Die aktuelle Bedrohungslandschaft
In ihrem neuesten Jahresbericht zur Bedrohungssuche 2021 vermelden unsere Threat Hunter einen Anstieg bei den Eindringungsversuchen um 60 % über alle Branchen und geografischen Regionen hinweg. Zudem verweist der Bericht auf eine deutlich verkürzte Breakout-Time. Diese gibt an, wie lange ein Angreifer braucht, bis er sich lateral im Netzwerk bewegen kann. Sie beträgt mittlerweile nur noch 92 Minuten – ein Drittel des letztjährigen Wertes!
Threat Hunting Report 2021
Möchten Sie wissen, welche Bedrohungsakteure unsere Threat Hunter im ersten Halbjahr 2021 beobachtet haben? Threat Hunting Report 2021 herunterladen
Jetzt herunterladenDie Zunahme bei der Geschwindigkeit und Anzahl der Angriffe lässt sich auf verschiedene Faktoren zurückführen:
- Die COVID-19-Pandemie und die damit verbundenen Social-Distancing-Bestimmungen haben dazu geführt, dass die Menschen erheblich mehr Zeit online verbrachten.
- Der Umstieg ins Homeoffice (ein bereits bestehender Trend, der durch COVID-19 noch beschleunigt wurde) führte zu einer größeren Angriffsfläche der Unternehmen.
- Die starke Zunahme bei den vernetzten Geräten und IoT-Technologien eröffnet Cyberkriminellen eine Fülle von Einfallstoren.
- Durch die Migration in die Cloud benötigen Unternehmen eine völlig andere Sicherheitsstrategie als bei herkömmlichen internen Netzwerken.
- Die 5G-Technologie führt zu einer noch stärkeren Nutzung vernetzter Geräte.
- Die Verfügbarkeit von Hackeraktionen als eine Art Dienstleistung macht Ransomware und andere Malware-Angriffe auch für Laien zugänglich, denen das technische Know-how fehlt, um den Angriff selbst durchzuführen.
Diese Trends sowie die zunehmende Erfahrung der Angreifer und ein ständig wachsendes Arsenal von Taktiken, Techniken und Prozeduren (TTPs) machen es notwendig, dass Unternehmen umfassende Strategien und Tools für ihre Cybersicherheit entwickeln und bereitstellen. Darüber hinaus müssen Unternehmen die richtigen Lehren aus den erkannten Cyberbedrohungen ziehen und Angriffe den wahrscheinlichen Angreifern und Taktikklassen zuordnen können.
In diesem Artikel beschäftigen wir uns mit den wichtigsten Elementen jeder Cybersicherheitsarchitektur – der endpunktbasierten Detektion und Reaktion (EDR) sowie dem Virenschutz der nächsten Generation (NGAV) – sowie mit den Punkten, die Unternehmen bei der Auswahl dieser Tools und ihrer Integration in die allgemeine Cybersicherheitsstrategie berücksichtigen müssen.
Überblick: Endpunktbasierte Detektion und Reaktion (EDR)
Endpunktbasierte Detektion und Reaktion (EDR) ist eine Cybersicherheitslösung, die durch die kontinuierliche Überwachung von Endgeräten sowie die Analyse von Endgerätedaten Cyberbedrohungen erkennt und behebt.
EDR-Lösungen bieten einen kontinuierlichen und umfassenden Echtzeitüberblick über die Aktivitäten auf allen Endgeräten. Damit ein Zwischenfall nicht zu einer Kompromittierung wird, werden von Endgeräten erfasste Informationen mithilfe von Verhaltensanalysen und verwertbaren Bedrohungsdaten ausgewertet.
Ein echtes EDR-Tool sollte folgende Funktionen umfassen:
- Durchsuchen und Untersuchen von Zwischenfalldaten
- Triagierung von Warnmeldungen oder Validierung verdächtiger Aktivitäten
- Erkennung verdächtiger Aktivitäten
- Bedrohungssuche oder Datenanalyse
- Stoppen schädlicher Aktivitäten
Überblick: Virenschutz der nächsten Generation (NGAV)
Virenschutz der nächsten Generation (NGAV) ist ein Cybersicherheitstool, das mithilfe einer Kombination aus künstlicher Intelligenz, Verhaltenserkennung, Machine Learning-Algorithmen sowie Exploit-Behebung bekannte und unbekannte Bedrohungen vorhersieht und verhindert.
Im Gegensatz zu klassischen Virenschutzlösungen nutzt NGAV die Cloud und kann damit schneller bereitgestellt werden, ohne das Endgerät zu überfordern. Zudem kann der Aufwand für die Pflege der Software, die Verwaltung der Infrastruktur und die Aktualisierung von Signaturdatenbanken deutlich reduziert oder gar auf Null gesenkt werden.
Eine NGAV-Lösung bietet folgende Funktionen:
- Erkennung bekannter/unbekannter Bedrohungen und dateiloser Angriffe
- Cloudbasierte Architektur, die die Endgeräteleistung nicht beeinträchtigt oder keine zusätzliche Hardware oder Software erfordert
- Schnelle und einfache Implementierung und Aktualisierung
Die Unterschiede zwischen NGAV und EDR
EDR und NGAV verfolgen dasselbe Ziel: Sie wollen die Risiken für die Unternehmen senken, indem sie Cyberangriffe verhindern. Unterschiede finden sich in den Situationen, in denen sie eingesetzt werden, und bei der Funktionsweise.
NGAV die Präventionskomponente der Endgerätesicherheit, die das Eindringen von Cyberbedrohungen ins Netzwerk verhindern soll. NGAV ist zwar eine wichtige erste Verteidigungslinie für das Unternehmen, aber nicht fehlersicher. Keine noch so hochentwickelte Lösung kann 100-prozentigen Schutz bieten.
Wenn Bedrohungen eine NGAV-Lösung umgehen, erkennt EDR diese Aktivität und ermöglicht es dem Team, die Angreifer einzudämmen, bevor sie sich lateral im Netzwerk bewegen können. Um die Analogie wiederaufzugreifen: Wenn NGAV eine erste Verteidigungslinie ist, dann ist EDR ein Sicherheitsnetz, das alle Bedrohungen auffängt, die die NGAV-Lösung nicht neutralisieren konnte.
Dabei erkennt EDR nicht nur Bedrohungen, sondern sammelt auch Daten zum Angriff wie die verwendeten TTPs. Auf diese Weise erhält das Sicherheitsteam Sie Kontextinformationen (einschließlich relevanter Zuordnungen) mit Details zu den Angreifern sowie weitere angriffsbezogene Informationen. So kann das Team schneller auf Bedrohungen reagieren und sie gezielt abwehren, um Schaden zu begrenzen. Nach der Eindämmung hilft das EDR-Tool dem Team auch, weitere Informationen über den Ablauf und die Ausbreitung des Angriffs zu gewinnen, um ähnliche Angriffe in Zukunft zu verhindern.
Benötigt mein Unternehmen NGAV und EDR?
Angesichts der zunehmenden Erfahrung der Angreifer und ihrer immer besseren und raffinierteren TTPs ist es wichtig, dass Unternehmen ihre Verteidigung mit einer NGAV- und EDR-Lösung stärken.
Wenn Präventionsmaßnahmen versagen, ist Ihr Unternehmen durch die vorhandene Endgerätesicherheitslösung möglicherweise nicht geschützt. Angreifer nutzen diese Situation aus und setzen sich in Ihrem Netzwerk fest.
Ohne funktionierende Bedrohungserkennungstools können sich Angreifer tage-, wochen- oder gar monatelang ungehindert in der Umgebung bewegen. In dieser Zeit haben Hacker freie Hand, um Backdoors zu erstellen, die ihnen eine jederzeitige Rückkehr erlauben.
Sollten Unternehmen das Potenzial von EDR und NGAV kombinieren?
Die meisten NGAV- und EDR-Systeme sind zwar separate Lösungen, aber sicher keine Standalone-Tools, und sie sollten auch nicht isoliert bereitgestellt werden.
Vielmehr müssen sich die Tools gegenseitig ergänzen und zusammen genutzt werden, um die gesamte Sicherheitslage zu verbessern. Zudem müssen diese Tools in die übergreifende Strategie und Architektur für die Cybersicherheit im Unternehmen mit weiteren Sicherheitsfunktionen wie der Bedrohungssuche sowie klaren und überzeugenden Richtlinien für die Identitäts- und Zugriffsverwaltung (IAM), die Multifaktor-Authentifizierung (MFA) und Zero Trust integriert werden.
Da eine einzelne Lösung nie absoluten Schutz bietet, kann eine mehrstufige Sicherheitsstrategie Lücken schließen und Nachteile einzelner Tools ausgleichen, die oft Ansatzpunkte für die Ausnutzung durch Angreifer bieten.
Wie können NGAV- und EDR-Lösungen evaluiert werden?
Der Markt der Cybersicherheitsanbieter ist in den letzten Jahren enorm gewachsen, sodass es Unternehmen schwerfällt, ein geeignetes Tools für ihre individuellen Anforderungen auszuwählen.
An dieser Stelle möchten wir daher einige der wichtigsten Kriterien vorstellen, auf die Unternehmen bei der Evaluierung und Auswahl von Endgeräteschutztools wie NGAV und EDR achten sollten:
Integration: Eine der wichtigsten Fragen bei der Auswahl einer NGAV- oder EDR-Lösung ist, wie gut sich diese in die allgemeine Cybersicherheitsarchitektur integrieren lässt, ohne dass sie die Komplexität verstärkt oder eine lokale Verwaltungsinfrastruktur erfordert. Dabei spielen folgende Überlegungen eine wichtige Rolle:
- Integrierte Bedrohungsanalysen, die die sofortige Bewertung der Herkunft, Auswirkung und Schwere einer Bedrohung in der Umgebung erlauben und Orientierung hinsichtlich der optimalen Reaktion und Behebung bieten
- Verfügbarkeit umfassender APIs, um verschiedene Anwendungen zu verbinden sowie eine schnelle und effiziente Datenweitergabe sicherzustellen
- Integration ergänzender Technologien wie Gerätekontrolle, Firewalls, Bedrohungssuche sowie anderer Sicherheitstools und -lösungen
Cloudbasierte Lösung: Nur die Cloud-Technologie vermeidet Beeinträchtigungen der Endgeräte und erlaubt gleichzeitig die Suche, Analyse und Nachforschungen in Echtzeit. Cloudnative EDR- und NGAV-Lösungen bieten Unternehmen kürzere Bereitstellungszeiten und bessere Endgeräteleistung sowie einfachere Betriebsabläufe für das IT-Team.
Fortgeschrittene Technologien: EDR- und NGAV-Lösungen müssen innovative Technologien wie KI/ML, Verhaltensschutz und Exploit-Behebung nutzen, um TTPs wie Standard-Malware, Zero-Day-Malware und sogar komplexe malwarelose Angriffe zu verhindern, mit denen Angreifer Unternehmen kompromittieren. Der ausschließliche Einsatz von signaturbasierten Erkennungsmethoden oder Kompromittierungsindikatoren (IOCs) kann bei NGAV-Lösungen zu „stillem Versagen“ führen, was wiederum Datenkompromittierungen ermöglicht. Für effektive endpunktbasierte Detektion und Reaktion benötigen Sie daher die Möglichkeit, verhaltensbasiert nach Angriffsindikatoren (IOAs) zu suchen, damit Ihr Unternehmen vor verdächtigen Aktivitäten gewarnt wird, bevor eine Kompromittierung erfolgt.
Online- und Offline-Schutz: Endgeräte müssen offline und online geschützt werden. Lösungen, die die Datenverarbeitung und Entscheidungsfindung auf dem Endgerät unterstützen, ermöglichen eine äußerst genaue Erkennung und Prävention und gewährleisten jederzeit zuverlässigen Endgeräteschutz – unabhängig davon, ob das Gerät gerade verwendet wird oder nicht.
Sofortige Wertschöpfung: In der heutigen Cybersicherheitslandschaft spielt Zeit eine wichtige Rolle. EDR- und NGAV-Lösungen, die innerhalb weniger Stunden bereitgestellt werden und betriebsbereit sein können sowie keine zusätzliche Hardware oder Software, Feinabstimmung oder Konfiguration erfordern, verbessern die Sicherheitslage des Unternehmens enorm.