Gefahr erkannt, Gefahr gebannt

In den vergangenen Monaten waren Unternehmen mehr denn je darauf angewiesen, dass ihre Belegschaft auch außer-halb der lokalen IT-Infrastruktur agierte. Dies führte ihnen einmal mehr vor Augen, wie wichtig eine unterbrechungsfreie, sichere Zusammenarbeit auch über die Büroumgebung hinweg ist. Besonders der Schutz von Endgeräten steht hier im Fokus. Doch was ist anders als früher?

Endpoint Security im Zeitalter dateiloser Bedrohungen, zielgerichteter Angriffe und APTs

Die Flut einfacher Malware nimmt kein Ende: Cyberkriminelle bombardieren Unternehmen auf der ganzen Welt mit Phishing-Angriffen, Viren, Trojanern und Spyware. Solche Attacken machen etwa 90 Prozent aller Cyberangriffe aus. Doch die starke Verbreitung dieser Schadprogramme sollte nicht von einer wichtigen Tatsache ablenken: Die übrigen 10 Prozent, zu denen auch APTs (Advanced Persistent Threats) gehören, kosten Unternehmen nahezu hundertmal mehr pro Vorfall. Der durchschnittliche finanzielle Schaden einfacher Attacken liegt bei 10.000 US-Dollar; der für einen APT-Vorfall bei 926.000 US-Dollar.

Die gefährlichen 10 Prozent

Unternehmen dürfen also weder die große Mehrheit der einfachen Bedrohungen, noch die besonders riskanten 10 Prozent der Cyberangriffe außer Acht lassen. Dies stellt vor allem Betriebe und Konzerne, die sich bisher ausschließlich auf klassische Endpoint-Schutzlösungen verlassen haben, vor neue Herausforderungen. Denn Cyberkriminelle werden in Zukunft noch stärker komplexe, zielgerichtete Angriffe und dateilose Schadsoftware nutzen, um über Endpoints in Netzwerke vorzudringen. Manchmal haben sie ihre Angriffsvektoren auch so programmiert, dass diese direkt am Endgerät Schaden an- richten. Herkömmlicher Endpoint-Schutz kann derartige Attacken allerdings nicht erkennen.

Hinzu kommt, dass Unternehmen oftmals die nötigen zeitlichen und personellen Ressourcen fehlen, um sich auch um die Abwehr von Bedrohungen zu kümmern, die außer- halb des alltäglichen Malware-Aufkommens liegen. Sofern es überhaupt  eine  dedizierte IT-Abteilung gibt, sind die Mitarbeiter dort meist überlastet: Sie müssen Arbeitsplätze für neue Kollegen einrichten, Gesetze und Compliance-Vorgaben studieren, sich über die neuesten Bedrohungstaktiken auf dem Laufenden halten – all das will erledigt sein, bevor man sich der nicht minder wichtigen Aufgabe, der Abwehr von komplexen Cyber- angriffen, widmen kann.

Fehlen allerdings  adäquate  Technologien, Zeit und Personal, geht dies unweigerlich einher mit eingeschränktem Know-how über die eigene Sicherheitslage. Laut einer Kaspersky-Umfrage zu IT-Sicherheitsrisiken mangelt es rund 40 Prozent der mittelständischen Unternehmen und Betriebe an der nötigen Kenntnis darüber, welchen Bedrohungen sie tatsächlich ausgesetzt sind (Kaspersky Global Corporate IT Security Risks Survey (ITSRS); eine 2019 durchgeführte weltweite Umfrage unter IT-Entscheidungsträgern in Unternehmen).

Dateilose Bedrohungen

Häufig fangen sich Mitarbeiter dateilose Malware auf präparierten Websites oder über E-Mails ein. Wie der Name schon vermuten lässt, lädt diese Bedrohung keine Dateien in das Opfergerät. Ihr schädlicher Code kann aber dennoch das infiltrierte System analysieren, Daten stehlen oder andere Schadprogramme nachladen. Dabei hinterlässt die Malware so gut wie keine Spuren. Es existieren auch dateilose Bedrohungen, die verschlüsselte Daten in der Registry ablegen. Der Anwender bekommt davon nichts mit,  da sie bei einem Neustart automatisch geladen werden. Da die Malware nicht wirklich als Datei existiert, ist sie für die meisten Intrusion-Prevention-Lösungen und Antivirenprogramme praktisch unsichtbar.

Bei dateilosen Attacken kommen unter anderem folgende Methoden zum Einsatz:

  • Schädliche Skripte, die in WMI-Konten gespeichert werden
  • Schädliche Skripte, die direkt als Befehlszeilenparameter an PowerShell übergeben werden
  • Schädliche Skripte, die in der Registrierung und/oder im Taskplaner des Betriebssystems gespeichert werden
  • Schädliche Programmdateien, die direkt in den Arbeitsspeicher extrahiert und dort ausgeführt werden, ohne zuvor auf der Festplatte gespeichert zu werden

Aufgrund ihrer Unauffälligkeit sind dateilose Angriffe zehnmal häufiger erfolgreich als dateibasierte.

Zielgerichtete Angriffe

Gezielte Attacken sind die Königsdisziplin unter modernen getarnten Bedrohungen: Angreifer suchen sich ihre Opfer genau aus und passen ihre Methoden im Detail an. Sie verwenden maßgeschneiderte Schadsoftware, die nur zur Schädigung eines bestimmten Unternehmens entwickelt wurde. So untersuchen Cyberkriminelle beispielsweise vor einem Angriff die Endpoint Security des Opfers, um einen passenden Mechanismus zu finden, der das System automatisch umgeht. Sie setzen auch Multi-Vektor-Angriffe ein, bei denen gleichzeitig so viele Endpoints wie möglich befallen werden, oder verwenden zur Verbreitung von Malware ausgeklügelte Social-Engineering-Tricks, die auf spezifischen und persönlichen Insiderdaten basieren.

„Dauergast“ APT

Anstatt in die Unternehmens-IT einzudringen, Daten abzugreifen und sich sofort wie- der zurückzuziehen, nutzen Cyberkriminelle bei Advanced Persistent Threats (APT) verschiedenste Tools, um genau das Gegenteil zu erreichen: Es geht darum, sich möglichst lange im angegriffenen Netzwerk horizontal auszubreiten. Solche gut getarnten Attacken können einen dauerhaften Kompromittierungszustand verursachen, ohne jemals von einer klassischen Endpoint Security auf- gespürt zu werden.

EDR: Angriffen auf der Spur

Um all diese komplexen und heimtückischen Angriffsmethoden aufzudecken und abzuwehren, sind neue Konzepte notwendig. Es ist an der Zeit, eine EDR-Lösung (Endpoint Detection and Response) einzusetzen. Mit ihr erreichen Unternehmen eine viel höhere Transparenz innerhalb ihrer IT-Sicherheit. EDR-Funktionen sind darauf ausgelegt, selbst komplexe Bedrohungen schnell zu erkennen, diese zu untersuchen und sofort auf sie zu reagieren. Der Schutz vor schwer auffindbarer Malware bedeutet in der Regel jedoch keinen Zusatzaufwand für IT-Abteilungen. Denn die Automatisierung von Sicherheitstasks nimmt heutzutage einen immer höheren Stellenwert ein – so auch im Fall von Endpoint Detection and Response. Da hier die meisten Prozesse automatisiert ablaufen, erhalten Unternehmen ein höheres Schutzlevel, ohne zusätzliche Ressourcen wie Zeit, Geld oder spezifisches Security-Wissen investieren zu müssen.

Was ist EDR?

Endpoint Detection and Response (Erkennung und Reaktion) ist ein Element des Endgeräteschutzes, welche eine unterbre- chungsfreie Überwachung von Endpoints bietet.

Die Technologie erkennt moderne Bedrohungen sofort bei ihrer Ausführung und stoppt den Angriff, noch bevor tiefergehen- de Schäden in der IT-Infrastruktur entstehen können. Obgleich EDR die Reichweite herkömmlicher Endpoint-Protection-Plattformen (EPP) erweitert, ist die Security-Software nicht als Ersatz zu verstehen. Eine Investition in EDR ist nur dann sinnvoll, wenn Unternehmen bereits über ein solides Fundament an Endpoint-Schutzfunktionen verfügen. Es ist zudem nicht zu empfehlen, eine mittelmäßige Endpoint-Protection-Plattform durch das Hinzufügen von EDR-Technologie verbessern zu wollen. In diesem Fall sollten Unternehmen sich zunächst auf eine Modernisierung ihres Endgeräteschutzes konzentrieren.

Transparenz und Analyse

Alle EDR-Produkte haben das gleiche Ziel: Moderne und komplexe Malwarebedrohungen schnell zu identifizieren, zu analysieren und entsprechende Reaktionsmechanismen einzuleiten. Dabei liegt das Hauptaugenmerk solcher Lösungen auf zwei grundlegenden Aufgaben: Transparenz und Analyse. Es geht darum, über eine zentrale Oberfläche alle Endpoints gleichzeitig zu visualisieren und zu überwachen, damit IT-Teams sehen, was an den Endgeräten tatsächlich vor sich geht. Dafür liefert EDR Kontextinformationen zu individuellen Endpoint-Aktivitäten sowie zu Prozessen, Zeitverläufen und Kor- relationen zwischen den Endpoints im gesamten Unternehmen. Alle wichtigen Sicherheitsdaten werden nachvollziehbar erfasst und für die weitere Untersuchung vorbereitet.

Bei der Analyse ordnet die EDR-Lösung dann einzelne Ergebnisse aus unterschiedlichen Erkennungsmechanismen einem Vor- fall zu und korreliert sie miteinander, um Taktiken, Aktivitäten und Methoden der Bedrohung zu verstehen. Dabei lassen sich auch Ereignisse untersuchen, die in der „Grauzone“ zwischen vertrauenswürdigen Prozessen und eindeutigen Angriffsszenarien stattfinden, beispielsweise wenn legitime Software kompromittiert wurde.

Wie funktioniert EDR?

Um flächendeckende Transparenz innerhalb der Endgeräteinfrastruktur zu gewinnen und auffällige Aktivitäten genauer unter die Lupe zu nehmen, verwendet EDR unter anderem folgende Tools:

  • Eine Detection Engine mit Strukturanalyse-Funktion erkennt Malware-Muster auf Grundlage von maschinellem Lernen und Sandbox-Emulation
  • Technologie zur Aufzeichnung von Ereignisdaten, um diese an die Analyse weiterzuleiten
  • Echtzeitanalyse zur Speicherüberwachung und zur kontinuierlichen Suche nach auffälligen Verhaltensmustern, um Ex-ploits sofort zu erkennen und komplexe, zuvor unbekannte Bedrohungen schnell diagnostizieren zu können
  • Angewandte Threat Intelligence, die aus verschiedenen separaten Quellen bezogen wird
  • Forensik-Tools zur Vorfallsuntersuchung und zum Aufspüren von Bedrohungen, die an einem Endpoint im Verborgenen agieren
  • Generierung automatischer Warnmeldungen und Reaktionen auf einen Vorfall
  • Vorfallsfilterung zur Vermeidung von Fehlalarmen, damit keine Überlastung durch unnötige Warnmeldungen

Nicht alle EDR-Lösungen arbeiten auf die gleiche Art und Weise. Manche führen ihre Analysen direkt am Agenten durch, während bei anderen der Schwerpunkt auf der Verwaltungskonsole liegt. Latenzzeiten und Umfang der Datenerfassung können variieren, ebenso wie die Qualität und Quellen der Threat Intelligence. Und nicht jedes am Markt verfügbare EDR-Tool passt zu den bestehenden Cybersicherheitsmaßnahmen eines Unternehmens. So muss beispielsweise die Koordination mit dem Fachwissen und den Prozessen der IT-Abteilung gewährleistet sein, wenn EDR als technologische Komponente beim Threat Hunting zum Einsatz kommen soll.

Zusammenspiel beim Endgeräte- Schutz

Zur durchgängigen Bekämpfung aller Arten von Cyberbedrohungen ist ein mehrschichtiger Ansatz ideal. Die Basis bildet hier eine klassische Endpoint Protection Engine. Sie wendet unterschiedliche Schutzmaßnahmen – beispielsweise Verhaltensanalysen und andere Erkennungstechnologien – an, mit denen sich bereits ein großer Pool an Schädlingen identifizieren und abwehren lässt.

Dann kommt EDR ins Spiel: Nachdem die Mehrheit der Malware durch diese Prozesse ausgesiebt wurde, können sich die Endpoint-Security-Ressourcen auf den kleinen, aber besonders gefährlichen Rest der Bedrohungen fokussieren. Zu diesem gehören bisher unerkannte Schadprogramme genau- so wie komplexe, zielgerichtete Angriffe.

Das Zusammenspiel beider Lösungen ist entscheidend. Denn auch wenn mithilfe einer Endpoint-Protection-Plattform eine Reaktion auf einen Vorfall erfolgt ist, bedeutet dies nicht immer, dass die Bedrohung wirklich behoben wurde, insbesondere nicht bei multidimensionalen Angriffen. Deshalb ist gerade hier die tiefgreifende Untersuchung durch eine EDR-Lösung essenziell. Nur ein eingehendes Verständnis der Bedrohungsursache sorgt dafür, dass etwaige noch vorhandene Komponenten einer Attacke nicht unbeachtet bleiben.

So kann es beim einfachen Löschen einer schädlichen Datei vorkommen, dass der Hacker auf andere Art und Weise immer noch mit dem angegriffenen System verbunden ist. Ebenso verhindert die Beendigung eines einzelnen Prozesses keine Neuinfektion, wenn die eigentliche Ursache nicht erkannt und behandelt wurde.

EDR vereinfacht die Vorfallsanalyse, indem die Lösung automatische Scans der Gefährdungsindikatoren (Indicator of Compromise, IoC) durchführt. Bei IoCs handelt es sich um forensische Daten, mit denen sich potenziell schädliche Aktivitäten in einem IT-System oder Netzwerk identifizieren lassen. Diese Informationen können bereits in den Anfangsphasen eines Angriffs zur Erkennung von komplexer Malware dienen.

Zeit ist hier Geld, denn wenn die Komponenten einer Bedrohung nicht schnell genug erkannt werden, können große finanzielle Schäden für das betroffene Unternehmen entstehen. Zudem ist eine möglichst automatisierte Reaktion entscheidend, denn es geht nicht nur darum, Bedrohungen zu erkennen und zu analysieren, sondern sie auch nachhaltig und ohne enormen Aufwand zu neutralisieren.

Automatisierung entlastet IT-Abtei- lungen

Eine EDR-Lösung ist nicht nur ein effektives Sicherheitstool, sondern stellt auch durch den hohen Automatisierungsgrad eine wahre Entlastung für die eigenen IT-Mitarbeiter dar.  Denn wie bereits erwähnt, haben viele Unternehmen heute mit begrenzten Ressourcen gerade im Bereich der IT-Sicherheit zu kämpfen. Zudem vereinfacht EDR jene manuellen Prozesse, bei denen eine Automatisierung nicht ratsam oder nicht praktikabel ist. Je leichter eine EDR-Lösung für IT-Teams zu handha- ben ist, umso schneller und präziser können diese arbeiten und sich weiteren Kernaufgaben widmen.

Vorteile von EDR

Die Automatisierung und Vereinfachung von Abläufen stellt Unternehmen bei ihrer Sicherheitsstrategie auf ein ganz neues Level. Doch wie genau profitieren IT-Fachkräfte von den EDR-Funktionen?

  • Keine gefährlichen „Überbleibsel“ von Angriffen: Unternehmen erhalten eindeutige Gewissheit, ob eine Bedrohung noch in ihrem Netzwerk vorhanden ist oder nicht
  • Kürzere durchschnittliche Zeit bis zur Ab- wehr (Mean Time to Respond, MTTR) – für Ransomware ein entscheidender Maßstab
  • Vorfälle werden stets unverzüglich behandelt – ein hoher Automatisierungs- grad bedeutet, dass nichts vernachlässigt oder übergangen wird
  • Erhöhte Transparenz und detaillierte Vorfallsdaten unterstützen Fachkräfte bei ihrer Arbeit
  • Keine Investitionen in zusätzliche Schulungen oder die Einstellung weiterer Mitarbeiter notwendig, um die EDR- Lösung im Tagesgeschäft zu verwalten
  • Weniger Routineaufgaben für Security- Verantwortliche
  • Einfaches EDR-Toolkit, welches die Produktivität und Zufriedenheit des IT-Personals steigert

Integrierte Endpoint Security

So vielseitig die Leistungen auch sind, EDR kann seine volle Wirkung nur zusammen mit einem starken Basisschutz entfalten. Deshalb hat Kaspersky einen neuen Ansatz für sein Endgerätesicherheitsportfolio entwickelt, bei dem Endpoint Protection Plattform, EDR-Lösung und Sandboxing-Technologie vollständig integriert sind und Hand in Hand agieren.

So deckt Kaspersky Endpoint Security for Business die erste Sicherheitsebene ab – unter anderem mit umfassenden Identifi- zierungs- und Schutzfunktionen wie Pro- gramm-, Web- und Gerätekontrolle, einer starken Anti-Malware-Engine, Patch Ma- nagement, Vulnerability Assessment sowie Adaptive Anomaly Control zum Erkennen und Blockieren von ungewöhnlichen Aktivitäten.

EDR durchleuchtet Angriffskette

Je mehr Malware die leistungsstarke EPP-Lösung gleich zu Beginn abfängt, desto mehr Kapazitäten bleiben der EDR-Lösung. So sorgt EDR Optimum auf der nächsten Ebene für lückenlose Transparenz und weiterführende Analysen, damit Unternehmen genau sehen können, wo ein Angriff begonnen hat und in welchem Stadium er sich jetzt befindet. Hinzu kommen mehrere hochautomatisierte Abwehroptionen, welche die erkannten Endpoint-Bedrohungen schnell und effizient eindämmen.

Automatisiertes Sandboxing

Auch Kaspersky Sandbox arbeitet nahtlos mit der Endpoint-Security-Plattform zusammen. Die Lösung überprüft automatisch Dateien, die von der EPP als potenziell verdächtig eingestuft wurden. Darüber hinaus erkennt sie auch Bedrohungen, die speziell dafür konzipiert wurden, Endpoint-Schutzmechanismen zu umgehen. Die Ergebnisse ihrer Scans meldet die Sandbox dann wieder an die installierte Endpoint-Protection-Plattform, die im Fall von Malware weitere Schritte einleitet. Es sind keine manuellen Eingriffe erforderlich. Mit der Sandboxtechnologie können also auch Unternehmen ohne spezifische IT-Sicherheitsexperten ihren Schutz vor hochentwickelten und zielgerichteten Bedrohungen stärken.

Warum Kaspersky-Partner werden?

Im Jahr 2019 wurde Kaspersky im Worldwide Vendor Benchmark von Canalys zur Nummer eins in Sachen Channelzufrieden- heit gewählt. Das Partnerprogramm Kaspersky United erhielt dabei Bestnoten für die Bereiche Produktverfügbarkeit, Produktbereitstellung, einfache Geschäftsabwicklung und Spezialisierungsprogramme.

Folgende Punkte zeichnen Kaspersky United aus:

  • Schneller Aufstieg auf den nächsten Partnerstatus – vom Registered Partner zu Silber, Gold und Platin
  • Einheitliches Programm, das durch die Integration von Speziallösungen spezifische Kundenanforderungen berück- sichtigt
  • Großzügige, transparente Prämien, Incentives und Nachlässe – einschließlich Deal-Registrierung – für durchgängig erhöhte Gewinnmargen
  • Benutzerfreundliche, vorgefertigte Marketing-Tools, unterstützt durch MDF
  • Wissenstransfer durch technische Trainings sowie Produkt- und Vertriebsschulungen über alle Geschäftssegmente hinweg
  • Dedizierte Kaspersky Partner Account Manager für Gold- und Platin-Partner

Und nicht nur Partner profitieren von Kaspersky United, sondern auch deren Kunden. So wurde Kaspersky im Jahr 2019 zum dritten Mal in Folge von Gartner Peer Insights als Customers’ Choice for Endpoint Protection Platforms ausgezeichnet. Außerdem la- gen Kaspersky-Produkte 64 Mal auf dem ersten Platz sowie zu 81 Prozent unter den ersten drei Positionen bei insgesamt 86 unabhängigen Tests – womit sich Kaspersky als vielfach getesteter und ausgezeichneter Sicherheitsanbieter etabliert.

Autor: Kaspersky