
Das Schweizer Sicherheitsunternehmen Exeon Analytics warnt davor, bei der Sicherung von Endpunkten nur auf herkömmliche EDR-Lösungen zu setzen (Endpoint Detection & Response). Zahlreiche Endpunkte in modernen, hybriden Netzen unterstützen die dafür benötigten Agenten nicht, und dort, wo solche Agenten laufen, können sie durch raffinierte Angriffe unter Umständen ausgehebelt und deaktiviert werden. Zudem haben die IT- und Sicherheitsteams wegen des Trends zu Heimarbeit und BYOD (Bring Your Own Device) oft keinen Zugriff auf Endpunkte im Privatbesitz der Mitarbeiter, die möglicherweise auch von weiteren Familienmitgliedern genutzt werden.
„EDR-Lösungen bieten Echtzeiteinblicke in Endgeräte und erkennen Bedrohungen wie Malware und Ransomware“, erläutert Gregor Erismann, CCO von Exeon Analytics. „Durch die kontinuierliche Überwachung von Endgeräten können Sicherheitsteams bösartige Aktivitäten aufdecken, Bedrohungen untersuchen und geeignete Maßnahmen zum Schutz des Unternehmens einleiten. Da EDR aber nur einen Einblick in die Endpunkte bietet, bleiben viele Sicherheitslücken und Herausforderungen bestehen, was das Risiko unbemerkter Cyberangriffe erheblich erhöht.“
Viele Endpunkte werden von EDR nicht unterstützt
Zu diesen Risiken gehört neben der möglichen Deaktivierung von EDR-Agenten auf den Endpunkten auch der Missbrauch der „Hooking“-Technik, die EDR zur Überwachung laufender Prozesse verwendet. Sie ermöglicht es EDR-Tools, Programme zu überwachen, verdächtige Aktivitäten zu erkennen und Daten für verhaltensbasierte Analysen zu sammeln. Mit demselben Verfahren können Angreifer jedoch auch auf einen entfernten Endpunkt zugreifen und Malware importieren.
Zu den von EDR nicht unterstützten Endpunkten zählen vor allem ältere Switches und Router, aber auch eine Vielzahl von IoT- und IIoT-Geräten, die so unbemerkt zum Einfallstor für Malware werden können. Ein weiteres Problem für EDR-Lösungen können SCADA-Umgebungen sein, in denen einzelne kritische Systeme sich möglicherweise außerhalb der Kontrolle des Unternehmens und damit außerhalb des Sicherheitsbereichs des EDR befinden.
NDR als Abhilfe
„Mit Network Detection and Response (NDR) steht eine sehr effektive Möglichkeit zur Verfügung, derartige Sicherheitslücken zu schließen“, so Erismann. „Einer der großen Vorteile von Logdaten-basierten NDR-Lösungen wie ExeonTrace ist, dass sie von Angreifern nicht deaktiviert und damit die Erkennungs-Algorithmen nicht umgangen werden können. Selbst wenn ein Angreifer das EDR-System kompromittieren kann, werden verdächtige Aktivitäten weiterhin registriert und analysiert. Durch die Kombination von EDR und NDR entsteht so ein umfassendes Sicherheitssystem für das gesamte Netzwerk.“
Darüber hinaus ermöglicht NDR nicht nur die Überwachung des Netzwerkverkehrs zwischen bekannten Netzwerkgeräten, sondern identifiziert und überwacht auch unbekannte Geräte. Solche Lösungen sind daher ein wirksames Mittel gegen die Gefahren einer unkontrollierten Shadow-IT. Zudem bindet NDR auch Endgeräte ohne EDR-Agenten in die Netzwerkanalyse und damit in die unternehmensweite Sicherheitsstrategie ein. Schließlich erkennt NDR anhand der Logdatenanalyse auch falsch konfigurierte Firewalls und Gateways, die sonst ebenfalls als Einfallstore für Angreifer fungieren können.
Da NDR-Lösungen wie ExeonTrace keine Agenten benötigen, ermöglichen sie eine vollständige Sichtbarkeit aller Netzwerkverbindungen und Datenflüsse. Sie bieten somit einen besseren Überblick über das gesamte Unternehmensnetzwerk und alle potenziellen Bedrohungen darin. Zudem ist die netzwerkbasierte Datenerfassung deutlich fälschungssicherer als agentenbasierte Daten, was die Einhaltung von Compliance-Vorschriften erleichtert. Die gilt insbesondere für die von den Aufsichtsbehörden geforderte digitale Forensik.
NDR mit ExeonTrace
Die NDR-Lösung ExeonTrace basiert auf der Analyse von Netzwerk-Logdaten und erfordert daher kein Traffic Mirroring. Die Algorithmen von ExeonTrace sind speziell für die Analyse von Metadaten entwickelt worden und werden daher durch den zunehmenden verschlüsselten Netzwerkverkehr nicht beeinträchtigt. Da ExeonTrace keine zusätzliche Hardware benötigt und die Analyse mehrerer Datenquellen inklusive nativer Cloud-Anwendungen ermöglicht, eignet sich die Lösung insbesondere für stark virtualisierte und verteilte Netzwerke.
Fachartikel
Studien

Studie Cloud-Strategien: Von kleinen Schäfchenwolken zum Cumulus

IDC-Studie: 82 Prozent der deutschen Unternehmen nutzen die Cloud – umfassende Automatisierung der Workloads ist aber noch Zukunftsmusik

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
Whitepaper

WatchGuard Internet Security Report: Enormer Anstieg von Endpoint-Ransomware, dafür weniger Netzwerk-Malware

5 Tipps für die SAP- und OT-Sicherheit: So haben Hacker keine Chance

Neuer Forrester-Report: Varonis als führender Anbieter von Datensicherheits-Plattformen ausgezeichnet

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr
Unter4Ohren

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
