Die Untersuchung von Sicherheitsvorfällen überfordert IT-Abteilungen

Autor/Redakteur: Harish Agastya, Vice President of Enterprise Solutions bei Bitdefender/gg

Die kontinuierliche Überwachung der IT durch Endpoint Detection and Response (EDR) verspricht die Entdeckung von ausgefeilten Angriffen, die IT-Security-Lösungen nicht verhindern konnten. Mit einem neu entwickelten Ansatz der Verbindung von EDR mit Endpoint Security können Unternehmen gegen „das letzte Prozent“ möglicher IT-Bedrohungen vorgehen.

Als die Trojaner das von den Griechen hinterlassene Holzpferd in ihre Stadt zogen, war der Schaden noch nicht geschehen. Erst, dass es den darin versteckten griechischen Kämpfern des Nachts gelang, unbeobachtet die Stadttore von innen zu öffnen, besiegelte das Schicksal der Stadt. In der IT lernen wir daraus, dass es eine innere Verteidigungslinie geben muss, die dann zum Tragen kommt, wenn die ersten Schritte eines Breach bereits geschehen sind. Genau dies ist die Aufgabe von Endpoint Detection and Response (EDR), einer relativ neuen Technologie.

Es handelt sich um eine IT-Sicherheitslösung, die sich in erster Linie auf die Identifizierung und Prüfung verdächtiger Aktivitäten auf Hosts und Endgeräten konzentriert. Hinsichtlich ihres Potenzials, die Sicherheit im Rechenzentrum insgesamt zu erhöhen, wird EDR oft mit Advanced Threat Protection (ATP) verglichen, da es ebenfalls die Notwendigkeit der kontinuierlichen Überwachung adressiert und weil sie auch neueste Bedrohungen abwehren kann.

Die Bedrohungslage steigt ständig und IT-Teams versuchen händeringend, ihre Abwehr gegen immer ausgeklügeltere Angriffe zu stärken. EDR ist hierfür eine vielversprechende Technologie. Die Lösungen sind bisher jedoch teuer in der Implementierung und aufwendig im Betrieb. Vor allem lösen sie zu viele Warnmeldung aus. Und zu viele Alerts führen letzten Endes zu geringer Effektivität und zu Unzufriedenheit der IT-Teams.

Ein neu entwickelter EDR-Ansatz löst nun die Defizite der ersten Welle von EDR-Lösungen. Es löst das Versprechen der Technologie ein, das allgemeine Sicherheitsniveau eines Unternehmens zu erhöhen, ohne den Administrationsaufwand unverhältnismäßig zu erhöhen.

Wie ein Trichter kann eine integrierte Plattform viele Bedrohungen herausfiltern, bis nur noch eine sehr kleine Menge an Warnungen übrigbleibt, die manuelles Eingreifen erfordert

Es ist bisher nicht möglich, 100 Prozent aller Bedrohungen zu erkennen

EDR ist auf der Grundlage der Prämisse entstanden, dass es nicht möglich ist, 100 Prozent aller Bedrohungen vorab zu erkennen und vor dem Angriff zu verhindern. IT-Sicherheits-Teams und Experten haben längst erkannt, dass es trotz aller Bemühungen und fortschrittlicher Lösungen bisher nicht realisierbar ist, gegen das zu verteidigen, was Sicherheitsexperten als „das letzte Prozent“ der Angriffe bezeichnen. Um die letzte Lücke zu schließen, wurden bereits zahlreiche Host-basierte Sicherheitsprodukte wie etwa Anti-Exploit-Lösungen oder Produkte basierend auf Machine Learning entwickelt. Die wirklich ausgefeilten Angriffe – oft mehrstufige, verschachtelte, verdeckte Angriffe oder solche, die durch Social Engineering den Anschein von legitimen Aktivitäten haben – konnten sich diesen Abwehrmechanismen jedoch immer noch entziehen. Der grundlegende Unterschied von EDR zu anderen Security-Lösungen ist der Ansatz, Infektionen und deren Folgeschäden früh zu erkennen und damit ihre Auswirkungen drastisch zu minimieren.

EDR hat bereits ein starkes Wachstum erlebt. Laut Gartner verzeichnet EDR ein explosionsartiges Wachstum – die Einnahmen aus dem EDR-Geschäft haben sich im Jahr 2016 mehr als verdoppelt und erreichten 500 Millionen Dollar. Darüber hinaus wird für EDR bis 2020 ein jährliches Wachstum von fast 50 Prozent prognostiziert. Wie immer stellt sich bei einer neuen Technologie jedoch die Frage, wie sie am besten eingesetzt werden kann, um in der realen IT-Welt zu funktionieren.