XDR: Next Generation des Virenschutzes
Lars Behrens, Dipl.-Paed
Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.
Ist Antivirensoftware tot?
Glaubt man den Aussagen führender IT-Sicherheitsexperten, muss diese Frage leider mit Ja beantwortet werden. AV ist tot - es lebe EDR und XDR! Dabei sollen nicht mehr einzelne Systeme mit einer mehr oder weniger starren Software, die auf der Erkennung bekannter Muster von Malware beruht, geschützt werden, sondern eher das Gesamtsystem mit einer dynamischen Lösung. Zudem werden die zu schützenden Systeme laufend überwacht und Verhaltensauffälligkeiten analysiert. Das gilt erst recht für eine Komprimittierung - wenngleich es ärgerlich und in der Regel mit Ausfällen, zusätzlichem Aufwand und gegebenenfalls Reputationsverlusten verbunden ist, kann die Auswertung eines erfolgreichen Einbruchs doch wertvolle Erkenntnisse liefern, mit denen zukünftig besser - und vorbeugend - auf solche Gefahren reagiert wird. Deswegen "Detection and Response" - ob nun, EDR, XDR oder MDR. EDR (Endpoint Detection and Response) heisst das bei solchen neuen Trends offenbar unvermeidliche 3-Buchstabenkürzel für diese "Next generation" von Antiviren-Lösungen. Antivir ist dabei nach Angaben der Entwickler und Anbieter solcher Systeme ohnehin zu kurz gegriffen. XDR wäre demnach noch die qualitative Steigerung zu EDR, weil das X quasi für "alles" an Bedrohungen stehen soll, was über reinen Malwarebefall hinausgeht. Dummerweise halten sich Cyber-Kriminelle selten an die üblichen Geschäftszeiten, weshalb ein Monitoring der zu schützenden Systeme praktisch 24/7 und an 365 Tagen im Jahr erfolgen sollte - in Schaltjahren sogar an 366 Tagen. Da nur wenige oder wirklich sehr grosse Unternehmen auf extrem sicherheitskritischen Geschäftsfeldern (wie zum Beispiel Banken oder Krankenhäuser) sich so etwas personell und finanziell leisten können und wollen, hilft eventuell ein MDR - Managed Detection and Response, bei dem die laufende Überwachung, Reaktion und Anpassung eben an einen externen Dienstleister übertragen wird.
Und damit wären wir eigentlich schon beim nächsten Buzzword - gut für alle, die sich längere Kürzel besser merken können: SIEM (was für Security Information & Event Management steht) wartet sogar mit vier Buchstaben auf. Letztlich ist es aber eher als ein Oberbegriff für die gesamte Sicherheitsstruktur der IT eines Unternehmens zu sehen. Schauen wir uns an, wodurch EDR (mit den Varianten XDR und MDR) und EPP sich unterscheiden. Der eher traditionelle Ansatz, EPP, zeichnet sich u.a. aus durch:
- Abgleich von Signaturen
- Sandboxing
- Verhaltensanalysen
- Statische Analysen
- Whitelisting und Blacklisting
Passende Produkt-Empfehlungen
Endpoint Protection Platforms
Endpoint Protection Platforms sind heutzutage Standard in Unternehmen. Während sie Bedrohungen wie bekannte Viren, Trojaner, Umgehungsmechanismen von Firewalls oder UAC (User Access Control, auf deutsch Benutzerkontensteuerung) in der Regel gut erkennen und abwehren, können sie mit bisher unbekannten Viren eher schlecht bis gar nicht umgehen. Dabei handelt es sich oftmals nur um geringe Abwandlungen bekannter Schadsoftware. Gerade die diversen Verschlüsselungstrojaner haben gezeigt, wie wirkungslos klassische EPP hier oftmals war und ist. Das ist besonders deswegen ärgerlich, weil AV-Lösungen nicht kostenfrei zu haben sind und die Lizenzkosten sich in grösseren Umgebungen zu einem erklecklichen Sümmchen addieren können. Verweist man die Hersteller nach einem Malwarebefall darauf, dass Ihre Lösung diesen nicht abwehren konnte, erntet man in der Regel einen Verweis auf die Vertragsbedingungen, die einen vollständigen Schutz nicht zusagen können und einen Schadensersatz ausschliessen.
Die Angreifer von IT-Systemen sind den Opfern zwangsläufig immer einen Schritt voraus. Sofern man nicht über hellseherische Fähigkeiten oder die Kombinationsgabe eines Sherlock Holmes verfügt, wird es auch der bestausgestatteten IT-Abteilung selten gelingen, einen Angriff bereits vor dessen Durchführung zu erkennen und abzuwehren. Die Regel ist eher, dass es nach einem eingetretenen Schadensfall meist nur noch darum geht, wie schnell die Daten und Systeme wiederhergestellt werden können.
Einer Umfrage aus dem Jahre 2017 zufolge (SANS 2017 Threat Landscape, siehe Link unten) sahen 74 Prozent der Befragten in typischem Userverhalten wie dem Klick auf einen (kompromittierten) Link oder dem Öffnen eines E-Mail-Anhangs den "besten und einfachsten" Weg, auf dem Cyberkriminelle in Unternehmen eindringen könnten. Gleichzeitig schätzten über 80 Prozent der befragten Unternehmen EPP-Tools als das hilfreichste Mittel zur Erkennung von Bedrohungen ein. Wie wir aber eingangs dargestellt haben und wie es viele Unternehmen schmerzhaft erfahren mussten, ist der (eher statische und eindimensionale) Schutz am Endpunkt kaum geeignet, aktuellen Cyberbedrohungen standzuhalten.
EDR (XDR, MDR)
Hier kommt EDR (XDR, MDR) ins Spiel als "eine Cybersicherheitstechnologie, die die Notwendigkeit von Echtzeit-Überwachung adressiert und sich hauptsächlich auf Sicherheitsanalysen und Vorfallsreaktionen unternehmerischer Endpunkte konzentriert. EDR bietet eine tatsächliche Ende-zu-Ende-Sichtbarkeit hinsichtlich der Aktivität jedes Endpunkts in der Unternehmensinfrastruktur, die von einer einzigen zentralen Konsole aus verwaltet wird, gepaart mit wertvollen Informationen zur Sicherheit, die von IT-Sicherheitsexperten für weitere Untersuchungen und Reaktionen genutzt werden können" - so sei hier einmal stellvertretend einer der Anbieter solcher Lösungen zitiert (Kaspersky, siehe Links). Detection and Response, also das Sujet von EDR, XDR und MDR, wird aber inzwischen von vielen Herstellern angeboten. Unter den Links finden Sie so auch Trendmicro, ebenfalls ohne Wertung oder Hervorhebung.
Vielleicht vermögen Sie auch nach solcher Lektüre immer noch nicht in wenigen knappen Worten zu erklären, was Detection & Response-Systeme ausmacht. Das liegt in der Natur der Sache, denn EDR und Co. unterscheiden sich erst bei näherem Hinsehen von anderen Sicherheitslösungen wie EPP, EDR (Endpunkterkennung und -reaktion, Endpoint Detection and Reaction) oder NTA (Netzwerkverkehrsanalysen, Network Traffic Analysis). E/X/MDR-Produkte sollen alle verfügbaren "Informationen über alle Bedrohungen, die sich der Prävention entzogen haben, erkennen und zusammenfügen. Sie ermöglichen Sicherheitsanalysten eine detaillierte Analyse aller laufenden Angriffe. Dies bedeutet, schneller auf Vorfälle reagieren und diese lösen zu können und bei der Bedrohungssuche proaktiver vorzugehen", heisst es auf infopoint-security.de (siehe Links).
Detection & Respone-Lösungen „sind im Kern Erkennungs- und Reaktionsplattformen, die wertvolle Daten von Netzwerksensoren, Endpunktsensoren und Cloud-Sensoren aufnehmen und an einem zentralen Ort die Analyse dieser Daten durchführen können“ (zit n. ebd.). Gerade die proaktive Erkennung neuer oder unbekannter Bedrohungen soll dabei den Mehrwert gegenüber herkömmlichen AV-Lösungen bringen. Ob das den Newcomern gelingen wird, bleibt abzuwarten. Vorerst heisst es für verantwortungsvolle Admins wie zuvor schon:
- System aktuell halten
- Starke Passwörter verwenden
- User sensibilisieren
- Systeme überwachen
- Aktuelle und mehrschichtige Datensicherungen pflegen und regelmässig überprüfen.
www.sans.org/webcasts/security-whack-a-mole-2017-threat-landscape-survey-104452
www.kaspersky.de/blog/epp-edr-importance/16790/
www.trendmicro.com/de_de/business/products/detection-response/xdr.html
www.infopoint-security.de/wie-unterscheidet-sich-xdr-von-anderen-sicherheitsloesungen/a22984/
sicherheitsloesungen/a22984/
