Im Zeichen der Digitalisierung müssen Organisationen mehr denn je über die Vorgänge in ihrem Netzwerk informiert sein. Nur so lassen sich Angriffe von außen abwehren, interne Sicherheitslücken identifizieren oder erfolgreiche Hackerangriffe in Echtzeit erkennen und aufarbeiten. Endpoint Detection and Response-Tools unterstützen die IT-Security-Teams von immer mehr KMU.
Erfolgreiche Cyberangriffe auf Unternehmen erfolgen in den seltensten Fällen „Knall auf Fall“, sondern sind das Resultat längerer und vor allem aufwendiger Vorbereitungen auf Seiten der Hacker. Je besser das anzugreifende Netzwerk jedoch abgesichert ist, desto intensiver müssen Cyberkriminelle nach Schwachstellen suchen. Das bedeutet für sie, vorab geeignete Wege zu finden, um in der Zielorganisation eine Basis für einen Angriff schaffen zu können. Insbesondere, wenn Advanced Persistent Threats und Zero-Day-Exploits ins Spiel kommen, stoßen jedoch klassische Sicherheitsprodukte an ihre Grenzen. Diese Gefahren können zwar selten direkt, wie beispielsweise Malware, aber umgehend als Anomalie im Netzwerk erkannt werden.
Endpoint Detection and Response
Abhilfe schaffen Endpoint Detection and Response Lösungen, die das Schutzniveau deutlich erhöhen und IT-Security-Verantwortlichen eine umfassende Innensicht ihres Netzwerkes ermöglichen. Aber was bedeutet Detection und Response eigentlich in der Praxis? Zum einen soll damit der Endpoint geschützt werden („Detection“), auf dem die meisten Hacker-Aktivitäten stattfinden. Dort liegt ein Großteil der schutzwürdigen Daten vor bzw. werden am Gerät zum Beispiel Passwörter oder Bankdaten eingegeben. Zum anderen beschreibt „Response“, dass auf Anomalien sofort reagiert werden kann.
Alle Aktivitäten innerhalb der IT-Infrastruktur (Nutzer-, Datei-, Prozess-, Registry-, Speicher- und Netzwerk-Vorgänge) können dank EDR in Echtzeit überwacht und bewertet werden. Bei Bedarf kann der IT-Verantwortliche sofort manuell handeln oder es greifen automatische, zuvor definierte Verhaltensweise ein. Nur auf diese Weise lassen sich erste Spuren von Hackern identifizieren, Fehlverhalten von Mitarbeitern bestimmen und Sicherheitsmängel ausfindig machen. Oder die Einfallstore finden, die bei einem erfolgreichen Hackerangriff auf das eigene Netzwerk zu weit offenstanden.
Die Auswertung aller Endpoint-Daten in einem Netzwerk lässt Rückschlüsse auf die Validität einzelner Abläufe zu. Eine genaue Erfassung von alltäglichen Vorgängen wie das Kopieren von Dateien, User-Zugriffe auf bestimmte Bereiche im Netzwerk oder aber auch An- und Abmeldungen von Anwendern erlaubt bei entsprechender Auswertung ein Herausfiltern bösartiger Aktivitäten.
Zudem bieten Endpoint & Response-Lösungen eine weitere wichtige Einsatzmöglichkeit: Mit ihrer Hilfe können nach einer Cyberattacke forensische Untersuchungen vorgenommen werden. Ähnlich einem Mordfall in bekannten Krimis werden möglichst viele Informationen gesammelt und Alibis, in diesen Fällen die ordnungsgemäßen Arbeitsweisen, überprüft. Administratoren erkennen dann zuverlässig, wie der Angriff ablief, welche Schwachstellen konkret ausgenutzt und welche Veränderungen im Netzwerk vorgenommen wurden. Dazu kann der Verantwortliche auf Informationen von Reputationssystemen zurückgreifen und/ oder anhand des MITRE ATT&CK Frameworks die einzelnen Phasen einer Attacke umgehend einordnen.
EDR-Lösungen ersetzen dabei keine Endpoint Protection oder Antiviren-Lösungen, sondern ergänzen sie um eine wichtige Komponente: die Erkennung von Verhaltensanomalien, die im Netzwerk und auch auf den Endpoints auftreten. Diese Erkennung basiert auf vordefinierten Regeln in einem Rechnerverbund, die alle legalen Aktivitäten abbilden. Basierend auf diesen Angaben analysiert die EDR-Anwendung die Datenströme. Darüber hinaus werden auch Informationen der eingesetzten Endpoint Protection in die Bewertung einbezogen.
Managed Detection and Response als lukrative Dienstleistung
Aufgrund der Vielschichtigkeit und der Komplexität der Materie kamen EDR-Lösungen bislang nur in Großkonzernen zum Einsatz, in denen die IT-Abteilungen entsprechende Ressourcen und Know-how mitbringen. Dies ändert sich gerade gravierend: Mittelständische Unternehmen nutzen verstärkt die Möglichkeit, EDR in ihren Netzen einzusetzen. Sie greifen dabei auf eine steig wachsende Anzahl von Dienstleistern zurück, die mit dem so genannten Managed Detection and Response (MDR) ihre Expertise als Service anbieten.
Gleichzeitig werfen auch IT-Sicherheitshersteller ihren Hut in den Ring. Beispielsweise steigt ESET ab 2023 mit eigenen MDR-Services in den Markt ein. Mit umfassenden, auf den tatsächlichen Bedarf der Kunden zugeschnittenen Dienstleistungen stärkt der Sicherheitshersteller die Schutzmechanismen der Unternehmens-IT. Dreh- und Angelpunkt ist dabei die eigene EDR-Lösung. Die Services verfolgen einen ganzheitlichen Security-Ansatz, der effektive Hilfe bei der Untersuchung von Vorfällen sowie eine ausführliche Analyse potenziell schädlicher Dateien bietet. Darüber hinaus wird eine optimale Anpassung an die Bedürfnisse der Organisation gewährleistet. So werden mögliche Einfallstore frühzeitig erkannt und zuverlässig geschlossen.
Extended Detection and Response für Security-Profis
Sicherheitsexperten schwören auf die erweiterte Form von Endpoint Detection and Response: Extended Detection and Response (XDR). Diese besondere Variante bezieht Daten nicht nur von Endpoints, sondern auch von vielen weiteren Informationsquellen in seine Analysen mit ein. Dies können im „einfachen“ Fall Daten aus Netzwerken, E-Mails oder der Cloud-Sandbox sein. Besonders wertvoll wird XDR dann, wenn Telemetriedaten aus weiteren Quellen wie Cloud-Anwendungen, SIEM (Security Information and Event Management), SOAR (Security Orchestration and Response) oder RMM (Remote Monitoring and Management) verarbeitet werden.
Für die gewinnbringende Auswertung aller Daten benötigt XDR zum einen eine leistungsfähige EDR-Lösung und zum anderen eine Security-Plattform, die mit der nötigen Performance und einem ausgefeilten Know-how aus Einzelinformationen Übersichten, Problemlösungen und Security-Aktionen generieren kann. Hierauf sollten Unternehmen bei der Auswahl der Sicherheitslösungen besonders achten.
Fazit
Alle Detection & Response-Lösungen haben eine große Gemeinsamkeit: Sie schaffen Sichtbarkeit der Vorgänge in einer Organisation. Nichts ist schwieriger, als einen unsichtbaren Feind bekämpfen zu wollen. Aber selbst, wenn es Angreifern möglich wird einige der automatisierten Verteidigungsmaßnahmen zu durchdringen, können EDR/XDR/MDR-Lösungen in der forensischen Arbeit von unschätzbarem Wert sein. Anhand deren Daten und Ergebnisse wird sichtbar, wie Cyberkriminelle ins Netzwerk eindrangen und es können daraus ableitend Maßnahmen ergriffen werden, um die eigene IT-Sicherheitsarchitektur weiter zu verbessern.
