Um die Cyber-Gefahren heutzutage abzuwehren brauchen Unternehmen eine moderne Endpointsecurity mit EDR – auch sogenannte Next Gen Endpoint Security. EDR steht für Endpoint Detection and Response und bezeichnet eine Software, die verdächtige Aktivitäten aufspürt, analysiert und Ihnen aufzeigt wie Sie angemessen auf die Bedrohung reagieren. Wenn präventive Maßnahmen durchbrochen werden und eine Bedrohung in Ihr Unternehmen eindringt, kommt EDR zum Einsatz und bildet daher einen wichtigen Grundstein in der modernen IT-Security. Warum ein Virenschutz mit EDR heutzutage unbedingt notwendig ist, erfahren Sie in diesem Artikel.
Weiterentwicklung von Schadsoftware erfordert neue Abwehrmaßnahmen
Die Bedrohungen durch Ransomware, Malware & Co. entwickeln sich kontinuierlich weiter. Die Cyberkriminellen haben sich mittlerweile professionalisiert und agieren wie ein Software-Unternehmen, das ihr Produkt kontinuierlich weiterentwickelt. Bei Ransomware ist es das Ziel der Hacker das geforderte Lösegeld zu erhalten oder bei Nicht-Zahlung die geklauten wertvollen Daten im Darknet zu verkaufen oder als Public-Shaming im Internet frei zugänglich zu machen. Um das Ziel zu erreichen, gehen die Cyberkriminellen in Vorleistung – sie investieren viel Zeit, um Ihre Herausforderung in das auserwählte System einzudringen, zu erreichen.
Klassische Antivirenprogramme arbeiten seit Aufkommen der ersten Viren mit einer signaturbasierten Erkennung. Bei einer verdächtigen Datei wird der Hashwert, der eine Art „Signatur“ darstellt, mit einer Datenbank abgeglichen. Wenn diese Signatur bereits in der Datenbank vorhanden ist, wird die Bedrohung vom Antivirenprogramm erkannt und es werden Maßnahmen ergriffen. Doch das Vorgehen der Cyberkriminellen hat sich weiterentwickelt. Bei Ransomware greift die signaturbasierte Erkennung nicht, weil der Hashwert bei jedem Angriff modifiziert wird. Heutzutage gibt es auch Schadsoftware, die keine Rückstände auf der Festplatte hinterlässt und nur im Speicher aktiv ist. Somit kommt auch bei der sogenannten Fileless Malware der klassische Antivirenschutz an seine Grenzen. Außerdem sind die Angriffe heutzutage häufig getarnt, verschachtelt und erstrecken sich über einen längeren Zeitraum.
Ransomware, Malware & Co. aufspüren dank EDR
Das Ziel eines jeden Unternehmens ist es natürlich durch präventive Maßnahmen sicherzustellen, dass Bedrohungen erst gar nicht in das Unternehmen eindringen können. Es gibt jedoch eine Vielzahl von Einfallstoren und es reicht eine kleine Schwachstelle, die genutzt wird. EDR setzt ein, wenn Ransomware einen Weg in Ihre IT-Umgebung gefunden hat. Dabei ist das Ziel die Verweildauer so kurz wie möglich zu gestalten. Im Worst Case Szenario bleibt Ransomware nämlich über Tage oder Wochen unerkannt. Um versteckte potenziell unerwünschte Anwendungen (PuA) ausfindig zu machen, wird nach Indicators of Compromise (IOC) gesucht wie z. B. Prozesse, die eine Verbindung über einen anderen Port herstellen als er regulär der Fall ist oder verschleierte Prozesse. Mit Hilfe von Verhaltensanalyse, maschinellem Lernen und statischen sowie dynamischen Erkennungstechnologien wird Ransomware, Malware & Co. aufgespürt.
Ausbreitung verhindern und Schadensausmaß des Cyberangriffs erkennen
Wenn eine Schadsoftware ausfindig gemacht wurde, kommt die „Reponse“-Kompetente von EDR zum Einsatz. Es erfolgen automatisierte Maßnahmen um Ihre IT-Umgebung zu schützen und die Ausbreitung zu verhindern, wie z. B. die Isolation des betroffenen Endgerätes vom restlichen Netzwerk. Außerdem werden Ihnen individuelle Maßnahmen vorgeschlagen, um angemessen auf den Cyberangriff zu reagieren.
Ein weiterer großer Vorteil von EDR ist es, dass Sie nachverfolgen können, wie die Bedrohung in Ihrem System aktiv war. EDR deckt somit einen Bereich auf, der bisher immer eine große Unbekannte war. Dabei sind Unternehmen heutzutage verpflichtet nachzuweisen, dass kein Datendiebstahl stattgefunden hat, um Compliance Vorgaben einzuhalten (z. B. DSGVO oder branchenspezifische Vorgaben wie im Gesundheitswesen). Mit EDR kann diese Frage verlässlich beantwortet werden. Sie erhalten eine volle Transparenz über die Aktivität der Schadsoftware wie z. B. Dateiausführungen, Benutzeranmeldungen oder Änderungen in der Registry und können so das Ausmaß des Cyberangriffs erkennen.
Um zukünftige Cyberangriffe zu verhindern wird aufgezeigt, welche Schwachstelle der Schadsoftware genutzt hat um in Ihre IT-Landschaft einzudringen. Außerdem werden weitere Maßnahmen vorgeschlagen, um zukünftige Cyberangriffe abzuwehren.