{"id":12957,"date":"2018-07-18T11:10:43","date_gmt":"2018-07-18T09:10:43","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=12957"},"modified":"2018-07-03T12:13:52","modified_gmt":"2018-07-03T10:13:52","slug":"die-untersuchung-von-sicherheitsvorfaellen-ueberfordert-it-abteilungen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=12957","title":{"rendered":"Die Untersuchung von Sicherheitsvorf\u00e4llen \u00fcberfordert IT-Abteilungen"},"content":{"rendered":"

\"\"<\/a><\/p>\n

Autor\/Redakteur: Harish Agastya, Vice President of Enterprise Solutions bei Bitdefender<\/a>\/gg<\/p>\n

Die kontinuierliche \u00dcberwachung der IT durch Endpoint Detection and Response (EDR) verspricht die Entdeckung von ausgefeilten Angriffen, die IT-Security-L\u00f6sungen nicht verhindern konnten. Mit einem neu entwickelten Ansatz der Verbindung von EDR mit Endpoint Security k\u00f6nnen Unternehmen gegen \u201edas letzte Prozent\u201c m\u00f6glicher IT-Bedrohungen vorgehen.<\/p>\n

<\/p>\n

Als die Trojaner das von den Griechen hinterlassene Holzpferd in ihre Stadt zogen, war der Schaden noch nicht geschehen. Erst, dass es den darin versteckten griechischen K\u00e4mpfern des Nachts gelang, unbeobachtet die Stadttore von innen zu \u00f6ffnen, besiegelte das Schicksal der Stadt. In der IT lernen wir daraus, dass es eine innere Verteidigungslinie geben muss, die dann zum Tragen kommt, wenn die ersten Schritte eines Breach bereits geschehen sind. Genau dies ist die Aufgabe von Endpoint Detection and Response (EDR), einer relativ neuen Technologie.<\/p>\n

Es handelt sich um eine IT-Sicherheitsl\u00f6sung, die sich in erster Linie auf die Identifizierung und Pr\u00fcfung verd\u00e4chtiger Aktivit\u00e4ten auf Hosts und Endger\u00e4ten konzentriert. Hinsichtlich ihres Potenzials, die Sicherheit im Rechenzentrum insgesamt zu erh\u00f6hen, wird EDR oft mit Advanced Threat Protection (ATP) verglichen, da es ebenfalls die Notwendigkeit der kontinuierlichen \u00dcberwachung adressiert und weil sie auch neueste Bedrohungen abwehren kann.<\/p>\n

Die Bedrohungslage steigt st\u00e4ndig und IT-Teams versuchen h\u00e4nderingend, ihre Abwehr gegen immer ausgekl\u00fcgeltere Angriffe zu st\u00e4rken. EDR ist hierf\u00fcr eine vielversprechende Technologie. Die L\u00f6sungen sind bisher jedoch teuer in der Implementierung und aufwendig im Betrieb. Vor allem l\u00f6sen sie zu viele Warnmeldung aus. Und zu viele Alerts f\u00fchren letzten Endes zu geringer Effektivit\u00e4t und zu Unzufriedenheit der IT-Teams.<\/p>\n

Ein neu entwickelter EDR-Ansatz l\u00f6st nun die Defizite der ersten Welle von EDR-L\u00f6sungen. Es l\u00f6st das Versprechen der Technologie ein, das allgemeine Sicherheitsniveau eines Unternehmens zu erh\u00f6hen, ohne den Administrationsaufwand unverh\u00e4ltnism\u00e4\u00dfig zu erh\u00f6hen.<\/p>\n

\"\"<\/a>
Wie ein Trichter kann eine integrierte Plattform viele Bedrohungen herausfiltern, bis nur noch eine sehr kleine Menge an Warnungen \u00fcbrigbleibt, die manuelles Eingreifen erfordert<\/figcaption><\/figure>\n

Es ist bisher nicht m\u00f6glich, 100 Prozent aller Bedrohungen zu erkennen<\/strong><\/p>\n

EDR ist auf der Grundlage der Pr\u00e4misse entstanden, dass es nicht m\u00f6glich ist, 100 Prozent aller Bedrohungen vorab zu erkennen und vor dem Angriff zu verhindern. IT-Sicherheits-Teams und Experten haben l\u00e4ngst erkannt, dass es trotz aller Bem\u00fchungen und fortschrittlicher L\u00f6sungen bisher nicht realisierbar ist, gegen das zu verteidigen, was Sicherheitsexperten als \u201edas letzte Prozent\u201c der Angriffe bezeichnen. Um die letzte L\u00fccke zu schlie\u00dfen, wurden bereits zahlreiche Host-basierte Sicherheitsprodukte wie etwa Anti-Exploit-L\u00f6sungen oder Produkte basierend auf Machine Learning entwickelt. Die wirklich ausgefeilten Angriffe \u2013 oft mehrstufige, verschachtelte, verdeckte Angriffe oder solche, die durch Social Engineering den Anschein von legitimen Aktivit\u00e4ten haben \u2013 konnten sich diesen Abwehrmechanismen jedoch immer noch entziehen. Der grundlegende Unterschied von EDR zu anderen Security-L\u00f6sungen ist der Ansatz, Infektionen und deren Folgesch\u00e4den fr\u00fch zu erkennen und damit ihre Auswirkungen drastisch zu minimieren.<\/p>\n

EDR hat bereits ein starkes Wachstum erlebt. Laut Gartner verzeichnet EDR ein explosionsartiges Wachstum \u2013 die Einnahmen aus dem EDR-Gesch\u00e4ft haben sich im Jahr 2016 mehr als verdoppelt und erreichten 500 Millionen Dollar. Dar\u00fcber hinaus wird f\u00fcr EDR bis 2020 ein j\u00e4hrliches Wachstum von fast 50 Prozent prognostiziert. Wie immer stellt sich bei einer neuen Technologie jedoch die Frage, wie sie am besten eingesetzt werden kann, um in der realen IT-Welt zu funktionieren.<\/p>\n

<\/p>\n

Wie kann EDR in einer realen Umgebung funktionieren?<\/strong><\/p>\n

EDR kann Sicherheitsl\u00f6sungen als zus\u00e4tzliche Schicht erg\u00e4nzen. Das Hinzuf\u00fcgen weiterer Schichten hat jedoch nicht nur positive Folgen. EDR als weitere Schicht neben der Antivirenl\u00f6sung, dem Anti-Exploit-Tool, Firewalls und allen anderen sonstigen Agents, die sich auf den Hosts befinden k\u00f6nnten, erh\u00f6ht beispielsweise die Komplexit\u00e4t und den Verwaltungsaufwand. Die Pr\u00fcfung von zu vielen Sicherheitswarnungen w\u00fcrde die \u00fcberlasteten IT-Teams au\u00dferdem mit noch mehr Aufgaben \u00fcberschwemmen. Dies kann dazu f\u00fchren, falsche Entscheidungen zu treffen. Wer zu viele Warnungen bekommt, neigt nun einmal dazu, so manche Anwendung vorschnell zu whitelisten oder unscheinbare Warnungen zu ignorieren, die sich beim genauen Hinsehen als gef\u00e4hrlich entpuppen w\u00fcrden. Beides f\u00fchrt die Nutzung von EDR ad absurdum. Wie jedoch kann man EDR weiterentwickeln und sein Potenzial nutzen?<\/p>\n

Maschinelles Lernen und Behavioral Monitoring k\u00f6nnen die Anzahl der Alerts drastisch begrenzen<\/strong><\/p>\n

Eine Stand-Alone-EDR-L\u00f6sung, die auf allen Arten von Hosts und Ger\u00e4ten l\u00e4uft, kann sehr viele Warnmeldungen ausl\u00f6sen. Dies beschr\u00e4nkt die Nutzung der Technologie auf gro\u00dfe Organisationen, die \u00fcber das n\u00f6tige Personal verf\u00fcgen, um all diese Warnungen verfolgen zu k\u00f6nnen. Um die Anzahl der Warnmeldungen auf einen Bruchteil zu begrenzen, der es wert ist, weiterverfolgt zu werden, k\u00f6nnen jedoch pr\u00e4ventive Kontrollen wie maschinelles Lernen und Behavioral Monitoring am vorderen Ende der Angriffs\u00fcberwachung hinzugef\u00fcgt werden. Die wirklich relevanten Vorf\u00e4lle lassen sich dann am schmalen Ende des Prozesses untersuchen. Durch diesen Trichter-Ansatz (siehe Abbildung) bleibt eine wesentlich geringere Anzahl von Vorf\u00e4llen \u00fcbrig, der eine manuelle Reaktion erfordert. Dieser Ansatz macht EDR nicht nur viel leichter handhabbar, sondern zieht auch die Lehre aus der ersten Welle von EDR-L\u00f6sungen, dass EDR nicht als eigenst\u00e4ndige L\u00f6sung, sondern als Teil einer integrierten L\u00f6sung eingesetzt werden sollte.<\/p>\n

\"\"<\/a><\/p>\n

EDR als Teil einer integrierten L\u00f6sung<\/strong><\/p>\n

IT-Teams wollen ein H\u00f6chstma\u00df an Sicherheit. Sie wollen aber auch den unn\u00f6tigen Aufwand durch Fehlalarme oder triviale Bedrohungen reduzieren und sich nur auf das konzentrieren, was wirklich gef\u00e4hrlich ist. Um diese beiden Anforderungen in Einklang zu bringen, muss EDR in eine Gesamt-L\u00f6sung integriert werden, die der bew\u00e4hrten Formel professioneller Sicherheitsl\u00f6sung \u201ePrevention, Investigation, Detection und Response\u201c folgt. Die Integration in eine ganzheitliche L\u00f6sung hat auch den Vorteil, dass Entscheidungen aus dem EDR-Modul die Pr\u00e4ventionsschicht dar\u00fcber lehren kann, zuk\u00fcnftige Auff\u00e4lligkeiten selbst herauszufiltern. Das erm\u00f6glicht es IT-Teams, bei hoch entwickelten und schwer fassbaren Bedrohungen immer einen Schritt voraus zu sein, ohne jede einzelne erkannte Bedrohung manuell nachverfolgen zu m\u00fcssen.<\/p>\n

EDR, weiterentwickelt und integriert<\/strong><\/p>\n

EDR ist ein junger Ansatz, der in der Sicherheitsbranche immer mehr an Bedeutung gewinnt, da er verspricht, Bedrohungen, die nicht durch existierende Sicherheitsl\u00f6sungen entsch\u00e4rft werden k\u00f6nnen, in der Post-Breach-Phase schnell zu eliminieren. Bisherige L\u00f6sungen waren nicht effektiv, da sie eine Lawine potenzieller Bedrohungen verursachten, die die IT-Teams \u00fcberforderten und zu Fehlern im Umgang mit diesen Bedrohungen f\u00fchrten. Um effektiv arbeiten zu k\u00f6nnen, muss EDR Teil einer integrierten L\u00f6sung sein, die die Anzahl der Warnmeldungen auf einen niedrigen Prozentsatz reduziert.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Harish Agastya, Vice President of Enterprise Solutions bei Bitdefender\/gg Die kontinuierliche \u00dcberwachung der IT durch Endpoint Detection and Response<\/p>\n","protected":false},"author":1,"featured_media":12958,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6712,136,9053,6785,1653,11284,36],"class_list":["post-12957","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-atp","tag-bitdefender","tag-detection","tag-edr","tag-endpoint","tag-response","tag-sicherheit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12957","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12957"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12957\/revisions"}],"predecessor-version":[{"id":12963,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12957\/revisions\/12963"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/12958"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12957"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12957"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12957"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}