Es ist wie mit dem Pferd, das die trojanischen Bürger selbst durch die Stadttore zogen: Moderne Endpoint-Security-Lösungen eliminieren viele Gefahren, können aber nicht vollständig verhindern, dass Hacker sich mittels neuartiger Angriffe oder Social Engineering Zugang zu IT-Ressourcen verschaffen. Spätestens mit der DSGVO müssen IT-Administratoren auch getarnte und verschachtelte Angriffe ausfindig machen, verdächtige Prozesse unmittelbar unterbinden und im Nachhinein untersuchen können. Hier kommt Endpoint Detection and Response (EDR) ins Spiel.

Endpoint Security ist unverzichtbar und leistet viel: Gängige Lösungen wehren weit über 99 Prozent aller Malware-Angriffe ab. Angesichts von mehr als 832 Millionen verschiedener Malware-Varianten und ihrem steigenden Niveau an Komplexität und Tarnungsfähigkeiten eine durchaus beeindruckende Bilanz. Schließlich hat man es heutzutage mit ausgeklügelten Angriffen zu tun, die aus mehreren Phasen bestehen, die jeweils auf verschiedenen Ebenen ansetzen.

Entsprechend muss der moderne Schutz von Endgeräten mehrere Verteidigungslinien aufweisen. Dazu gehören neben Signaturen der automatisierte Vergleich von Dateien mit bekannten bösartigen und legitimen Dateien. Eine weitere Ebene ist die Machine-Learning-gesteuerte Erkennung, die auch bösartige dateilose Befehle und Skripte einschließlich VB-, Java-, PowerShell- und WMI-Skripte prüft. Hinzu gesellt sich das Sandboxing, mit dem Dateien in einer isolierten Umgebung geöffnet und beobachtet werden. Ganz wichtig ist darüber hinaus die Überwachung laufender Prozesse, um festzustellen, ob Unregelmäßigkeiten auftreten oder andere Prozesse manipuliert werden.

Bei der Prozessüberwachung hilft kein Schwarz-Weiß-Denken. Stattdessen wird einzelnen Aktionen ein Risiko-Score zugeordnet. Wenn eine Anwendung beispielsweise beginnt, Registrierungsschlüssel zu erstellen – und das normalerweise nicht tun sollte – erhält sie eine bestimmte Punktzahl. Wenn die Summe der Aktionen, die ein Prozess ausgeführt, einen bestimmten Schwellenwert überschreitet, wird die Anwendung beendet und alle ausgeführten Aktionen werden rückgängig gemacht. Dass meist erst mehrere Aktionen zur Überschreitung des Schwellenwert führen, vermeidet False Positives und Frustration der Anwender über abgebrochene Prozesse.

Grenzen der Endpoint-Sicherheit

Während Endpoint-Security-Technik also bei der Abwehr softwarebasierter Bedrohungen sehr weit entwickelt ist, sind ihre Fähigkeiten bei fortgeschrittenen und komplexen Bedrohungen begrenzt. Dies sind Bedrohungen, die Angreifer speziell für ein Unternehmen entwickelt haben oder die auf einen bestimmten Mitarbeiter abzielen. Dazu spähen Cyberkriminelle ihre Opfer über längere Zeit gezielt aus, um alles über die Netzwerkkonfiguration, Richtlinien, Sicherheitszugang und intern eingesetzte Sicherheitslösungen herauszufinden. Danach geht es darum, eine passende Schwachstelle zu finden oder geeignete Malware zu entwickeln, die speziell für dieses Ziel über ausreichende Infiltrations- und Ausweichmöglichkeiten verfügt, um unter dem Radar der Sicherheitslösungen bleiben zu können.

In vielen Unternehmen nutzen IT-Administratoren zum Beispiel PowerShell-Skripte, um Endpoint-Aufgaben zu automatisieren. Traditionelle Endpoint-Security-Lösungen können die Befehlsfolgen, die in Skripten dieses nativen Windows-Tools enthaltenen sind, nicht interpretieren. Daher setzen Kriminellen dies gerne ein, sowohl für Spionagezwecke als auch für Ransomware und Cryptominer. Wenn Angreifer geschickt agieren, ihre Skripte äußerlich den legitim eingesetzten Skripten ähneln und keine weiteren verdächtigen Prozesse folgen, werden Angriffe auch in einer aktuellen Security-Lösung kaum den konfigurierten Schwellenwert erreichen.

Eine beschleunigte automatisierte Reaktion auf Sicherheitsvorfälle lässt Angreifern weniger Zeit, Schaden anzurichten. Bild: Bitdefender

Ein zweites Beispiel sind Zero-Day-Schwachstellen: Das Ausnutzen noch unbekannter Schwachstellen in populärer Software ermöglicht es, den Endgeräteschutz mit scheinbar legitimen Prozessen zu umgehen, um Malware und persistente Angriffswerkzeuge zu platzieren. Damit können Angreifer sich ihren Zugriff auf das kompromittierte Gerät sichern und dieses als Ausgangspunkt nehmen, um sich lateral über die gesamte Infrastruktur hinweg zu bewegen.

Blick unter die Tarnkappe

Doch nur weil Angriffe gut getarnt sind, heißt dies nicht, dass sie unsichtbar bleiben müssen. Ihre Aktionen hinterlassen durchaus Spuren. Während Endpoint-Security-Tools schon immer vor der Ausführung von Code und seit einigen Jahren während der Ausführung reagieren, verfolgen EDR-Tools verdächtige Aktivitäten auch zu einem späteren Zeitpunkt automatisch und alarmieren gegebenenfalls IT- und Sicherheitsteams über Ungereimtheiten.

Man kann sich die Endpunkt-Sicherheit als eine Mauer oder mehrschichtige Grenzbefestigung vorstellen. Sobald diese durchbrochen ist, kann sie nichts mehr ausrichten. Dann müssen andere Tools greifen, die eher einer Polizeistreife oder einem Ermittlungsteam ähneln, das die grenznahen Bereiche durchforstet und überwacht. EDR ist auch in der „Post-Execution“-Phase (also nach der Ausführung des Schadcodes) aktiv, erfasst Details und verfügt damit über vertiefte Analysefähigkeit.

Gartner definiert EDR als Kategorie von Werkzeugen, die in erster Linie darauf konzentriert sind, verdächtige Aktivitäten und ihre Spuren davon auf Hosts und Endpoints zu entdecken und zu untersuchen. Wie hilft EDR genau? Einige Beispiele: Eine reine Endpoint-Security-Lösung würde eine Workload, die mit anderen Workloads aus dem gleichen Netzwerk kommuniziert, kaum als verdächtig einstufen. Eine EDR-Lösung würde dagegen warnen, sobald sie feststellt, dass der Kommunikations-Port entweder kein Standard-Port ist oder dass die beiden Workloads normalerweise nicht miteinander kommunizieren.

Herkömmliche Endpoint Security ist zudem nicht darauf ausgelegt zu erkennen, ob Unbefugte die Anmeldeinformationen von Benutzern missbrauchen. Cyberkriminelle könnten zum Beispiel durch Phishing an die Zugangsdaten von Mitarbeitern gelangen und sich damit legitimiert innerhalb der Infrastruktur bewegen. Von diesem Zeitpunkt an können sie auf interne Dokumente und Daten zugreifen, diese kopieren und sogar zusätzliche persistente Tools installieren, um zusätzliche Kontrolle zu erlangen. EDR-Tools würden bei derartigen Aktionen – Missbrauch von Anmeldeinformationen, Privilegeskalation und Datenexfiltration – unmittelbar eine Warnung ausgeben. Zum Beispiel sind Anmeldungen von ungewohnten Orten auf unbekannten Geräten oder erstmalige Zugriffe eines Nutzers auf Verzeichnisse Anzeichen für ein anormales Verhalten. Administratoren können solche Auffälligkeiten mittels EDR-Lösungen in vielen Fällen automatisiert oder mit einem Klick beheben – oder aber weiter untersuchen.

Die DSGVO fordert, Datenschutzverstöße innerhalb von 72 Stunden zu melden. Dies dürfte den meisten Organisationen angesichts der Komplexität heutiger Angriffe ohne EDR unmöglich sein. EDR stellt solche Verstöße schnell fest und ermöglicht es in den meisten Fällen, Schaden zu verhindern oder stark einzudämmen. Auch unterstützt EDR das IT-Team dabei, nach einem Datenvorfall sofort einen visualisierten Bericht mit allen relevanten Details zum Angriffsweg und den Angriffstechniken vorzulegen. IT- und Sicherheitsteams können die Kette der Ereignisse bis hin zum ursprünglichen Infektionsvektor zeitlich nachverfolgen, um diesen für zukünftige Angriffe zu schließen.

Risiko Alarmmüdigkeit

Die Stärke von EDR liegt darin, alle sicherheitsrelevanten Vorgänge sichtbar zu machen. Dieser Vorteil kehrt sich jedoch in eine Schwäche um, wenn jeder verdächtige Vorgang schon wie ein Datenklau behandelt wird. Tatsächlich waren IT- und Sicherheitsteams bei der Arbeit mit frühen EDR-Tools kontinuierlich damit beschäftigt, Warnmeldungen zu überprüfen, ohne bestimmen zu können, was tatsächlich kritisch ist. „Alarmmüdigkeit“ ist die Folge: Die überlasteten Teams können nicht jedem Vorfall nachgehen – was sie möglicherweise gerade vom wichtigsten ablenkt.

Ebenso erschwerte das fehlende Zusammenspiel von EDR und Endpoint Security die Administrationsarbeit: Die heterogenen Lösungen erforderten zwei oder mehr unterschiedliche Agenten auf dem Endgerät und wurden separat verwaltet. Das Resultat ist eine reduzierte Rechenleistung der Hardware und ein vervielfachter Verwaltungsaufwand für die IT- und Sicherheitsteams.

EDR der nächsten Generation

Neuere Lösungen begegnen diesen Einschränkungen mit einem einheitlichen Security-Agenten, der Endpoint Security und EDR zusammenfasst. Somit können beide Disziplinen zusammenarbeiten, Informationen über potenzielle Sicherheitsprobleme austauschen und alle für Sicherheits- und IT-Administratoren relevanten Informationen in einer einzigen zentralen Management-Konsole anzeigen.

Um gegen die Alarmmüdigkeit anzugehen, ist die Fähigkeit, die Relevanz eines Sicherheitsvorfalls zu bestimmen, ein Kernbaustein aktueller EDR-Lösungen. Eine gemeinsame Lösung für Endpoint Security und EDR sorgt hier für viele Vorteile: Erstens lassen sich zahlreiche Probleme automatisiert eliminieren, zweitens sorgt die Aggregation der Informationen verbunden mit Machine Learning für eine intelligente Einordnung der Vorfälle. So erhalten Administratoren einen vollständigen Überblick über den Sicherheitsstatus der Infrastruktur des Unternehmens, ohne dass die Fülle von Warnmeldungen mit niedriger Priorität ihre Arbeit lahmlegt.

Die Lehre aus der griechischen Mythologie: Als die Trojaner das von den Griechen hinterlassene Holzpferd in ihre Stadt zogen, war der Schaden noch nicht geschehen. Erst als es den darin versteckten griechischen Kämpfern des Nachts gelang, unbeobachtet die Stadttore von innen zu öffnen, besiegelte dies das Schicksal der Stadt. In der IT lernen wir daraus, dass es eine „innere Sicherheit“ geben muss, die dann aktiv wird, wenn die ersten Schritte eines Sicherheitsvorfalls bereits geschehen sind: EDR.

Liviu Arsene ist leitender Bedrohungsanalyst bei Bitdefender, www.bitdefender.de.