Gastkommentar von Christian Milde, Kaspersky
Mit EDR Angriffe abwehren
Zielgerichtete Angriffe auf Unternehmen entwickeln sich zu einer immer größeren Gefahr. Angreifer nutzen aus, dass viele Unternehmen der Komplexität ihrer eigenen IT-Landschaft nicht mehr gewachsen sind und es mit Zero-Day-Schwachstellen zunehmend Angriffsflächen gibt. Wie IT-Verantwortliche Unternehmensnetzwerke vor zielgerichteten Attacken schützen können, umreißt Christian Milde, General Manager DACH bei Kaspersky, im nachfolgenden Gastkommentar.
Kein Unternehmen ist zu klein für Angriffe durch Cyberkriminelle. Die Herausforderung: Oft wissen mittelständische Unternehmen nicht, welchen Bedrohungen sie tatsächlich ausgesetzt sind, gleichzeitig sind ihre Ressourcen und Expertise hinsichtlich Cyberabwehr häufig stark limitiert. Dies erschwert den Umgang mit komplexen Bedrohungsszenarien.
Generell gilt: Die eingesetzte Sicherheitssoftware muss einen umfassenden Schutz liefern – für alle Endpoints und Server, egal ob Windows, Mac, Android oder Linux – und intuitiv zu bedienen sein. Kriminelle können – spätestens seit Malware-Autoren Hashs modifizieren oder Zeichenketten gezielt verschlüsseln – auch signaturbasierte Erkennung oder Binärscanner leicht umgehen. Zudem nutzen sie zunehmend Schadsoftware, die keine Spuren auf der Festplatte hinterlassen und ausschließlich im RAM aktiv sind.
Derartige Angriffe bleiben meist von normalen Security-Lösungen unentdeckt. Es reicht also nicht mehr aus, „nur“ die Bedrohungen am Endpoint zu blockieren – wenn überhaupt möglich. Heute benötigen Unternehmen Tools, mit denen sie die neuesten und komplexesten Bedrohungen erkennen und auf sie reagieren können.
EDR als nötige Erweiterung
Endpoint Detection and Response (EDR) ist eine Sicherheitstechnik für die Überwachung in Echtzeit, die sich auf Analyse und Vorfallreaktion im Bereich Endpoints fokussiert. EDR bietet umfassende Sichtbarkeit hinsichtlich der Aktivität eines jeden Endpunkts in der Infrastruktur, von einer einzigen zentralen Konsole aus verwaltet und gepaart mit detaillierten Informationen zur Sicherheit, die IT-Sicherheitsexperten für weitere Untersuchungen und Reaktionen nutzen können.
EDR erkennt neue und unbekannte Bedrohungen und zuvor nicht identifizierte Infektionen, die sich direkt über Endpunkte und Server in Unternehmen einschleusen. Dies erreicht die Software durch die Analyse bisher nicht zugeordneter Ereignisse, die sich nicht in die Bereiche „vertrauenswürdig“ oder „definitiv bösartig“ einordnen lassen.
Mit EDR lässt sich auch unbekannte Malware erkennen, die bei Zero-Day- und APT-Angriffen zum Einsatz kommt. Denn der Ansatz nutzt unterschiedliche Erkennungstechniken wie YARA, Sandboxing, das Scannen von IoCs (Indicators of Compromise) oder die retrospektive Analyse mit Ereigniskorrelation basierend auf dynamischem maschinellem Lernen.
Für den Schutz vor sonst unerkannten Bedrohungen müssen Endpoint-Lösung und EDR Hand in Hand arbeiten. Identifiziert das EDR-System beispielsweise eine verdächtige Datei, die es nicht definitiv als schädlich einstufen kann, leitet es diese an eine nachgelagerte Sandbox weiter. Dieses Sicherheitstool führt dann die verdächtige Datei automatisch in einer isolierten Umgebung aus und analysiert sie hinsichtlich ihres Gefährdungspotenzials. Dies zeigt, ob es Anzeichen für ein Eindringen Unbefugter oder unzulässige Aktivitäten von Mitarbeitern oder Partnern gibt. In der Vergangenheit genügten Signaturen, Regeln und Einschränkungen, um solchen Angriffen zu begegnen. Im Zeitalter zielgerichteter und mehrstufiger Angriffe reichen diese Maßnahmen häufig nicht mehr aus.
- Mit EDR Angriffe abwehren
- Integrierter 3-in-1-Ansatz
Lesen Sie mehr zum Thema
