Die Anforderungen an die Endpunktsicherheit wachsen, da sich Malware sowie Taktiken und Techniken der Angreifer schnell weiterentwickeln. Bislang übernahmen EPP-Lösungen (Endpoint-Protection-Plattform) die Aufgabe der Abwehr. Jetzt ergänzen EDR-Werkzeuge (Endpoint Detection and Response) die Endpunktsicherheit mit leistungsstarken Funktionen zur Erkennung und Analyse von Vorfällen sowie zur Reaktion darauf. Die Systeme können sich ergänzen, der Vorteil liegt im Zusammenspiel.

Eine Endpoint-Protection-Plattform integriert Funktionen zur Erkennung und Abwehr von Bedrohungen auf Geräteebene – also direkt am Endpoint. Dazu gehören typischerweise Antivirus, Anti-Malware, Datenverschlüsselung, Personal Firewalls, Intrusion Prevention (IPS, Aufspüren von Eindringlingen) und Data Loss Prevention (DLP, Schutz vor Datenverlusten). EPP-Lösungen arbeiteten ursprünglich rein präventiv und versuchten, einen Schutz auf Signaturbasis zu gewährleisten. Dieser Lösungsansatz ist kaum noch zu empfehlen, da die Angriffsszenarien weit über die Schutzfähigkeiten einer rein signaturgestützen Schutzlösung hinausgehen. Moderne EPP-Lösungen hingegen arbeiten mit unterschiedlichen Erkennungs- und Präventionstechniken. Sie ergänzen den signaturbasierten Schutz beispielsweise um automatisierte Verhaltenserkennung oder Schutzfunktionen, die auf selbstständigem Lernen beruhen, darunter Verfahren der künstlichen Intelligenz (KI) bis hin zum Deep Learning (DL).

Anomalieerkennung und forensische Analyse

EDR-Plattformen hingegen sind Systeme, die eine Echtzeit-Anomalieerkennung und -alarmierung, forensische Analyse und Informationen zur Steigerung der Endpoint-Sicherheit bereitstellen. Ihr Vorteil liegt insbesondere in der wesentlich höheren Transparenz, um Angriffe noch besser zu identifizieren: Diese Systeme analysieren das Vorgehen der Angreifer durch die Aufzeichnung aller Änderungen an Dateien oder Registry, der Netzwerkverbindungen und der Progammausführungen über alle Endpoints eines Unternehmens hinweg.

EPP eignet sich in aktueller Form als Verteidigungsmechanismus, um bekannte und neue Bedrohungen abzuwehren. EDR ist die nächste Verteidigungsebene und bietet zusätzliche Instrumente, um nach Bedrohungen zu suchen, Einbrüche forensisch zu analysieren und schnell und effektiv auf Angriffe zu reagieren. In der Vergangenheit kamen die beiden Ansätze meist getrennt voneinander zum Einsatz. Reine EDR-Lösungen sind vielfach sehr komplexe Systeme, deren Anwendung erfahrenen Security-Spezialisten oblag. Daher eigneten sich diese Tools kaum für mittelständische oder kleinere Unternehmen. Hier hat sich jedoch ein neuer Trend entwickelt, bei dem EDR nun auch für mittelständische Unternehmen nutzbar ist, indem EPP und EDR in einem System integriert sind.

Zusammen zu mehr Schlagkraft

Trotz fortschrittlicher Technik sind EPP-Lösungen gelegentlich nicht in der Lage, Cyberangriffe abzuwehren. Doch viele Unternehmen verlassen sich ausschließlich auf diese Präventionsmaßnahme. Eine aktive Suche nach Bedrohungen beginnen Unternehmen häufig erst, wenn sie von dritter Seite Informationen über Bedrohungen erhalten haben, beispielsweise vom BSI oder einem CERT. Mangelnde Transparenz ist somit die größte Herausforderung für Unternehmen, um Ausmaß und Folgen von Angriffen zu verstehen. So unterliegen viele der irrtümlichen Annahme, ein Angriff hätte keine weiteren Folgen, nur weil die EPP-Lösung den Sicherheitsvorfall entdeckt hat. Genau an diesem Punkt beginnt EDR, seine Vorteile auszuspielen: Moderne Security-Lösungen aus einer Kombination von EPP und EDR können automatisch verdächtige Ereignisse melden. Security-Spezialisten wissen dann sofort genau, welche Stellen im System zu untersuchen sind.

Ein Praxisbeispiel: Das Security-Team identifiziert eine verdächtige ausführbare Datei im Netzwerk und beseitigt sie. Der Security-Verantwortliche weiß aber unter Umständen nicht, dass sich diese Datei noch an weiteren Stellen im System befindet. Dank EDR steht diese Information nun zur Verfügung. Security-Spezialisten können genau die Stellen im Netzwerk erkennen, an die sich die Bedrohung ausgebreitet hat und wo sie sich schlimmstenfalls noch unbemerkt befindet. Damit kann das Sicherheitsteam eine weitere Analyse und gegebenenfalls die Bereinigung priorisieren.

Schnelligkeit als Kernbedingung

Ist ein Vorfall entdeckt, setzen IT-Abteilungen alle Hebel in Bewegung, um ihn schnellstmöglich zu beheben. Schließlich müssen sie das Ausbreitungsrisiko und den potenziellen Schaden begrenzen. Im Durchschnitt ist eine IT-Abteilung über drei Stunden damit beschäftigt, einen Vorfall zu beheben. Im ersten Schritt isoliert das EPP-System den betroffenen Endpunkt und entfernt die bis dahin erkannte Malware. Danach erfolgt die Analyse mit EDR. Gute EDR-Lösungen stellen die Informationen in einem Format bereit, das ein IT-Mitarbeiter schnell auswerten kann und das keine forensische Fachausbildung voraussetzt. Die Zeit, die für Analyse und Interpretation anfällt, ist dabei ein kritischer Aspekt: Erst anschließend kann das Security-Team notfalls weitere Bereiche im Netz bereinigen oder isolieren. Vier wesentlich Schritte sind hier nötig: Sicherheits-, Malware-, Bedrohungsdatenanalyse sowie letztlich Aufklärung und Prävention.

Das Verhalten einer ausführbaren Datei erhält automatisch einen Scoring-Wert, der angibt, wie verdächtig sie sich verhält. Bild: Sophos

Sicherheitsanalysten bilden die erste Verteidigungslinie. Sie erkennen Vorfälle und entscheiden, bei welchen Alarmmeldungen sofort Handlungsbedarf besteht. Im Idealfall greifen sie ein, um Angriffe aufzuspüren, die man eventuell noch nicht bemerkt hat. Dank Technologien wie Ma­chine Learning lassen sich verdächtige Ereignisse erkennen und priorisieren. So können IT-Mitarbeiter schnell feststellen, worauf sie sich konzentrieren sollten, und eine Sicherheitsüberprüfung starten.

Für die Malware-Analyse verlassen sich Unternehmen häufig auf Experten, die verdächtige Dateien per Reverse Engineering analysieren. Diese Vorgehensweise ist zeitraubend und kompliziert, viele Unternehmen verfügen zudem nicht über das notwendige Fachpersonal. Die Alternative sind hoch automatisierte EPP/EDR-Lösungen mit Malware-Erkennungs-Engines. Sie analysieren Malware automatisch und mit hoher Genauigkeit, indem sie Dateiattribute und Code aufschlüsseln und mit Millionen anderer Dateien vergleichen. So erhalten IT-Mitarbeiter schnell Aufschluss darüber, welche Attribute und Codesegmente als „unschädlich bekannt“ oder „schädlich bekannt“ eingestuft sind und ob sie eine Datei blockieren oder erlauben sollten.

Zur Bedrohungsdatenanalyse können Security-Teams extern erhobene und daher meist kostenpflichtige Bedrohungsdaten heranziehen. Oft ist zur Interpretation dieser Daten die Expertise von Spezialisten gefragt. Mit EDR können Administratoren schnell selbst erkennen, ob das Unternehmen gefährdet ist. Auf diese Weise können auch Sicherheitsteams, die nicht über hochqualifiziertes Fachpersonal oder kostspieligen Zugang zu Bedrohungsdaten verfügen, die Bedrohungslage im eigenen Unternehmen einschätzen und geeignete Maßnahmen ergreifen.

Aufklärung und Prävention

Der letzte Schritt ist Aufklärung und Prävention: Das Identifizieren und Entfernen der schädlichen Dateien mittels EPP beseitigt das unmittelbare Problem. Allerdings ist damit noch nicht geklärt, wie die Malware in das System gelangt ist oder was sie möglicherweise bereits getan hat, bevor man sie entdeckt und entfernt hat. EDR bietet in diesem Fall eine Übersicht über Bedrohungsfälle und präsentiert alle Ereignisse, die zur Erkennung geführt haben. So kann das Security-Team leicht erkennen, welche Dateien, Prozesse und Registry-Schlüssel mit der Malware in Kontakt gekommen und welche Bereiche betroffen sind. Es erhält alle wichtigen Informationen der gesamten Angriffskette.

Erst die Aufklärung der Ursache versetzt die IT-Abteilung in die Lage, einen solchen Angriff zukünftig abwehren zu können. Zudem erhält ein Unternehmen Gewissheit darüber, ob ein Angriff Compliance-Vorgaben berührt hat. So kann die Analyse mit EDR beispielsweise klären, ob DSGVO-relevante personenbezogene Daten das Ziel des Angriffs waren und abgeflossen sein könnten.

Michael Veit ist Security-Experte bei Sophos, www.sophos.de.