Ransomware, Zero-Day-Malware, dateilose Angriffe, Phishing, gekaperte Admin-Konten
All dies bedroht die IT-Systeme und Daten Ihrer Kunden und bringt ihren Geschäftsbetrieb in
Gefahr.
Jahrelang konnten Sie zum Schutz der Endpunkte in den von Ihnen betreuten Netzwerken Antivirenlösungen (AV) einsetzen, doch angesichts zahlloser neuer Bedrohungen zeigen sich nun ihre Schwachstellen, für deren Behebung inzwischen neue Lösungen entwickelt wurden.
In den letzten Jahren ist immer häufiger von Endpoint Detection and Response, kurz EDR die Rede ― der Endpunkterkennung und Vorfallsbehandlung also. EDR-Lösungen sind so konzipiert, dass sie auf neue Bedrohungen reagieren können (haben es oft dennoch schwer, mit deren Entwicklungstempo Schritt zu halten). Was ist EDR und wodurch zeichnen sich EDR Lösungenim Einzelnen aus?
Hier erklären wir Ihnen das Konzept dieser Technik, und warum sie bei der Cybersicherheit von morgen eine so grosse Rolle spielt.
Was genau ist EDR?
Anton Chauvin von Gartner® prägte den Ausdruck „Endpoint Detection and Response“ zur Beschreibung „einer Familie neuer Tools, die alles leisten von der Prävention bis hin zur Erkennung an Endpunkten und zudem umfassenden Einblick geben.“¹ EDR bietet mehrere Facetten. Im Prinzip handelt es sich dabei um AV einer ganz neuen Dimension.
EDR kann alles, was auch AV leistet, und noch ein paar Dinge mehr. Die Lösung verbessert also nicht nur die Sicherheit, sondern auch das Sicherheitsgefühl. Die wichtigsten Funktionen von EDR
- Monitoring
- Gefahrenerkennung
- Ein- und Ausschlusslisten
- Gefahrenbehandlung
- Integration in andere Cybersicherheitslösungen
EDR-Lösungen funktionieren KI-gesteuert. Sie halten nach neuen Gefahren Ausschau, erkennen verdächtige Vorgänge an Endpunkten oder können nach Ransomware-Angriffen alles automatisch neu ausrollen. Sie bieten also mehrere Handlungsoptionen, die tiefergehenden Schutz bewirken ― für Ihre Kunden sicherlich nicht uninteressant.
Im Kampf gegen die Cyberkriminalität könnte EDR Ihre neue Waffe werden. Sehen wir sie uns genauer an.
Einordnung von EDR im Bereich Cybersicherheit
EDR zielt auf den Schutz von Endpunkten ab. Ist deren Zahl sehr gross, sind klassische AVLösungen angesichts der täglich zunehmenden Bedrohungen zuweilen überfordert. Das Problem herkömmlicher Antivirenprogramme ist, dass sie passiv sind. Ein AV-Scanner kann nur bereits bekannte Viren erkennen und unschädlich machen ― Malware also, die zuvor schon einmal als solche entdeckt wurde.
Viele AV-Lösungen funktionieren auf Basis sogenannter Virensignaturen. Eine als Malware entlarvte Datei erzeugt einen bestimmten Hash-Wert, sprich eine Dateisignatur. Diese wird in eine AV-Datenbank aufgenommen. AV-Programme scannen Systeme nach Dateien ab, die zu bereits erfassten Virensignaturen passen. Finden sie eine solche Datei, wird diese unter Quarantäne gestellt.
Dass diese Signaturen regelmässig aktualisiert werden müssen, ist ein Schwachpunkt dieser Technik. Zwischen dem Moment, in dem ein neues Virus zum ersten Mal entdeckt wird, und dem Zeitpunkt, zu dem Sie Ihre Kunden wirksam davor schützen, liegt ein mehr oder minder grosses Zeitfenster. Bevor das nächste Signatur-Update kommt, kann bis dahin noch unbekannte Malware unerkannt in Systeme eindringen und dort Schaden anrichten. Anders gesagt: Der AV-Ansatz ist rein reaktiv.
EDR hingegen ist proaktiv; hier gibt es eine Monitoring-Software und Endpunkt-Agenten. Dank integriertem maschinellem Lernen und moderner KI kann die Lösung verdächtiges Verhalten erkennen und behandeln ― auch ohne entsprechenden Signatureintrag. Verändern sich beispielsweise mehrere Dateien gleichzeitig, erkennt die EDR darin eher einen Angriff auf einen Endpunkt als einen Benutzerfehler.
Auch die Hacker sind proaktiv am Werk: Viele haben Methoden entwickelt, um herkömmliche AV-Lösungen auszutricksen, beispielsweise durch regelmässige Veränderung des Hash-Wertes einer Malware, sodass dieser beim Datenbankabgleich nicht gefunden wird. Weitere Maschen sind dateilose Angriffe oder die Einrichtung neuer Administratorkonten auf Endpunkten mit umfassenden Rechten. Eine EDR-Software hält nach Prozessen Ausschau, die auf einem bestimmten Endpunkt vergleichsweise ungewöhnlich sind, und reagiert dann entsprechend. Hacker mögen proaktiv sein. Mit EDR sind Sie es aber auch.
AV kann nur bekannte Bedrohungen erkennen und unter Quarantäne stellen ― also die, die zuvor identifiziert wurden.
Wandel ― die einzige Konstante
Die Welt wandelt sich fortlaufend, so auch die Technik. E-Commerce-Services oder Unternehmensanwendungen werden tagtäglich von Milliarden Menschen genutzt: Die Cloud hat unser aller Leben gewaltig verändert. Doch Kriminelle halten mit der technischen Entwicklung Schritt und nutzen jede Neuerung, um an wertvolle Daten heranzukommen. Daten aber sind das höchste Gut Ihrer Kunden. Was unternehmen Sie, um sie zu schützen?
Ein AV-Scanner kann nur bereits bekannte Viren erkennen und unschädlich machen ― Malware also, die zuvor schon einmal als solche entdeckt wurde. Nicht nur die Cloud hat die Wirtschaft und das Leben verändert, auch KI und maschinelles Lernen werden es tun. Hinter EDRLösungen stehen KI und maschinelles Lernen. Auf dieser Basis sorgen sie für besseren Schutz vor Bedrohungen und eine Erkennung und Behandlung auch ausgefeilter Bedrohungen.
Die EDR setzt zuerst maschinelles Lernen ein, um die grundlegenden Verhaltensmuster eines bestimmten Endpunktes zu analysieren, und erkennt auf die Weise davon abweichende
Aktivitäten. Hierin liegt die besondere Stärke dieser Lösung. Sie analysiert Folgendes:
- Wurde die betreffende Aktion auf diesem Endpunkt schon einmal ausgeführt?
- Ist an einer Datei oder einem Verhalten etwas ungewöhnlich?
- Warum werden abgesicherte Dateien gelesen oder aufgerufen?
Die KI hilft EDR-Lösungen also dabei, Indizien für einen Angriff auch ohne Rückgriff auf bereits bekannte Charakteristika zu erkennen (ein Prinzip, das ohnehin unterlaufen werden kann). Polymorphe Malware erstellt neue Versionen ihrer selbst, um nicht entlarvt zu werden, Zero- Day-Malware nutzt bislang unbekannte Sicherheitslücken. Und diese Schädlinge werden von Lösungen übersehen, die zu den oben erwähnten Analysen nicht in der Lage sind. Die EDR wiederum leistet nicht nur diese Analysen, sondern ergreift auch konkrete Massnahmen gegen Malware-Angriffe: Prozessabbruch, Quarantäne, Behebung und Rollback.
Reaktionsmöglichkeiten von EDR-Lösungen
EDR-Software entdeckt Bedrohungen nicht nur, sie kann sie auch behandeln. Sobald ein Endpunkt-Agent eine Malware entdeckt, wird eine gute EDR sofort über das zentrale Monitoring-System aktiv, das die Bedrohungen analysiert und korreliert. Bei einigen Lösungen können Sie die Entstehung des Angriffs und seinen Weg zum Endpunkt sogar visuell verfolgen.
In Endpoint Detection and Response (EDR) beispielsweise sehen Sie den zeitlichen Ablauf eines Angriffs und können so besser verstehen, was vor sich geht. Diese Informationen unterstützen Sie nicht nur bei der Bedrohungsprävention, sondern Sie können sie auch bei Ihren Kunden als Leistungsnachweis in puncto Sicherheit herangeziehen.
AV und Festplattenverschlüsselung sind eine mögliche Methode für die Absicherung von Endpunkten. EDR hingegen bietet Ihnen Absicherung, die auch zukunftstauglich ist: Sie erhalten Analysen und Warnungen in Echtzeit und detaillierte forensische Daten. Sie haben die Möglichkeit, Geräte offline zu schützen oder sie vom Netzwerk zu trennen, um die Weiterverbreitung eines Befalls zu unterbinden. Und im Worst Case setzen Sie die Kill-Funktion ein: Sie rollen befallene Dateien neu aus.
Der Worst Case heisst Ransomware-Angriff und EDR bietet Ihnen eine Lösung dafür.
Ransomware-Angriffe haben folgenden Ablauf: Ein Benutzer öffnet eine E-Mail, einen E-Mail-Anhang oder besucht eine betrügerische Website; dann wird auf seinem Bildschirm eine Meldung angezeigt, dass alle Dateien auf dem Computer verschlüsselt werden und der Betreffende sie nur zurückbekommt, wenn er in Bitcoin oder einer anderen Kryptowährung ein Lösegeld zahlt. Leider ohne Garantie, dass er danach seine Daten zurückbekommt, weshalb viele Unternehmen zu diesem Schritt auch nicht bereit sind.
Ransomware kann jeden treffen und die Zahlen stimmen nachdenklich:
- Ende 2019 verzeichneten Unternehmen im Schnitt 16,2 Tage Ausfallzeit aufgrund von Ransomware.²
- Manchen Prognosen zufolge wird bis 2021 alle 11 Sekunden ein Unternehmen Opfer eines Ransomware-Angriffs.³
- Die Kosten durch Ransomware-Schäden liegen 2021 geschätzt bei 20 Milliarden US-Dollar.⁴
EDR bietet Ransomware-Rollback ― eine Funktion, die Ihr Serviceangebot klar aufwertet. Mit Hilfe einer ganz besonderen Technik nimmt die Funktion in regelmässigen, vom Admin konfigurierbaren Intervallen Snapshots des betreffenden Endpunkts auf. Schlägt eine Ransomware zu, so kann das Geräte-Image mit wenigen Klicks auf einen vorherigen Zeitpunkt zurückgesetzt werden ― eine enorme Zeit- und Geldersparnis für Ihre Kunden.
EDR von SentinelOne und RMMS by Hotz + Koch Informatik AG
EDR ist Bestandteil unserer RMMS-Lösung
Mit RMMS (Remote, Management, Monitoring & Security) bieten wir eine umfassende Verwaltungs- und Überwachungslösung für Ihre IT in welcher die EDR Lösung von SentinelOne bereits integriert ist und Teil unseres Servicevertrages (SLA) ist. Es schützt Endpunkte anhand von KI und maschinellem Lernen vor Malware. Die Lösung erkennt verdächtiges Verhalten auf Endpunkten und reagiert richtliniengesteuert auf Bedrohungen.
RMMS für MSP Provider und ICT Dienstleister
RMMS bietet Ihnen die Möglichkeit, jede Funktion in jeder Umgebung und für jeden Kunden im grossen Umfang zu automatisieren, zu überwachen, zu verwalten und zu sichern.
Vollständige Überwachung und Verwaltung
Geben Sie sich nicht länger mit oberflächlichen Agenten zufrieden. Verschaffen Sie sich Einblick in Ihr gesamtes IT-Netzwerk. Jedes Gerät, jedes Betriebssystem, sowohl vor Ort als auch in der Cloud.
Automatische Erkennung und Bereitstellung
Erfassen Sie Kundennetzwerke, stellen Sie Servicevorlagen bereit und nutzen Sie Automatisierungsrichtlinien, damit ihre wertvollen leitenden Techniker für andere Aufgaben frei werden.
Kein Update verpassen
Stellen Sie problemlos Betriebssystem- und Funktionsupgrades sowie einen riesigen Katalog von Drittanbieteranwendungen bereit ― ganz ohne Programmieren.
Überall und jederzeit patchen
Patchen Sie jede Netzwerkumgebung, nach Plan oder nach Bedarf, mit unübertroffener Neustart-Kontrolle.
Anpassbare Automatisierung
Starre Automatisierungswerkzeuge bringen Ihnen nichts. Verschaffen Sie sich die Flexibilität, noch heute mit Ihrem eigenen Code, mit ein wenig oder auch ganz ohne Code zu automatisieren.
Minimaler Aufwand, maximale Wirkung
Skalieren Sie die Automatisierung mühelos und wenden Sie differenzierte Regeln für alle Geräte und Benutzer an.
Schaffen Sie Ihren idealen Stack
Wählen Sie erstklassige Berichterstellungstools und Integrationen aus ― einschliesslich Intune, Meraki und mehr ―, ohne sich an einen Anbieter zu binden, und greifen Sie über eine zentrale Konsole darauf zu.
Sicherheitsverfahren der nächsten Generation
Schützen Sie Ihre Kunden an jedem Kontaktpunkt, indem Sie die gesamte Palette der integrierten, mehrschichtigen Sicherheitslösungen von RMMS nutzen.
² Ransomware Costs Double in Q4 as Ryuk, Sodinokibi Proliferate“, Coveware. https://www.coveware.com/blog/2020/1/22/ ransomware-costs-double-in-q4-as-ryuk-sodinokibi-proliferate (aufgerufen im September 2020)
³ Global Cybercrime Damages Predicted to Reach $6 Trillion Annually by 2021“, Cybercrime Magazine. cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/ (aufgerufen im September 2020)
⁴ Global Cybercrime Damages Predicted to Reach $6 Trillion Annually by 2021“ Cybercrime Magazine. cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/ (aufgerufen im September 2020)