Von Antivirus zu Endpoint Detection & Response – Die Evolution der Endpunktsicherheit
Der Begriff Endpoint Detection & Response – kurz EDR – steht für zukunftsgerichtete Endpunktsicherheit, die Unternehmen tiefen Einblick in verdächtige und schädliche Aktivitäten gewährt. Davon ausgehend, dass es keinen hundertprozentigen Schutz geben kann, ermöglicht es EDR als sinnvolle Ergänzung zur Endpoint Protection, verdächtige Aktivitäten aufzuspüren, zu analysieren und schließlich darauf zu reagieren.
Erste Erwähnung fand der Begriff EDR im Jahr 2013 im Blog des Gartner-Analysten Anton Chuvakin, der damit eine Gruppe von Tools klassifizierte, die sich auf die Erkennung verdächtiger Aktivitäten an Endpunkten konzentriert, indem sie – anders als herkömmliche Sicherheitslösungen – nicht nach bekannter Malware sondern abnormalen Verhaltensweisen suchen. Anstatt potenzielle Malware einfach unter Quarantäne zu stellen, stand hinter diesen Lösungen die Idee, im Falle von Auffälligkeiten Alerts auszulösen, die weitere Untersuchungen und Analysen nach sich ziehen.
Dass Security-Technologien dieser Art damals längst überfällig waren, wurde spätestens ein Jahr später klar, als Symantec, führender AV-Anbieter mit einem Marktanteil von damals 25 Prozent, gegenüber der New York Times eingestehen musste, dass Antivirus-Lösungen in mittlerweile 49 Prozent der Angriffsfälle unwirksam seien. Dies war nicht überraschend, verfolgen klassische Antivirus-Lösungen doch einen rein signaturbasierten Ansatz, der primär auf Hashes bekannter Malware oder bekannten Zeichenketten basiert, und für Cyberkriminelle daher längst kein unüberwindbares Hindernis mehr darstellt.
Spätestens seit Malware-Autoren begonnen haben, Hashs zu modifizieren oder Zeichenketten gezielt zu verschlüsseln, können sie signaturbasierte Erkennung oder Binärscanner problemlos umgehen. Hinzu kommt, dass Cyberkriminelle immer häufiger spezielle Memory-basierte Schadsoftware einsetzten, die lediglich im Speicher aktiv ist, keinerlei Rückstände auf der Festplatte hinterlässt und damit für herkömmliche Schutzlösungen unsichtbar bleibt.
EPP – Antivirus einen Schritt voraus
In ihrer Existenz bedroht, haben traditionelle AV-Anbieter schließlich begonnen, ihre Lösungen zu so genannten Endpoint Protection Plattformen (EPP) weiter zu entwickeln und dabei um zusätzliche Security-Features wie etwa Firewall-Steuerung, Datenverschlüsselung, Intrusion Prevention (IPS) oder Data Loss Prevention (DLP) erweitert. Dabei konnten sie die inhärenten Schwachstellen klassischer AV-Lösungen – die Signatur-Abhängigkeit und den Fokus auf reine Prävention – jedoch nicht gänzlich aus der Welt schaffen. Hinzu kommt, dass stetes Ergänzen und Hinzufügen nicht gerade der Benutzerfreundlichkeit zuträglich ist, was wiederum auf Kosten der Sicherheit und des Betriebes geht.
Cyberangriffe und Datenschutzvorfälle, wie WannaCry, der EternalBlue-Exploit oder der Equifax-Hack haben dieses Problem dann immer sichtbarer gemacht und bei vielen Unternehmen ein Umdenken in Sachen Endpunktschutz eingeleitet. Sie wünschten sich eine verbesserte Sichtbarkeit und Analyse potenziell schädlicher Aktivitäten direkt am Endgerät und das in Echtzeit.
EDR – Licht ins Dunkel bringen
Mit Endpoint Detection and Response (EDR) wurde dann eine Sicherheitslösung entwickelt, die genau diese Sichtbarkeit liefert und die Transparenz von Bedrohungen wesentlich erhöht, indem sämtliche Dateiausführungen und -modifikationen, Registrierungsänderungen, Netzwerkverbindungen und Binärausführungen über die Endpunkte eines Unternehmens hinweg dokumentiert und analysiert werden. Diese Analyse macht es nicht nur möglich, Indikatoren einer möglichen Kompromittierung (ICO = indicator of compromise) von Endgeräten wirksam zu identifizieren und zu melden, sondern gleichzeitig detaillierte Forensik- und automatisierte Reaktionsmaßnahmen durchzuführen, um den Modus Operandi von Schadcode genauer zu beleuchten und gezielte Gegenmaßnahmen ergreifen zu können.
Viele Daten = viel Arbeit
In der erhöhten Sichtbarkeit liegt aber auch die Schwachstelle vieler EDR-Lösungen. Denn eine erhöhte Transparenz bedeutet eine erhöhte Menge an Daten, die analysiert, in Zusammenhang gebracht und meist manuell bewertet werden müssen. Es werden schlicht zu viele Ressourcen benötigt – d.h. Zeit, Bandbreite, aber vor allem qualifizierte Cybersecurity-Spezialisten –, die in den meisten Unternehmen sowieso knapp sind.
Hinzukommt, dass viele EDR-Lösungen nicht auf dem Endgerät selbst laufen, sondern eine Cloud-Konnektivität erfordern, und es im Ernstfall deshalb zu fatalen Zeitverzögerungen bei der Gefahrenabwehr kommen kann. Denn raffinierten Angreifern reichen heute schon Bruchteile einer Sekunde aus, um Daten erfolgreich abzuführen oder zu verschlüsseln.
Die Zukunft von EDR
Die Zukunft und allgemeine Markakzeptanz im Bereich EDR – auch abseits der Großunternehmen – wird maßgeblich davon abhängen, in wieweit Anbieter in der Lage sind Analyse, Erkenntnis und Reaktion zu einem Großteil zu automatisieren und unabhängig von menschlichem Eingreifen darzustellen. Maschinelles Lernen und künstliche Intelligenz werden hier sicher eine wichtige Rolle spielen. Konzepte wie „Active EDR“, also das Analysieren von Daten in Echtzeit direkt auf dem Endpoint – ohne Rückgriff auf die Cloud – werden hier sicher dazu beitragen. Sämtliche Events werden dabei in Echtzeit direkt auf dem Endpoint analysiert und die riesigen Datenmengen werden in komplette „Attack Stories“ zusammengeführt, die es auch weniger versierten Mitarbeitern erlaubt, nachvollziehen zu können, was tatsächlich geschehen ist. Im Falle tatsächlicher Angriffe werden umgehend automatisch Reaktionen eingeleitet und das in Echtzeit. Letztlich agiert „Active EDR“ wie ein SOC-Analyst auf jedem Endpunkt – prompte Erkenntnis und prompte Reaktionsmöglichkeiten inklusive.
Vor allem für mittelständische Unternehmen, die vom Fachkräftemangel betroffen und deshalb nicht in der Lage sind, alle Aspekte der Cybersecurity mit eigenen Spezialisten abzudecken, besteht zudem die Möglichkeit, EDR-Lösungen als Managed Security Service (MDR = Managed Detection & Response) zu beziehen. Indem die Endpunktsicherheit hier an Security-spezialisierte Dienstleister ausgelagert wird, hat die eigene IT-Abteilung wieder mehr Zeit und Ressourcen, um sich auf die eigentlichen Kernkompetenzen zu konzentrieren, ohne dabei die Unternehmenssicherheit zu vernachlässigen. Und selbstverständlich hilft es auch einen ordentlichen Schutz zu implementieren. Je besser mein Schutz ausfällt, umso mehr können sich die Spezialisten, um die wirklich anspruchsvollen Angriffe kümmern.
Über den Autor: Matthias Canisius, Regional Director Central and Eastern Europe bei SentinelOne.
