Cybersecurity EDR

Endpoint Detection and Response – Virenschutz der nächsten Generation

Cyberbedrohungen sind an der Tagesordnung und Virenschutzprogramme erweisen sich nur als wirksam, wenn sie mit der Entwicklung der Cyberkriminellen Schritt halten und mit innovativen Lösungen arbeiten. In diesem Artikel schauen wir uns die Unterschiede zwischen traditionellen Virenschutzstrategien und der modernen Endpoint Detection and Response (EDR)-Technologie genauer an. Wie unterscheiden sich die verschiedenen Ansätze in der Erkennung und Abwehr von Cyberbedrohungen und was sind die Vorteile der neueren Strategien?

Klassische signaturbasierte Virenschutzprogramme

Virenscanner begleiten Windows-Benutzer schon seit vielen Jahren. Seit dem ersten kommerziellen Virenschutzprogramm, das 1987 von G DATA für den Atari entwickelt wurde, ist das Thema bei Computeranwendern präsent. Seitdem hat sich zwar einiges geändert, doch die grundsätzliche Funktionsweise von klassischen Virenschutzprogrammen ist noch gleich. Antivirenprogramme nutzen sogenannte Signaturen. Um diese zu kreieren, generieren sie den Hash-Wert eines eindeutigen Teils des schädlichen Codes der Schadsoftware. Dieser Hash-Wert wird dann als Signatur in der Datenbank gespeichert (vgl. auch die Infobox unten).

Wenn das Antivirenprogramm eine Datei auf einem System überprüft, kann es zuerst den Hash-Wert der Datei berechnen und diesen dann mit den gespeicherten Signaturen in seiner Datenbank abgleichen. Durch den Einsatz von Hash-Werten als Grundlage für Signaturen wird die Effizienz bei der Identifizierung schädlicher Inhalte verbessert, da der Hash-Wert für sich allein viel schneller verglichen werden kann als der gesamte schädliche Code.

Insgesamt ermöglicht die Verbindung von Signaturen und Hash-Werten eine effiziente und genaue Erkennung schädlicher Inhalte. Allerdings sorgt der Ansatz nicht durchgängig für kompletten Schutz.

Infobox

Was ist eine Signatur?

Eine Signatur ist eine Zusammenstellung verschiedener Parameter, durch die eine Schadsoftware eindeutig und zuverlässig identifiziert werden kann. Sie könnte z. B. aus folgenden Informationen bestehen:

  • Eindeutiger Dateiname oder Textzeilen in der Software
  • Verhalten der Software: Welche Dateien werden durch die Software geöffnet? In welche Dateien wird geschrieben?
  • Dateigrösse der Software oder einzelner Dateien
  • Hashwert der ganzen Software oder einzelner Teile

Die Signaturen werden durch die Hersteller erstellt, nachdem sie eine Schadsoftware analysiert haben. Im Anschluss werden sie an die Kunden verteilt, bzw. im Allgemeinen lädt das Virenschutzprogramm die Updates im Hintergrund herunter, ohne dass der User dies bemerkt.

Was ist ein Hash?

Ein Hash ist ein Wert, der aus einer Datei berechnet werden kann. Die gleiche Datei ergibt dabei immer den gleichen Hash-Wert (unabhängig davon, durch wen, wann oder wo er berechnet wird). Schon eine winzige Änderung an der Datei ergibt einen völlig neuen Hash-Wert.

Zur Verdeutlichung ein Beispiel mit der bekannten Hash-Funktion MD5: 

  • Der MD5-Hash-Wert des Satzes «Dies ist ein Test» lautet: 6cddeb6a2f0582c82dee9a38e3f035d7
  • Der MD5-Hashwert des leicht abgeänderten Satzes «Dies ist ein test» (kleines t statt grosses T) lautet: fe9b72fa5eb7e62ad04ece3c230cf94f

 >> Eine kleine Änderung am Ausgangswert hat also den Hash grundlegend verändert.

Die mit Signaturen und Hash-Werten verbundene Problematik

Folgende drei Probleme beeinträchtigen die Sicherheit des signaturbasierten Ansatzes:

  1. Alle oben genannten Informationen können erst analysiert werden, NACHDEM bereits ein Exemplar der Schadsoftware zur Analyse vorliegt; es kann also nicht präventiv geschützt werden.
  2. Die erstellten Signaturen müssen zu den Anwendern gesendet und dort installiert werden, bevor sie aktiv werden können. Wenn sie schützen sollen, müssen sie immer aktuell sein.
  3. Sowohl die oben genannten Informationen als auch die damit verbundenen Hash-Werte lassen sich vom Autor der Schadsoftware sehr leicht ändern.

Hersteller von Virenschutzprogrammen verfolgen verschiedene Ansätze, um diese Schwächen zu umgehen oder zu entschärfen – die grundsätzlichen Probleme bleiben aber bestehen.

Der Ansatz mit Endpoint Detection and Response (EDR) verfolgt eine andere Strategie, die von diesen Problemen nicht beeinträchtigt wird.

Endpoint Detection and Response (EDR)

Bei «Endpoint Detection and Response» (EDR) handelt es sich um eine Art von Sicherheitstechnologie, die darauf abzielt, Bedrohungen auf Endgeräten (wie Computer, Server oder mobile Geräte) zu erkennen und darauf zu reagieren. EDR-Systeme überwachen kontinuierlich und in Echtzeit das Verhalten von Endpunkten, um verdächtige Aktivitäten oder Anomalien zu identifizieren, die auf eine mögliche Sicherheitsverletzung hindeuten könnten.

EDR-Schutzprogramme funktionieren anders als signaturbasierte Virenschutz­programme. Während sich signaturbasierte Virenschutzprogramme zu einem grossen Teil auf die gezeigten Signaturen konzentrieren, basiert EDR primär auf der Analyse des Programmverhaltens.

EDR ist ein wichtiger Bestandteil moderner Cybersecurity-Strategien, da sie dazu beiträgt, Sicherheitsverletzungen frühzeitig zu erkennen und darauf zu reagieren, um potenzielle Schäden zu verhindern oder zu minimieren.

Beispiele für verdächtiges Verhalten, das EDR erkennen kann, können sein:

  • Eine geöffnete Word-Datei versucht, im Hintergrund einen Powershell-Prozess zu starten oder weitere Daten aus dem Internet herunterzuladen.
  • Eine Software (oder der Nutzer) versucht, die Schutzlösung zu deaktivieren.
  • Es gibt ungewöhnlich viele fehlgeschlagene Loginversuche an einem Computer oder an einer Software.
  • Ungewöhnliche Netzwerkzugriffe oder ungewöhnlich hoher Netzwerkverkehr werden bemerkt.
  • Eine schnelle Erstellung vieler Dateiarchive (.zip) oder die Verschlüsselung vieler Dateien wird registriert.

Bei solchen Anzeichen spricht man von sogenannten «Indicators of Compromise» (IOCs). Sie können Hinweise auf das Vorhandensein einer Schadsoftware sein. Eine EDR-Lösung hat dann verschiedene Möglichkeiten zu reagieren:

  • Isolation des betroffenen Computers (Deaktivierung des Netzwerks)
  • Schliessen bzw. Beenden der betroffenen Applikation
  • Unterbinden weiterer Prozesse oder des Startens weiterer Applikationen
  • Entfernen von infizierten Dateien


Auf den Punkt gebracht:
Die Hauptfunktionen von EDR umfassen:

  • Echtzeitüberwachung: Kontinuierliche Überwachung des Verhaltens von Endpunkten in Echtzeit, um ungewöhnliche Aktivitäten schnell zu lokalisieren.
  • Erkennen von Bedrohungen: Identifikation von Anomalien oder verdächtigen Aktivitäten, die auf mögliche Sicherheitsverletzungen hinweisen könnten.
  • Reaktion auf Sicherheitsvorfälle: Fähigkeit, auf erkannte Bedrohungen automatisiert zu reagieren und Massnahmen zu ergreifen, um die Sicherheit des Systems zu gewährleisten. Beispielsweise die Isolierung eines betroffenen Endpunkts oder die Entfernung von schädlichem Code etc.
  • Protokollierung und Berichterstattung: Aufzeichnung von Aktivitäten auf Endpunkten, um einen umfassenden Überblick über Sicherheitsvorfälle zu erhalten. Dies ermöglicht auch die Analyse von Vorfällen nach deren Entdeckung.

Ein kleiner Nachteil: «False Positives»

Die Ausgangslagen für klassische signaturbasierte Virenschutzprogramme und für EDR-Virenschutzprogramme sind unterschiedlich: Während der signaturbasierte Ansatz die Information «diese Software ist ungewollt» beinhaltet, bietet der EDR-Ansatz nur die Information «es könnte sich hierbei um ungewollte Software handeln».

Das Konfidenzintervall gibt an, in welchem Bereich sich der wahre Wert eines Parameters mit einer bestimmten Wahrscheinlichkeit befindet. Das Konfidenzintervall von signaturbasierten Schutzprogrammen ist höher als jenes von EDR-Programmen. Daraus ergibt sich beim EDR-Ansatz gleichzeitig eine höhere Wahrscheinlichkeit von Fehlerkennungen, sogenannten «False Positives». Diese entstehen immer dann, wenn die EDR-Lösung die Ausführung einer Applikation unterbindet, obwohl diese eigentlich harmlos ist. Natürlich können solche fälschlichen Fehlerkennungen ein grosses Ärgernis für die Mitarbeitenden bedeuten.

Ganz vermeiden lassen sich «False Positives» nicht. Um Ihr Auftreten aber möglichst zu minimieren, wird bei der Einführung von EDR-Software ein Trainingszeitraum eingeplant. In diesem Zeitraum kann die Software bereits alle Aktionen auf den Systemen überprüfen und normales Verhalten «lernen», ohne dabei die Ausführung der Programme zu beeinflussen.

So werden auch potenzielle spätere «False-Positives» erkannt und das System entsprechend angelernt. Beispielsweise lösen Branchensoftware oder alte, sogenannte «Legacy Software» regelmässig False-Positives aus, welche dann aber in der Software als harmlos deklariert werden können (sogenanntes «White Listing»).

Was sind also die Vorteile von EDR-Software?

EDR-Software ist in der Lage, neue, bisher unbekannte Schadsoftware zu erkennen, zu analysieren und deren Ausführung zu unterbinden, bevor sie Schaden anrichten kann. EDR-Software ist dadurch viel besser an die moderne, schnelllebige Internet-Zeit angepasst als herkömmliche signaturbasierte Schutzsoftware. Ausserdem kann sie, da sie das Verhalten von Software analysiert, nicht so leicht durch die Autoren von Schadsoftware überlistet werden. Während bei Signaturen eine leichte Anpassung des Programmcodes von Schadsoftware ausreichen kann, um Schutzsoftware zu überlisten, ist dies bei EDR-Schutzprogrammen nicht auf diese Weise möglich.

Extended Detection and Response – eine Weiterentwicklung von EDR

Bei Extended Detection and Response (XDR) handelt es sich um den nächsten logischen Schritt in der Entwicklung von EDR. Während EDR das Verhalten von Programmen auf einem Client analysiert (und auf jedem Client in einer Organisation unabhängig), werden bei XDR Daten aus verschiedenen Quellen korreliert.

So werden bei XDR z.B. auch Daten von Netzwerkgeräten wie Firewalls oder externen Applikationen wie Cloud-Applikationen eingebunden. So ermöglichen sie eine umfassendere Situationsanalyse. Durch die Analyse des Netzwerkverkehrs ermöglichen sie weitere Einblicke in die Kommunikation zwischen Applikationen und ermöglichen beispielsweise auch das Unterbinden unerwünschten Netzwerkverkehrs.

Wir beraten Sie sehr gerne zum Einsatz von Virenschutzprogrammen, die Ihre IT optimal vor Angriffen schützen. Kontaktieren Sie unseren IT Security Consultant Marius Dubach oder werfen Sie selbst einen Blick auf unsere IT Security Produkte.

Marius Dubach, IT Security Consultant

+41 61 500 16 15
marius.dubach@primetrack.ch

icon_datalynxgroup_colored-1png
Ergänzende Services der Datalynx Gruppe