Laut den jährlichen Reports von ESG über IT-Ausgaben nennen IT-Experten Cybersicherheit stets als die Nummer eins unter den „problematischen Engpässen“. Wenn Unternehmen zudem mit schlecht ausgebildeten Security-Teams konfrontiert sind, verfügen sie kaum über die notwendigen Fähigkeiten, um auf aktuelle Bedrohungen zu reagieren und sich zu schützen. EDR-Lösungen (Endpoint Detection and Response) erleichtern es, IT-Bedrohungen zu erkennen und Malware zu bekämpfen.

Eine EDR-Lösung dient als erste Verteidigung bei der Bedrohungserkennung. Sie sollte aber auch dann zum Einsatz kommen, wenn Präventionslösungen die Bedrohung nicht stoppen konnten. Grundsätzlich ist keine Präventionslösung oder Kombination aus mehreren Vorgehensweisen perfekt: Es wird immer Malware geben, die es schafft sich durchzuschlagen. Prävention ist ein sehr effektiver Teil moderner Sicherheitslösungen, aber sie ist nicht ausfallsicher – jede IT-Sicherheitslösung, die dieses Versprechen abgibt, ist unseriös. Ob es sich nun um Zero-Day-Malware oder um Malware handelt, die jemand innerhalb des Unternehmens eingeschleust hat: Niemand ist zu 100 Prozent vor Risiken geschützt. Mitarbeiter oder IT-Administratoren gefährden das Unternehmen in der Regel nicht bewusst, aber laxes Sicherheitsverhalten oder Verzögerungen bei der Installation von Updates erzeugen Schwachstellen für das Unternehmen.

Anforderungen an EDR

Wenn Schadsoftware Präventivmaßnahmen durchbricht, sollte man sich auf die EDR-Lösung verlassen können. Eine geeignete Software sollte das Geschehen auf Endgeräten überwachen und einen mehrschichtigen Sicherheitsansatz mit statischen und dynamischen Erkennungstechniken bieten. Sie sollte eine umfassende Reihe von Bedrohungen erkennen – darunter dateilos operierende Schadsoftware (Fileless Malware) ebenso wie zwar unschädliche, aber unerwünschte Prozesse, die auf dem Computer zur Ausführung kommen. Eine EDR-Softare sollte Endpunkte kontinuierlich mittels verschiedener Techniken überwachen, die sie bei der Überwachung sowie bei der Alarmierung und dem Einfrieren potenziell unerwünschter Prozesse unterstützen:

  • Sandboxing erlaubt zu testen, was in einer abgelegenen und sicheren Umgebung passiert;
    maschinelles Lernen (ML) erleichtert die Erkennung von abnormalem Verhalten;
  • Regelsätze helfen dabei, aus den bisherigen Entscheidungen zu lernen, um aktuelle Ereignisse zu bewerten;
  • Bedrohungsaufklärung stärkt das Bewusstsein für aktuell aktive Bedrohungen.

Regelsätze können so einfach wie Black- oder Whitelisting sein oder so komplex wie die Einführung umfassender Richtlinien. Diese können von globalen Unternehmensregeln bis hin zu endbenutzerspezifischen Regeln reichen. Im Idealfall erleichtert EDR es, Infektionen von den Endpunkten zu entfernen. Je weniger manuelle Bereinigung nötig ist, desto besser.

Einige wichtige Fragen muss sich eine IT-Organisation beim Kauf einer EDR-Lösung stellen, zum Beispiel: Wie passt das neue Tool zu meiner akutellen IT-Sicherheitslösung? Bekannte Konflikte können zu großen Problemen führen, doch mit ein wenig Recherche lassen sie sich leicht vermeiden. Mit welchen Betriebssystemen muss die EDR-Lösung kompatibel sein? Endpunkte sind nicht mehr nur die Desktops im Büro, sondern jeder Laptop und jedes mobile Endgerät – und die zugehörigen Betriebssysteme – wollen berücksichtigt sein. Wenn das Unternehmen ein SIEM-System (Security-Information- and Event-Management) einsetzt, wie gut ergänzt EDR dieses und wie kompatibel ist es dazu? EDR kann eine wertvolle Informationsquelle für die SIEM-Plattform sein, sodass Kompatibilität der beiden Lösungen einen großen Mehrwert schafft. Wie skalierbar ist die Lösung? Kann es die Anzahl der Endpunkte bewältigen, die das Unternehmen derzeit hat und in Zukunft haben wird? Kann es mit der gleichen Geschwindigkeit wie das Unternehmen wachsen? Gibt es irgendwelche bekannten Probleme mit dem Rollout oder der Implementierung, die für die eigene Situation zutreffen könnten?

Ein mehrschichtiger Sicherheitsansatz umfasst statische und dynamische Erkennungstechniken. Bild: Malwarebytes

Die Suche nach einer EDR-Lösung, der zur Unternehmensstruktur passt, ist eine Herausforderung. Doch für das Unternehmen rechnet sich die Investition, da es den IT-Mitarbeitern viele Stunden Arbeit erspart, die sie sonst für die manuelle Korrekturmaßnahmen an Endpunkten aufwenden müssten. Neben den offensichtlichen Punkten einer verbesserten Kontrolle über Endpoints und einer Lösung, die alle erkannten Infektionen schnell und effektiv beseitigen kann, wird stets mit immer neuen Malware-Klassen zu rechnen sein. Die Bedrohungen, die man heute schon sieht, werden sich wahrscheinlich im nächsten Jahr weiterentwickeln. Sie mögen früheren Angriffen ähneln, aber sie werden sich anpassen, um die Verteidigung zu bekämpfen. Diese muss sich laufend anpassen, um neue Bedrohungen zu blockieren.

Man sollte EDR auf die gleiche Weise betrachten, wie man es bei der Sicherung seiner eigenen Systeme tut. Die sichere Speicherung von Backup-Daten gibt einem die Gewissheit, dass man Systeme und Dateien bei Bedarf wiederherstellen kann. In ähnlicher Weise gibt EDR die Gewissheit, dass man kompromittierte Endpunkte bereinigen kann, ohne jeden einzeln anfassen zu müssen. Im Falle eines Ransomware-Angriffs ermöglichen die besten Lösungen sogar, Endpunkte wiederherzustellen und auf einen Status vor dem Angriff zurückzusetzen. Zum Beispiel könnte ein EDR-Werkzeug eine verstärkte Nutzung von Pow­erShell auf einem Endpunkt aufgreifen. Lässt sich dafür keine andere Erklärung finden, kann ein Peak der PowerShell-Aktivitäen ein Zeichen für dateilose Malware oder nicht-autorisierten Zugriff sein. Das EDR-Tool würde dann den Systemadministrator vor der Aktivität warnen und die möglichen Gründe für die Aktivität auflisten. An diesem Punkt untersucht der Administrator des IT-Security-Teams die Gründe für das verdächtige Verhalten und entscheidet, ob es bösartig ist oder nicht. Ist es bösartig, führt man mehr Untersuchungen durch, und Gegenmaßnahmen können erforderlich sein. Der Prozess lässt sich automatisieren, um das verdächtige Verhalten anzuzeigen, zu stoppen oder den betroffenen Endpunkt zu isolieren.

Die Cloud kann dabei ein hervorragendes Hilfsmittel sein, um Telemetrie hochzuladen und zu analysieren, insbesondere wenn der Administrator kundenübergreifende Analysen nutzen kann. Wenn Datenschutzbedenken dagegen bestehen, Telemetriedaten in die Cloud hochzuladen, oder wenn die Cloud-Nutzung nicht möglich ist, kann fast jede EDR-Software auch ohne Cloud funktionieren. Zwar lassen sich dann bestimmte Funktionen nicht nutzen, um Ergebnisse schnell mit anderen zu vergleichen. Das EDR-Tool wird weiter seine Leistung bringen, nur der Identifizierungsprozess wird sich verlangsamen.

Geht es beim Endpoint-Schutz darum, die Endpunkte vor bekannten Bedrohungen zu schützen, so dreht es sich bei EDR eher darum, über ungewöhnliches Verhalten zu informieren, das möglicherweise das Ergebnis von Malware sein könnte. EDR sollte die Verweildauer neuer Malware und fortgeschrittener Bedrohungen im Netzwerk verkürzen, jeden Endpunkt innerhalb des Netzwerks überwachen und melden, Schäden durch Malware beheben und Malware so vollständig wie möglich von allen Endpunkten entfernen können.

Helge Husemann ist Global Product Marketing Manager von Malwarebytes, www.malwarebytes.com.