Ausgeklügelte Cyberangriffe nehmen zu

Endgeräte, das Lieblingstor der Cyberkriminellen

Präventive Massnahmen alleine reichen nicht, um Notebooks, Desktops und Smartphones zu schützen. Um raffinierte Cyberattacken zu erkennen und beseitigen, sind zusätzliche Massnahmen unumgänglich. Wie ein System für Endpoint Detection & Response.

Text: Andreas Heer, Bild: iStock, 12. Oktober 2020

Endgeräte sind meistens der Anfang: Etwa 70 Prozent der Cyberattacken nutzen als ersten Angriffspunkt Endpoints, wie der «Endpoint Security Trends Report» des US-amerikanischen Securityanbieters «Absolute Software» ermittelt hat. Mit Endpoints sind zum einen Notebooks, PCs und Smartphones gemeint, aber auch lokale Server im Firmennetz.

Die grosse Zahl erfolgreicher Attacken zeigt, dass ein rein präventiver Schutz mit Antivirensoftware und Firewall oft nicht reicht. Das liegt daran, dass die Angriffe immer ausgeklügelter werden. So nehmen sogenannte dateilose Attacken zu. Sie können etwa aus einem PowerShell-Skript bestehen und laufen ausschliesslich im Arbeitsspeicher eines Windows-Rechners, ohne Spuren im Dateisystem zu hinterlassen. Für signaturbasierte Antivirensoftware ist ein solcher Angriff deshalb unsichtbar. Und weil die eigentliche Payload oftmals über eine kompromittierte Website heruntergeladen wird, schöpft auch die Firewall keinen Verdacht.

Mit Endpoint Detection & Response den Schutz steigern

Endgeräte benötigen also zusätzliche Schutzmassnahmen, die auch ausgeklügelte Angriffe erkennen können – erst dann kann ein Unternehmen Massnahmen zur Beseitigung des Angriffs einleiten. Ein System für Endpoint Detection & Response (EDR) ist dazu in der Lage. Im Gegensatz zu signaturbasierter Antivirensoftware untersucht es das Verhalten des Endgeräts und kann Anomalien feststellen. Zur Analyse der Verhaltensmuster nutzt EDR auch Machine Learning, um eine möglichst präzise Erkennungsrate zu bieten. Den Begriff «EDR» prägte der Gartner-Analyst Anton Chuvakin im Jahr 2013, also vor nicht allzu langer Zeit.

EDR ist aber keine Standalone-Lösung. Denn die Alerts bei Anomalien werden sinnvollerweise in Monitoring-Systeme wie ein SIEM (Security Information and Event Management) oder ein SOAR (Security Orchestration, Automation and Response) integriert. Das erlaubt es, die passenden Massnahmen zu ergreifen wie beispielsweise die automatische Blockierung des Netzzugriffs des Endgeräts. Oder auch die manuelle Analyse des Vorfalls durch die Security-Spezialisten. Das sind Aufgaben, die üblicherweise ein Security Operations Center (SOC) übernimmt. Ein SOC ist denn auch die logische – und sinnvolle – Voraussetzung für ein wirkungsvolles EDR.

Integration in Prozesse und Systeme nötig

Das bedingt, dass eine EDR-Lösung in die bestehenden Prozesse und Security-Systeme integriert wird. Das kann sich je nach bestehender Infrastruktur als Herausforderung erweisen, etwa bei der Anpassung der automatisierten Response-Massnahmen. Eine weitere Hürde stellen die verfügbaren Ressourcen der internen IT-Security-Abteilung dar. Sind genügend Ressourcen vorhanden, um auch grössere Angriffe zu bewältigen?

Deshalb auf EDR zu verzichten, wäre eine schlechte Alternative. Stattdessen stellt die Kombination von EDR und SOC as a Service einen wirtschaftlichen und vor allem gangbaren Weg dar, um der Kostenunsicherheit und dem Fachkräftemangel zu begegnen. Ohne den heute benötigten Reifegrad bei der IT-Security zu gefährden.