Neue Fähigkeiten für Tools zum Schutz der Endpoints

Unzulänglichkeiten bei herkömmlichen Sicherheits-Tools

Traditionelle Lösungen zum Schutz der Endpoints haben eine ganze Reihe von Problemen, wenn es um moderne Bedrohungen geht. So gehen sie das Thema IT-Sicherheit oft nur häppchenweise an. Viele Unternehmen nutzen zum Beispiel eine bestimmte Lösung zum Schutz vor Malware und ein völlig anderes Produkt, um Eindringlinge ins Firmennetz zu erkennen. Das Problem bei dieser Vorgehensweise ist, dass dadurch Security-Silos entstehen. Zwischen den verschiedenen, nicht miteinander verknüpften Lösungen können Eindringlinge unerkannt hindurch schlüpfen.

Eine weitere Unzulänglichkeit bei vielen der bisher eingesetzten Sicherheitslösungen ist, dass diese Produkte zu sehr auf Reaktionen der Endanwender angewiesen sind. Wenn auf einem Computer beispielsweise eine neue Bedrohung erkannt wurde, erhält der Nutzer oft zunächst ein Hinweisfenster mit mehreren Auswahlmöglichkeiten präsentiert. Er kann die Gefahr dann einfach ignorieren oder eine andere Maßnahme ergreifen, die nicht zur Abwehr der jeweiligen Bedrohung geeignet ist.

Ein drittes Problem liegt im Mangel an Präzision dieser Maßnahmen. Viele der bislang genutzten Sicherheitsanwendungen, insbesondere wenn es um die Erkennung von Schädlingen geht, setzen allein auf die Nutzung von Malware- oder Angriffssignaturen. Es liegt auf der Hand, dass diese Methode nur Bedrohungen erkennen kann, zu denen es schon eine bekannte Signatur gibt. Weil diese Schutzmaßnahmen gegen unbekannte Gefahren aber völlig wirkungslos sind, haben sich die Anbieter neue Techniken einfallen lassen. So setzen sie heute etwa häufig Heuristiken ein, um Angriffe zu erkennen, die von der signaturbasierten Erkennung nicht entdeckt wurden. Diese Maßnahmen haben aber den Nachteil, dass dabei in der Regel sehr viele Fehlalarme produziert werden.

Die wichtigsten Vorteile von Endpoint Detection and Response

EDR-Lösungen wurden dagegen entwickelt, um die Endpunkte im Netzwerk dauerhaft zu überwachen und um auf ein breiteres Spektrum an Gefahren reagieren zu können.

Einer der wichtigsten Vorteile von EDR-Tools ist, dass sie mehr als nur eine einzige Art von Bedrohungen erkennen können. Das unterscheidet sie von anderen Sicherheitslösungen, die zum Beispiel nur dazu dienen sollen, neue Schadsoftware aufzuspüren. Es gibt allerdings auch große Unterschiede bei den auf dem Markt erhältlichen EDR-Produkten. Sowohl in der Reichweite als auch in ihren Fähigkeiten gibt es teilweise erhebliche Abweichungen.

Die meisten EDR-Lösungen installieren einen Agenten auf den Endpoints im Netzwerk. Die wichtigste Aufgabe dieses Agenten ist, dauerhaft den Zustand des Systems zu überwachen, Sicherheitsprobleme zu erkennen und die Ergebnisse an einen zentralen EDR-Server zu melden. Es ist deswegen für Unternehmen essentiell, die EDR-Agenten auf den Endpoints vor Manipulationen zu schützen. Wenn es einem Angreifer zum Beispiel gelingt, den Agenten durch einen DoS-Angriff (Denial of Service) oder eine andere Methode unwirksam zu machen, dann kann er damit das gesamte EDR-System umgehen.

Wenn ein Unternehmen den Einsatz von EDR-Lösungen in Betracht zieht, sind besonders die Maßnahmen von Relevanz, die der Anbieter unternommen hat, um sicherheitsrelevante Ereignisse zu erkennen. Einige der aktuelleren EDR-Lösungen nutzen beispielsweise bereits KI-Techniken (künstliche Intelligenz). Damit ist es den Herstellern gelungen, die Zahl der False Positives deutlich zu reduzieren. Dieser Punkt ist besonders wichtig, da eine hohe Zahl von Fehlalarmen dazu führen kann, dass die Nutzer nicht mehr jeden Hinweis ernst nehmen. Echte Bedrohungen werden dann mehr erkannt.