5 Min. Lesezeit
EDR-Lösung - der Sherlock Holmes der Cybersicherheit
DriveLock May 14, 2020 9:59:51 AM
Die fortschrittlichen Techniken, die Angreifer heute einsetzen, erfordern umfassendere und proaktivere Sicherheitsmaßnahmen. Eine der wirkungsvollsten Methoden, um die Sicherheitslücke zwischen der Erkennung und der Reaktion auf Bedrohungen zu schließen, ist die Implementierung einer Endpoint Detection and Response (EDR)-Lösung.
Ausblick
- EDR (Endpoint Detection and Response) Lösungen bieten umfassende Sichtbarkeit aller Aktionen auf Endpunkten, erkennen und reagieren auf Cyber-Bedrohungen, nutzen Verhaltensanalysen und sind effektiver als einfache Anti-Malware-Lösungen.
- EDR-Lösungen überwachen in Echtzeit und sammeln sowie korrelieren Daten zu laufenden Prozessen, Dateiaktivitäten, gestarteten Programmen, angeschlossenen Geräten und Anmeldeversuchen, um versteckte Angriffe wie file-less Attacken frühzeitig zu erkennen.
- Sicherheitsverantwortliche und forensische Ermittler erhalten durch EDR-Lösungen die nötigen Informationen für ihre Analysen und Bedrohungssuche. Diese Lösungen helfen bei der Nachverfolgung von Vorfällen und der Analyse typischer Angriffsvektoren und -techniken, wie in der MITRE ATT&CK™-Datenbank beschrieben.
- EDR-Lösungen identifizieren Angriffe durch Verhaltens- oder Heuristikanalysen, unabhängig von bekannten Signaturen. Dies ist besonders nützlich gegen Zero-Day-Angriffe und dateifreie Malware, die von traditionellen Antivirus-Lösungen oft nicht erkannt werden.
- EDR-Lösungen ermöglichen effektive Bereinigungs- und Behebungsmaßnahmen nach einem Angriff. Reaktionen können automatisiert oder zentral durch einen Administrator gesteuert werden, einschließlich Quarantäne von Rechnern, Beendigung von Prozessen und Durchführung von Security Awareness-Kampagnen.
EDR-Plattformen bieten eine ganzheitliche Sicht auf alle Aktivitäten auf den Endpunkten eines Netzwerks und ermöglichen es Unternehmen, nicht nur eindringende Malware zu identifizieren, sondern auch verdächtige Verhaltensmuster zu erkennen, die auf tieferliegende Cyberbedrohungen hinweisen. In diesem Blogbeitrag werden wir die Schlüsselkomponenten einer typischen EDR-Lösung untersuchen und aufzeigen, wie diese Systeme dazu beitragen, moderne Unternehmen vor immer raffinierteren Angriffen zu schützen.
A. Der EDR-Plattform auf der Spur
In unserem letzten Blog-Post „Von stillen Hackerangriffen zur Notwendigkeit von Detection-Mechanismen“ haben wir über verdeckte Cyberangriffe und die Notwendigkeit für Detection-Werkzeuge gesprochen. Nun möchten wir Ihnen eine typische EDR-Lösung mit ihren Bausteinen vorstellen.
Hier noch einmal kurz zusammengefasst, was eine EDR-Plattform leistet:
- Sichtbarkeit aller Aktionen auf den Endpunkten: Es werden Security-Events und nicht nur eindringende Malware erkannt.
- Aufdeckung von und Reaktion auf Cyber-Bedrohungen und -Angriffe
- Verhaltensanalysen
- Vorteil gegenüber einfachen Anti-Malware-Lösungen, die nur zum Zeitpunkt des Eindringens in die Systeme gegen explizite, bekannte Schadsoftware helfen, aber z.B. nicht gegen dateilose Schadsoftware.
B. 4 Funktionen einer EDR-Lösung
1. Überwachung der Aktivität des Endpunkts in Echtzeit
Es gibt Analysen, dass ein Angriff über eine Living-of-the-Land-Attacke (LotL) - sogenannte "file-less Attacken" - im Durchschnitt bis zu 200 Tage unerkannt bleibt. Endpoint Detection & Response (EDR) Lösungen ermöglichen die „stille“ Beobachtung eines Eindringlings ohne einzugreifen.
Erkennung, Sammlung und Querkorrelation von Daten
Eine EDR-Lösung bietet die Möglichkeit, Daten unternehmensweit zu erkennen und zu korrelieren. Sie sammelt während einer Attacke Informationen zu:
- laufenden Prozessen,
- Dateien, auf die zugegriffen wird,
- gestarteten Programmen,
- Geräten, die angeschlossen werden,
- der Art des Zugriffs, der über das Netzwerk auf dem Endpunkt erfolgt,
- unternommene Anmeldeversuche,
- Änderungen gegenüber der Endpoint Baseline, in der Standard-Sicherheitseinstellungen vorgegeben wurden, z.B. installierte unautorisierte Software
2. Unterstützung von forensischen Analysen und der Suche von Bedrohungen
Die EDR-Lösung liefert Sicherheitsverantwortlichen, Security-Teams und forensischen Ermittlern die notwendigen Hinweise für die Durchführung ihrer Analyse von auffälligem bzw. abweichendem Verhalten auf dem Endgerät.
Wenn es um Cybersicherheit geht, sollte ein Sicherheitsteam jederzeit den Status und Fortschritt seiner Nachforschungen berichten können. Vorraussetzung hierfür ist das Verständnis typischer Angriffsvektoren und Angriffsvorgehensweisen.
Angriffstechiken und Vektoren - Welche Attacken gibt es?
Greifen wir die MITRE ATT&CK™-Datenbank als Beispiel heraus: Diese Datenbank bietet tiefgreifende Informationen über Angriffstaktiken und Angriffstechniken und sie basiert auf realen Beobachtungen. MITRE ATT&CK™ ist kostenlos.
Verfolgung von Vorfällen: Thread Hunting
Wieviele Vorfälle während der Bedrohungssuche (Threat Hunting) aufgedeckt werden, sollte aber nicht als einziger Erfolgsindikator gelten. Was ist, wenn man nichts Auffälliges findet und trotzdem etwas vorhanden ist?
Es ist deshalb wichtig zu prüfen, ob die richtigen Daten gesammelt wurden, ob die Automatisierung verbessert wurde und wie viel das Team über seine eigene Umgebung weiß, wenn es nach bestimmten gegnerischen Techniken sucht. Dies funktioniert nur mit Fokus auf die richtigen Daten – und hier unterstützt die EDR-Lösung.
3. Identifikation von Angriffen durch Verhaltens- oder Heuristik- Analyse
Eine Verhaltens- oder Heuristikanalyse kann neue Techniken und Malware identifizieren, ohne sich auf bekannte Signaturen zu verlassen. Unter Signaturen verstehen wir u.a. die etablierte Praxis von Softwareherstellern, ihre Programme zu signieren.
Antivirus-Programme (AV) arbeiten auf Basis bekannter Signaturen und können daher nur das melden oder verhindern, was sie auch kennen. Beschreibungen für Schadsoftware sind aber oft nicht aktuell oder fehlen ohnehin aufgrund der Menge auftretender Varianten.
Ein AV-Lösung kann eine Malware-Signatur erkennen, diese ist eine fortlaufende Folge von Bytes, die in Malware enthalten sind. Aber Zero-Day-Angriffe beispielsweise manipulieren die Signatur und werden von AV-Lösungen oft nicht erkannt.
Bei Ransomware-Angriffen handelt es sich um Software, die von Usern – häufig über einen infizierten Email-Anhang – eingeschleust wird . AV schützt nicht immer vor Ransomware, da die Signatur der Malware manchmal neu oder nicht erkennbar ist.
Im Gegensatz zu einer Ransomware-Bedrohung ist ein dateifreier Malware-Angriff ein Angriff auf vorhandene Windows-Tools und keine schädliche Software, die auf dem Computer des Opfers installiert wird. Daher gibt es keine Signatur, die der AV abholen kann.
4. Bereinigung und Behebung von Problemen
EDR-Lösungen ermöglichen eine effektivere Bereinigung und Behebung nach einem Angriff. Die Gegenreaktionen bzw. Responses werden (bei DriveLock) in einer Policy konfiguriert. Responses werden beim Eintreten eines Alerts automatisch ausgeführt oder zentral durch einen Administrator.
Mögliche Responsemöglichkeiten bei Alerts sind u.a.:
- Rechner in Quarantäne schicken bzw. vom Netzwerk isolieren, Prozesse killen, Sicherheitseinstellungen hochregeln
- Ausführen beliebiger Scripts und Batchfiles (z.B. Powershellscript)
- Ändern der Gruppenmitgliedschaft zum Steuern von Policies
- Bewerten von Benutzerverhalten (User Score)
- Bestimmung von unsicheren Computern (Computer Score)
- Starten einer Security Awareness-Kampagne
C. EDR-Compliance
EDR-Compliance bezieht sich auf die Einhaltung von Vorschriften und Standards im Zusammenhang mit Endpoint Detection and Response (EDR)-Systemen. EDR-Systeme sind Sicherheitslösungen, die darauf abzielen, Bedrohungen an Endpunkten (wie Computern, Smartphones und Servern) in einem Netzwerk zu erkennen, darauf zu reagieren und sie zu beheben.
-
Erkennung und Reaktion auf Bedrohungen
EDR-Systeme müssen in der Lage sein, Bedrohungen wie Malware, Ransomware oder unbefugte Zugriffe auf Endpunkte zu identifizieren und darauf zu reagieren. Die Compliance fordert sicherzustellen, dass diese Erkennungs- und Reaktionsmechanismen effektiv und den Vorschriften entsprechend funktionieren.
-
Datensammlung und -analyse
EDR-Lösungen sammeln und analysieren Daten von Endpunkten, um ungewöhnliche Aktivitäten zu erkennen. Die Compliance stellt sicher, dass diese Datenerfassung im Einklang mit gesetzlichen Datenschutzanforderungen steht und nur die notwendigen Daten verarbeitet werden.
-
Regelmäßige Überwachung und Reporting
Um die Compliance sicherzustellen, müssen Unternehmen regelmäßig Berichte über Sicherheitsvorfälle, Systemzustand und Reaktionsmaßnahmen erstellen. Dies hilft nicht nur bei der Einhaltung von Vorschriften, sondern auch bei der ständigen Verbesserung der Sicherheitsstrategien.
-
Sicherheitsrichtlinien und -prozesse
EDR-Compliance erfordert, dass Sicherheitsrichtlinien und -prozesse dokumentiert und eingehalten werden. Dies umfasst Richtlinien zur Bedrohungserkennung, Incident-Response-Pläne und regelmäßige Audits, um sicherzustellen, dass die Sicherheitsmaßnahmen aktuell und wirksam sind.
-
Zusammenarbeit mit anderen Sicherheitslösungen
EDR-Systeme müssen oft mit anderen Sicherheitslösungen (wie Firewalls, Antivirus-Programmen oder SIEM-Systemen) integriert werden. Die Compliance verlangt, dass diese Integrationen reibungslos funktionieren und den gesamten Sicherheitsansatz unterstützen.
In einer Zeit, in der Cyberangriffe immer ausgeklügelter und schwerer zu erkennen sind, spielt eine leistungsfähige EDR-Lösung eine zentrale Rolle in der Verteidigungsstrategie eines Unternehmens. Die Fähigkeit, Bedrohungen nicht nur zu erkennen, sondern auch effizient darauf zu reagieren und diese zu beheben, macht EDR zu einem unverzichtbaren Werkzeug in der IT-Sicherheit. Von der Überwachung in Echtzeit über die forensische Analyse bis hin zur proaktiven Bedrohungssuche – eine umfassende EDR-Lösung deckt alle Aspekte ab, die notwendig sind, um das Risiko von Cyberangriffen zu minimieren.
Letztlich ist es die Kombination aus diesen Funktionen, die Unternehmen in die Lage versetzt, nicht nur auf Angriffe zu reagieren, sondern ihnen zuvorzukommen. EDR-Lösungen bieten eine ganzheitliche Sicht auf die Sicherheit von Endpunkten und helfen, die oft unsichtbaren Bedrohungen zu erkennen, bevor sie Schaden anrichten können. Indem Sie eine EDR-Lösung implementieren und optimal nutzen, schaffen Sie eine sichere Umgebung, in der Ihre Daten und Systeme geschützt sind – heute und in Zukunft.
TOP BLOG-KATEGORIEN
IT-Sicherheit
Cyber Security
Hackerangriff
Behörden
Gesundheitswesen
Phishing
Verschlüsselung
Endpoint Protection
Beiträge nach Kategorien
- #Blog (141)
- IT Sicherheit (94)
- Cyber Security (70)
- Datensicherheit (65)
- Cyberrisiken (57)
- Hackerangriff (45)
- Geräteschutz (44)
- #Presse (37)
- Cyberattack (36)
- Endpoint Protection (34)
- Zero Trust (32)
- IT Grundschutz (31)
- Security Awareness (28)
- Verschlüsselung (22)
- Application Control (21)
- Malware (20)
- Device Control (16)
- #News (15)
- Encryption (15)
- BSI-Gesetze (12)
- Endpoint Security (12)
- Cloud (11)
- Firewall (11)
- Partner (11)
- Phishing (11)
- Ransomware (11)
- Cyber Bedrohungen (10)
- Behörden (9)
- BitLocker Management (9)
- Industrie (9)
- Mittelstand (9)
- Multi-Faktor-Authentifizierung (9)
- Privatsphäre (9)
- Managed Security Service (8)
- Gesundheitswesen (6)
- Studien (6)
- Whitelisting (6)
- Awards (5)
- Data Loss Prevention (5)
- Home Office (5)
- Bad USB (4)
- DSGVO (4)
- KRITIS (4)
- Vulnerability Management (4)
- Defender Management (3)
- Events (3)
- NIS2 (3)
- Release (3)
- Smartcards (3)
- covid-19 (3)
- industry (3)
- Access Control (2)
- Disk Encryption (2)
- IIoT (2)
- Risk & Compliance (2)
- data protection (2)
- Charismathics (1)
- DLP (1)
- Finance (1)
- Remote Work (1)
- Sicherer USB (1)
- Virtual Smartcards (1)
10 Tipps, um Ihr Unternehmen vor Scareware zu schützen
Scareware, auch als Angst-Malware bekannt, ist eine Taktik, bei der Betrüger die Ängste und Unsicherheiten von Nutzern ausnutzen, um sie zu...
Stille Hackerangriffe und die Notwendigkeit von Detection-Mechanismen
Immer wieder lesen wir von Hackerangriffen, bei denen es Angreifern monatelang unbemerkt gelang, ein Unternehmen, eine Behörde, ein Ministerium...