IT-Security November/Dezember 2023

Weitere Magazine

Info

30 | IT SECURITY EDR/XDR und Antivirensoftware WAS IST DER UNTERSCHIED? Begriffe wie „NGAV“ („Next-Generation Antivirus“), „EPP“ („Endpoint Protection Platform“) und „EDR“ („Endpoint Detection and Response“) gewinnen immer mehr an Bedeutung. Doch wie unterscheiden sich diese Technologien von herkömmlichen Antivirenprogrammen? Sind letztere überhaupt noch erforderlich? EINE XDR-PLATTFORM BIETET EINEN GESAMT- ÜBERBLICK ALS KORRE- LATIONSPLATTFORM UND TRÄGT DAZU BEI, DAS RISIKO ZU MIN- DERN, AUF VORFÄLLE ZU REAGIEREN UND SIE ZU BEHEBEN. Uwe Gries, Country Manager DACH, Stormshield, www.stormshield.de Fast ein Jahrzehnt nach dem angekündigten Ende traditioneller Antivirenprogramme stehen selbige bei der breiten Öffentlichkeit nach wie vor hoch im Kurs. Erstmals im Jahr 1987 von der Firma IBM als Antwort auf das Computervirus „Brain“ entwickelt, wurde der Begriff Antivirus im Laufe der Jahre durch viel Werbung populär und bildete in der Vorstellung der breiten Öffentlichkeit den einzigen Schutz vor Computerviren. Ähnlich wie ein Impfstoff verfügt ein Antivirenprogramm über eine Signaturdatenbank, mit der es Computerviren anhand deren Signaturen (Fingerabdrücke) erkennen kann. Das bedeutet aber, dass das Virus zunächst bekannt sein soll, bevor man seine Signatur identifizieren (und den Schädling bekämpfen) kann. Die zweite und wichtigste Einschränkung ist das Aufkommen des Polymorphismus, einer Technologie zur Erzeugung von mehreren Schadsoftwares, die zwar jeweils über eine einzigartige digitale Signatur verfügen, deren Infektionsmethode und Auswirkungen jedoch gleich sind. Diese Einschränkung wird umso prägnanter, da laut dem Institut AV-TEST fast 4 Millionen neue Malware-Programme pro Monat entwickelt werden. Darüber hinaus nutzen Cyberkriminelle zunehmend blinde Flecken in den Erkennungsalgorithmen aus, etwa bei Angriffen ohne Dateien („fileless malware“). Das Ergebnis: Ausschließlich auf Signaturen beruhende Erkennungsmechanismen lassen die Mehrheit der Malware durch und müssen unbedingt durch andere Sicherheitstechnologien ergänzt werden. Die Raffinesse von Cyberangriffen reicht sogar so weit, dass AV-Programme selbst zur Zielscheibe werden. Auf der Konferenz Black Hat Europe im Dezember 2022 enthüllte ein Sicherheitsforscher beispielsweise eine neue Schwachstelle, die mehrere Antivirenprogramme betraf. Diese ermöglicht es, Antivirensoftware zu kapern und sie dazu zu bringen, legitime Dateien zu löschen. Was kann man also tun, wenn das wichtigste Schutzinstrument seine Funktion nicht mehr erfüllt? Der Einzug der Verhaltenserkennung Um auf diese Bedrohung zu reagieren, mussten die Hersteller von Cybersicherheitslösungen umdenken und von der Suche nach Fingerabdrücken zur heuristischen Analyse auf der Grundlage des Malwareverhaltens wechseln. Unter dem Namen „Next Gen Antivirus“ oder NGAV bildeten diese neuartigen Antivirenprogramme die Grundlage für das spätere Konzept der EPP („Endpoint Protection Platform“). EPP-Lösungen waren eine erste Antwort auf Polymorphismus und dateilose Angriffe, indem sie neue Funktionen wie Speicherüberwachung, Verhaltensanalyse oder die Überprüfung von Kompromittierungsindikatoren (IoCs) integrierten. Trotzdem schlüpften heimtückische Cyberangriffe weiterhin durch die Maschen des Sicherheitsnetzes. So tauchten im Jahr 2013 ETDR-Lösungen („Endpoint Threat Detection & Response“) zur Incident- Response und Investigation auf. Ab 2015 wurde das Akronym ETDR durch EDR für „Endpoint Detection & Response“ ersetzt. Die Besonderheit des neuen Ansatzes liegt in der Fähigkeit, unbekannte Bedro- November/Dezember 2023 | www.it-daily.net
IT SECURITY | 31 hungen zu erkennen und in Echtzeit halb autonom darauf zu reagieren: Wenn eine Bedrohung erkannt wird, blockiert die EDR-Lösung die Ausführung des Programms im Vorfeld manchmal via Quarantäne. Sie unterstützt also Einsatzteams dabei, eine weitere Ausbreitung der Infektion zu verhindern und Nachforschungen anzustellen. EDR- und EPP- Lösungen sind dabei komplementär: Wenn man eine Parallele zur physischen Sicherheit eines Unternehmens ziehen möchte, so sind EDR-Lösungen die Überwachungskameras. Mit ihnen kann man sehen, ob etwa eine Person in Ihr Firmengelände eindringt. Aber um den Eindringling schon am Eingang abzuwehren, benötigt man einen Wachmann vor Ort, das ist dann ein EPP. Der Bedarf an Antivirenprogramme besteht aber nach wie vor. Sie stellen eine erste Sicherheitsebene dar: Selbst wenn sie nicht gegen alle Cyberangriffe wirksam sind, bieten sie dennoch einen ersten Schutz vor weniger raffinierten Angriffen, sorgen für die Verringerung, gar Vermeidung von False Positives und verbrauchen geringe Ressourcen auf dem Computer. Eine erste Sicherheitsebene allein reicht jedoch nicht aus. Demnach werden in Unternehmen des Öfteren auf demselben Computer mehrere Sicherheitslösungen installiert. Eine Kombination, die sich aber nicht immer gut verträgt. Einige Konstellationen können zu Konflikten führen, wodurch Cyberkriminellen eine weitere Tür geöffnet wird. NDR, XDR, MDR Trotz der versprochenen Autonomie solcher Lösungen müssen diese Tools von Experten betreut werden, wie die Entwicklung von Angeboten für Managed EDR oder Mini-SOCs zeigt. Neben der Verbesserung der Erkennung müssen Tools zum Endpunktschutz unbedingt auch über die Fähigkeit verfügen, Vorfälle zu erkennen und darauf zu reagieren. Und da es immer mehr Sammelstellen für Vorfälle gibt, müssen SOC-Analysten Zugriff auf alle Netzwerk- und Infrastrukturgeräte haben. So analysieren NDR-Lösungen („Network Detection and Response“) die TCP/IP-Pakete, die über das Netzwerk versendet werden, um verdächtige Aktivitäten zu erkennen, während XDR-Plattformen („eXtended Detection and Response“) dazu dienen sollen, alle internen und externen IT-Assets zusammenzuführen. Eine XDR-Plattform bietet diesen Gesamtüberblick als Korrelationsplattform und trägt dazu bei, das Risiko zu mindern, auf Vorfälle zu reagieren und sie zu beheben. Unabhängig von Tools und Technologien sollte man sich allerdings stets vor Augen halten, dass Analysten weiterhin eine zentrale Rolle spielen und dass keine Technologie allein sensible IT-Systeme oder Daten schützen kann. In einer Studie der Organisation Survey Risk Alliance gaben nur 12 Prozent der Fachleute für Cybersicherheit an, dass sie bis 2022 eine XDR-Lösung in ihrer Organisation eingeführt hatten. Die übrigen 78 Prozent sagten, dass sie die Einführung in den nächsten 24 Monaten planten. Die Nachfrage nach Sicherheitsfachleuten, die sich auf die Erkennung von und die Reaktion auf Vorfälle spezialisiert haben, dürfte folglich in den nächsten Jahren weiter steigen. Diese Fähigkeiten werden dringend benötigt, um mit der ständigen Weiterentwicklung cyberkrimineller Vorgehensweisen Schritt zu halten, und ihre Dienste werden für Unternehmen wahrscheinlich leichter zugänglich sein, wenn sie Managed EDR oder Mini-SOCs nutzen. Uwe Gries www.it-daily.net | November/Dezember 2023
Seite 1 und 2: Detect. Protect. Respond. November/
Seite 3 und 4: INHALT | 3 COVERSTORY 04 21 Inhalt
Seite 5 und 6: COVERSTORY | 5 it security: Wie sie
Seite 7 und 8: THOUGHT LEADERSHIP | 7 Wie Cybersic
Seite 9 und 10: THOUGHT LEADERSHIP | 9 mensstrategi
Seite 11 und 12: IT SECURITY | 11 Cybersecurity im M
Seite 13 und 14: IT SECURITY | 13 ein Angreifer bere
Seite 15 und 16: IT SECURITY | 15 ANGREIFER NUTZEN K
Seite 17 und 18: Kampf gegen Cyberkriminalität MARK
Seite 19 und 20: IT SECURITY | 19 lerdings dauert di
Seite 21 und 22: ADVERTORIAL | 21 Customer Identity
Seite 23 und 24: IT SECURITY | 23 Tixeo steht für m
Seite 25 und 26: ADVERTORIAL | 25 Kompatibilität un
Seite 27 und 28: IT SECURITY | 27 identifiziert und
Seite 29: ADVERTORIAL | 29 Software-Schwachst
Seite 33 und 34: IT SECURITY | 33 Wissen, was geht T
Seite 35 und 36: IT SECURITY | 35 tieren. Zeitmangel
Seite 37 und 38: IT SECURITY | 37 Separated App: ein
Seite 39 und 40: IT SECURITY | 39 DIE IT-SA WAR AUCH
Seite 41 und 42: IT SECURITY | 41 AUCH 2023 SEHEN WI
Seite 43 und 44: IT SECURITY | 43 IT-Sicherheitstren
Seite 45 und 46: IT SECURITY | 45 (IPMI). Letzteres
Seite 47 und 48: IT SECURITY | 47 Das kleine Einmale

IT-Security November/Dezember 2023

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?