valerybrozhinsky - stock.adobe.c
Neue Fähigkeiten für Tools zum Schutz der Endpoints
Die Zeit klassischer Virenscanner geht langsam zu Ende. EDR-Tools nehmen ihren Platz ein, weil sie nicht nur gegen einzelne Gefahren helfen, sondern das gesamte Spektrum überwachen.
Unternehmen werden heute zunehmend von Sicherheitsgefahren bedroht, die von Zero-Day-Malware bis zu Advanced Persistent Threats (APTs) reichen. Das Ziel dieser Attacken ist meist weniger auffällig. Statt auf einen schnellen Erfolg sind diese Art von Angreifern darauf aus, sich in einem kompromittierten System erst einmal in Ruhe und über einen längeren Zeitraum umzusehen. Erst danach schlagen sie zu.
Traditionelle Werkzeuge zum Schutz der Endpoints im Firmennetz sind leider nur schlecht auf diese Art von neuen Bedrohungen vorbereitet. Sicherheitsexperten in den Unternehmen sollten deswegen einen Umstieg auf aktuelle Maßnahmen zum Schutz der Endpoints erwägen. Besonders gut geeignet für diesen Zweck sind Systeme zur Endpoint Detection and Response (EDR).
Unzulänglichkeiten bei herkömmlichen Sicherheits-Tools
Traditionelle Lösungen zum Schutz der Endpoints haben eine ganze Reihe von Problemen, wenn es um moderne Bedrohungen geht. So gehen sie das Thema IT-Sicherheit oft nur häppchenweise an. Viele Unternehmen nutzen zum Beispiel eine bestimmte Lösung zum Schutz vor Malware und ein völlig anderes Produkt, um Eindringlinge ins Firmennetz zu erkennen. Das Problem bei dieser Vorgehensweise ist, dass dadurch Security-Silos entstehen. Zwischen den verschiedenen, nicht miteinander verknüpften Lösungen können Eindringlinge unerkannt hindurch schlüpfen.
Eine weitere Unzulänglichkeit bei vielen der bisher eingesetzten Sicherheitslösungen ist, dass diese Produkte zu sehr auf Reaktionen der Endanwender angewiesen sind. Wenn auf einem Computer beispielsweise eine neue Bedrohung erkannt wurde, erhält der Nutzer oft zunächst ein Hinweisfenster mit mehreren Auswahlmöglichkeiten präsentiert. Er kann die Gefahr dann einfach ignorieren oder eine andere Maßnahme ergreifen, die nicht zur Abwehr der jeweiligen Bedrohung geeignet ist.
Ein drittes Problem liegt im Mangel an Präzision dieser Maßnahmen. Viele der bislang genutzten Sicherheitsanwendungen, insbesondere wenn es um die Erkennung von Schädlingen geht, setzen allein auf die Nutzung von Malware- oder Angriffssignaturen. Es liegt auf der Hand, dass diese Methode nur Bedrohungen erkennen kann, zu denen es schon eine bekannte Signatur gibt. Weil diese Schutzmaßnahmen gegen unbekannte Gefahren aber völlig wirkungslos sind, haben sich die Anbieter neue Techniken einfallen lassen. So setzen sie heute etwa häufig Heuristiken ein, um Angriffe zu erkennen, die von der signaturbasierten Erkennung nicht entdeckt wurden. Diese Maßnahmen haben aber den Nachteil, dass dabei in der Regel sehr viele Fehlalarme produziert werden.
Die wichtigsten Vorteile von Endpoint Detection and Response
EDR-Lösungen wurden dagegen entwickelt, um die Endpunkte im Netzwerk dauerhaft zu überwachen und um auf ein breiteres Spektrum an Gefahren reagieren zu können.
Einer der wichtigsten Vorteile von EDR-Tools ist, dass sie mehr als nur eine einzige Art von Bedrohungen erkennen können. Das unterscheidet sie von anderen Sicherheitslösungen, die zum Beispiel nur dazu dienen sollen, neue Schadsoftware aufzuspüren. Es gibt allerdings auch große Unterschiede bei den auf dem Markt erhältlichen EDR-Produkten. Sowohl in der Reichweite als auch in ihren Fähigkeiten gibt es teilweise erhebliche Abweichungen.
Die meisten EDR-Lösungen installieren einen Agenten auf den Endpoints im Netzwerk. Die wichtigste Aufgabe dieses Agenten ist, dauerhaft den Zustand des Systems zu überwachen, Sicherheitsprobleme zu erkennen und die Ergebnisse an einen zentralen EDR-Server zu melden. Es ist deswegen für Unternehmen essentiell, die EDR-Agenten auf den Endpoints vor Manipulationen zu schützen. Wenn es einem Angreifer zum Beispiel gelingt, den Agenten durch einen DoS-Angriff (Denial of Service) oder eine andere Methode unwirksam zu machen, dann kann er damit das gesamte EDR-System umgehen.
Wenn ein Unternehmen den Einsatz von EDR-Lösungen in Betracht zieht, sind besonders die Maßnahmen von Relevanz, die der Anbieter unternommen hat, um sicherheitsrelevante Ereignisse zu erkennen. Einige der aktuelleren EDR-Lösungen nutzen beispielsweise bereits KI-Techniken (künstliche Intelligenz). Damit ist es den Herstellern gelungen, die Zahl der False Positives deutlich zu reduzieren. Dieser Punkt ist besonders wichtig, da eine hohe Zahl von Fehlalarmen dazu führen kann, dass die Nutzer nicht mehr jeden Hinweis ernst nehmen. Echte Bedrohungen werden dann mehr erkannt.