielle Gefährdung der Kunden durch Bedrohungen, die an den Endpunkten eingeführt werden, unabhängig davon, wo sich diese befinden.

Sicherheit funktioniert am besten, wenn sie mehrschichtig ist und eine Kombination aus menschlichem Bewusstsein und fortschrittlicher Technologie verwendet wird. Cyberkriminelle gehen ebenfalls mit künstlicher Intelligenz und immer raffinierteren Methoden vor. Es ist an der Zeit, dass wir alle von einer reaktiven Haltung des "Erkennens und Reagierens" zu einer proaktiven Haltung des "Vorbeugens und Schützens" übergehen, anstatt immer aufholen zu müssen.

Deep Learning wird eine neue Ära auf dem Cybersicherheitsmarkt einläuten, die Prävention vor Cyberangriffen zu einer neuen Realität macht.

Über den Autor: Kevin Börner ist Distinguished Sales Engineer EMEA bei Deep Instinct.

(ID:48442649)