Cyber Attacken mehren sich. Erfahren Sie hier, wie neue mittels AI unterstützte Systeme, Ihre Server und Endgeräte effizient schützen können. Eine Ablösung Ihres Virenschutzes durch ein EDR-System wird Ihre IT-Sicherheit signifikant erhöhen.
Im Nationalen Zentrum für Cybersicherheit wurden im Jahr 2022 wöchentlich zwischen 500-1000 Vorfälle gemeldet. Viele dieser Fälle könnten durch eine Ablösung des Virenschutz gegen eine EDR-Lösung verhindert werden.
Was ist der Unterschied eines klassischen Virenschutzes gegenüber einer EDR-Lösung?
Der klassische Virenschutz handelt reaktiv. Jede elektronische Datei, welche sich auf einem Gerät befindet, hat einen eindeutig identifizierbaren Fingerabdruck. Die Hersteller der Antivirenprogramme führen Datenbanken in welchen alle als schädlich bekannten Dateien gelistet werden. Der Virenschutz des Kunden aktualisiert sich nun täglich um diese bekannten Dateien. Wird eine «böse» Datei erkannt wird diese in Quarantäne verschoben und gelöscht.
Bei einem EDR-System wird ein anderer Ansatz verfolgt. Es wird ein Agent auf dem Gerät installiert welche sämtlichen Prozesse eines Gerätes überwacht und die Metadaten dieser Prozesse protokolliert. Mittels Machine Learning wird das System auf die normalen Aktionen des Kunden trainiert. Erfolgt nun eine Aktion ausserhalb der bekannten oder frei gegeben Aktionen wird diese geblockt. Es erfolgt eine Alarmierung. Durch die genaue Protokollierung kann nun der Systemverwaltende genau nachvollziehen was passiert ist und falls notwendig auch eine Rollback Aktion einleiten.
Warum ist ein Wechsel notwendig?
Viele Hacker arbeiten heute mit RaaS (Ransomware as a Service) oder generieren eigens erstellte Powershell Skripts für Ihre zukünftigen Kunden. Diese neu generierten Dateien haben einen anderen Fingerabdruck als die bekannten als «böse» klassifizierten Dateien und werden daher vom Virenschutz nicht erkannt. Da oftmals mit Windows Boardmitteln gearbeitet wird, können diese gefährlichen Dateien mit einem klassischen Virenschutz sich ungehindert ausführen. Im schlimmsten Fall können damit ganzen Firmen verschlüsselt und somit ausser Betrieb gesetzt werden.
Wie funktioniert ein Rollout?
Der Rollout dieser neuen EDR-Systeme ist meistens relativ einfach und kann problemlos im laufenden Betrieb erfolgen. Die Server Backend Systeme dieser Lösungen sind Cloud basiert, daher muss auch keine kostspielige Hardware beschafft werden. Die Abrechnung dieser Systeme erfolgt nach effektiver Nutzung. Beim Rollout gehen wir üblicherweise wie folgt vor:
- Der EDR Agent wird auf allen Servern und Endgeräten des Kunden parallel zum heutigen Virenschutz installiert
- Während mehreren Wochen wird dieser nun auf die Aktionen des Kunden angelernt. Hierbei läuft er im «Detect Only» Modus, in welchem Bedrohung erkannt und alarmiert werden, jedoch noch keine Aktion durch das System erfolgt.
- Alle gemeldeten Bedrohungen werden durch einen Systemspezialisten analysiert und klassifiziert. Es werden auf den Kunden zugeschnittene Ausnahmen (Whitelist) eingerichtet damit alle Kundenspezifischen Programme auch in Zukunft wie gewohnt funktionieren. Das System lernt mittels Machine Learning den Kunden und dessen Programme und Dateien kennen.
- Sobald während eines Zeitraums von 2 Wochen keine Falscherkennungen durch das System mehr erfolgen wird dieses Aktiv geschaltet und der klassische Virenschutz deaktiviert
Durch den erfolgreichen Rollout von EDR sind die Server und Clients noch viel besser geschützt und die IT-Sicherheit einer Firma wird massiv erhöht.
Sehen Sie im Video wie das System von SentinelOne eine Ransomware stoppt:
Weiterführende Links:
https://www.sentinelone.com/blog/active-edr-feature-spotlight/
https://www.gartner.com/reviews/market/endpoint-detection-and-response-solutions
