EDR

Sicherheitsstrategien für Unternehmen: Welcher Schutz ist ausreichend?

Aufgrund der heutigen Bedrohungslage sollten passive Sicherheitsstrategien mit neuen Methoden verstärkt werden. Dazu zählen zum Beispiel EDR-Lösungen (Endpoint Detection & Response).

Oleg Glebov
21 Sep 2017

Im Gespräch über eine angemessene IT-Sicherheitsstrategie sind Unternehmen meist an der Antwort auf eine einzige Frage interessiert: Welche Maßnahmen sind ausreichend? Lange Zeit gingen viele davon aus, dass eine passive Strategie – der Schutz der Netzwerkumgebung und Workstationen – ausreichen würde. Heute, da Unternehmen zunehmend Opfer fortgeschrittener und gezielter Attacken werden, ist klar, dass ein angebrachter Schutz neue Methoden wie zum Beispiel EDR (Endpoint Reaction and Response) erfordert.

Deshalb sind passive Strategien nicht genug

Passive Strategien funktionieren gut bei Massenbedrohungen: Mails, die Trojaner enthalten, Phishing, bekannte Schwachstellen, usw. In anderen Worten: derartige Strategien sind effektiv, wenn Angreifer ein großes Netz auswerfen, in der Hoffnung, dass jemand darauf anspringt und folglich Profit gemacht werden kann. Ihr Geschäft ist illegal aber entspricht noch immer der Geschäftspraxis eine positive Balance zu erzielen – in diesem Fall, die Balance zwischen der Angriffskomplexität (und deren Kosten) und dem erhofften Profit.

protection requires new methods, such as EDR (endpoint detection and response)

Es ist sehr wahrscheinlich, dass sich Ihr Unternehmen in ein interessantes Zielobjekt verwandelt, vor allem wenn es sich um ein größeres Unternehmen handelt. Kriminelle, die es auf Unternehmen abgesehen haben, können an zahlreichen Dingen interessiert sein, wie: finanzielle Transaktionen, Geschäftsgeheimnisse oder Kundendaten. Vielleicht wollen sie auch einfach nur Ihr Unternehmen sabotieren, um der Konkurrenz zu helfen.

Sicherheitsstrategien für Unternehmen: Welcher Schutz ist ausreichend?
Tweet

An dieser Stelle fangen Kriminelle an, in komplexe und gezielte Attacken zu investieren. Sie untersuchen die Software, die Ihr Unternehmen nutzt, und halten nach Schwachstellen Ausschau, die dem Markt bis dato unbekannt sind, um so spezifische Exploits zu entwickeln. Sie suchen sich Ihren Weg durch Partner und Vertreiber und bestechen ehemalige Mitarbeiter. Es ist sogar möglich, dass sie unzufriedene Angestellte finden und versuchen eine Attacke aus „dem Inneren“ zu starten. Im „schlimmsten“ Fall können Kriminelle sogar ganz auf Malware verzichten und sich exklusiv auf legitime Tools verlassen, die eine traditionelle Sicherheitslösung nicht als Bedrohung einstufen würde.

Die Gefahr einer verspäteten Reaktion

Es besteht die Möglichkeit, dass passive Systeme eine gezielte Attacke, oder Aktivität, die mit einer solchen verbunden ist, entdeckt. Doch selbst wenn das geschehen sollte, entdecken die Systeme meist nur die Tatsache, dass ein Vorfall stattgefunden hat. Das hilft Ihnen allerdings nicht dabei schnell festzustellen, was genau passiert ist, welche Informationen von dem Vorfall betroffen sind, wie die Attacke zu stoppen ist und wie man einem weiteren Angriff vorbeugen kann.

Wenn Ihr Unternehmen traditionelle Endpunkt-Sicherheitstools verwendet, können Sicherheitsdienstmitarbeiter nicht immer rechtzeitig auf einen Angriff reagieren. Ihnen sind die Hände gebunden, während Sie auf einen Cybervorfall warten und erst dann mit der Untersuchung beginnen können. Abgesehen davon könnte ihnen ein wichtiger Vorfall, unter den Hunderten kleineren Vorfällen, die nun mal Teil des Business sind, entgehen.

Analysten erhalten diese Daten oftmals erst viel später. Erst nach einer sorgfältigen Untersuchung, die für gewöhnlich akribische manuelle Arbeit erfordert, wird der Vorfall an Response- und Recovery Experten weitergeleitet. Selbst in großen Unternehmen, die über seriöse Reaktionscenter verfügen, werden alle drei Funktionen – Sicherheitsspezialist, Analyst und Response-Experte – in den meisten Fällen von ein und derselben Person ausgeführt.

Unseren Statistiken zufolge vergehen durschnittlich 214 Tage zwischen der anfänglichen Systempenetration und dem Zeitpunkt, an dem ein Großunternehmen eine komplexe Bedrohung entdeckt. Im besten Fall können IT-Sicherheitsexperten noch in letzter Sekunde die Spuren einer Attacke identifizieren. Oftmals stehen aber Verluste und Systemwiederherstellung auf der Tagesordnung.

Wie Sie Risiken minimieren und IT Sicherheit optimieren können

Ein neuer, adaptiver Ansatz ist erforderlich, um das geistige Eigentum, die Reputation und andere wichtige Vermögenswerte der Organisationen zu schützen. Netzwerk-Perimeter- und Workstation-Schutzstrategien müssen durch aktive Suchtools und die einheitliche Untersuchung und Reaktion auf IT-Sicherheitsbedrohungen angepasst und verstärkt werden.

Richtige Cybersicherheitsstrategien beinhalten den Gebrauch eines aktiven Suchkonzepts, auch als Threat Hunting bekannt. Obwohl es sich hierbei um eine schwierige Aufgabe handelt, können spezielle Tools das Ganze deutlich einfacher machen. EDR, Endpoint Detection and Response, ist ein solches Tool. Es gibt den IT-Sicherheitsmitarbeitern die Möglichkeit, Bedrohungen schnell und mittels einer einheitlichen Schnittstelle zu identifizieren, Informationen zusammenzutragen und einen Angriff zu neutralisieren. EDR-Systeme nutzen Threat-Intelligence-Informationen, die Unternehmen von verschiedenen Quellen beziehen, um Prozesse in ihren Unternehmensnetzwerken zu kontrollieren.

Theoretisch kann Threat Hunting auch ohne EDR ausgeführt werden; rein manuelles Threat Hunting ist allerdings deutlich teurer und weniger effektiv. Aber nicht nur das: es kann sich negativ auf Geschäftsprozesse auswirken, da Analysten direkt in die Operationen einer großen Anzahl von Workstationen eingreifen müssen.

Im Wesentlichen gibt EDR Sicherheitsexperten die Möglichkeit, alle benötigten Informationen schnell zusammenzutragen, sie zu analysieren (sowohl automatisch als auch manuell), Entscheidungen zu treffen, Dateien oder Malware über die vereinte Kontrollschnittstelle zu löschen, ein beliebiges Objekt unter Quarantäne zu stellen und den benötigten Prozess zur Wiederherstellung zu starten – und all das, ohne das der Nutzer davon etwas mitbekommt, da kein physischer Zugriff auf die Workstationen nötig ist und somit keine Geschäftstätigkeiten gestört werden.

Wir arbeiten bereits seit einiger Zeit an Lösungen für derartige Probleme und haben eine Pilotversion unserer eigenen EDR-Lösung veröffentlicht. Erfahren Sie mehr über Kaspersky Endpoint Detection and Response.

Defense of the Accounts 2: Tipps zum sicheren Gaming

So schützen Sie Ihren Gaming-Account bei Steam, Uplay, Origin, Battle.net, usw.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Sicherheitsstrategien für Unternehmen: Welcher Schutz ist ausreichend?

Deshalb sind passive Strategien nicht genug

Die Gefahr einer verspäteten Reaktion

Wie Sie Risiken minimieren und IT Sicherheit optimieren können

Dürfen wir vorstellen? Kaspersky EDR Optimum!

Einfache Verteidigung gegen komplexe Angriffe

Defense of the Accounts 2: Tipps zum sicheren Gaming

Tipps

Einrichten von Shortcuts und Siri in Kaspersky für iOS

Vergiss Recall nicht, denn Recall vergisst dich bestimmt nicht

Der Mythos des Inkognito-Modus: So funktioniert privates Surfen wirklich

1,3 Millionen versuchte Cyberangriffe auf Kinder

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie