Alle Unternehmen, ob große oder kleine, müssen sich effektiv gegen immer mehr, sich ständig aktualisierenden Schadsoftware verteidigen. Cyber-Kriminelle werden aber immer raffinierter darin, ihre Angriffe zu tarnen. Im Interview erklärt uns Johannes Ulbrich, Head of IT & Support von 8Soft, wie Kaspersky EDR dabei helfen kann.
BASIC thinking: Hallo Johannes! Schön, dass du Zeit für ein Interview mit uns hast. Moderne Sicherheits-Plattformen schützen Unternehmen meist zuverlässig und blockieren die Ausführung ungewünschter oder verdächtiger Aktivitäten. Also ist alles gut? Scheinbar sind Unternehmen dann doch sicherer?
Johannes Ulbrich: Der Schein trügt, denn das reine Blockieren einer schädlichen Datei reicht heute nicht mehr aus, um Sicherheit zu gewährleisten. Vielmehr braucht es eine Lösung, die alle Aktivitäten auf einem Endgerät überwacht, miteinander verbindet und bei verdächtigem Verhalten das gesamte Netzwerk nach Bedrohungen untersucht.
Johannes Ulbrich ist Head of IT & Support bei 8Soft (Foto: 8Soft)
Wer das Thema Sicherheit ernst nimmt und seine Kunden aktiv bei der stetigen Verbesserung der Cybersicherheit unterstützten möchte, braucht detaillierte Informationen über den Ursprung einer Bedrohung.
Kaspersky EDR: Sicherheit von Unternehmen erhöhen
Was bringt EDR im Tagesgeschäft?
Wie Kaspersky EDR die Sicherheit der Unternehmen erhöht, kann anhand eines klassischen Incident-Handling Prozesses aufgezeigt werden.
In der ersten Phase des Incident-Handling, der Identifikation, wird festgestellt, ob es sich um einen harmlosen Vorfall, wie ein verdächtiges Skript handelt oder ob Anzeichen für einen geschickt getarnten Angriff vorliegen, der weitere Maßnahmen und besondere Aufmerksamkeit erfordert.
Anhand der vom EDR-Tool gesammelten Daten wird im nächsten Schritt die Bewertung vorgenommen. Hier findet man die Meldung, dass eine verdächte Datei gefunden und blockiert wurde. Ohne EDR-Tools würde die Vorfallsuntersuchung an dieser Stelle aufhören, es gäbe kaum mehr Informationen.
Bisher reichte dies auch aus. Doch mit den immer ausgefalleneren Bedrohungen, welche automatisiert Schwachstellen identifizieren und ausnutzen, helfen tiefergehende Einblicke, um die Sicherheit das Unternehmens zu bewerten und angemessen reagieren zu können.
Welche Informationen werden durch die EDR-Tools genau analysiert?
Auf einen Blick ist der Ursprung, die Threat-Formation-Chain, der Datei erkennbar, um zum Beispiel den Parent-Prozess der Datei zu identifizieren.
Darunter findet man weitere nützliche Informationen zum Fund der Bedrohung, wie die Uhrzeit, die involvierte Sicherheitskomponente und Details zum betroffenen Endgerät.
Details der EDR-Informationen: Name, Account, Rechte
Die Details zur verdächtigen Datei selbst geben weiteren Aufschluss auf die Art und Komplexität der Bedrohung. Hier findet man Details wie den Namen der Datei und wo diese unter welchem Account mit welchen Rechten ausgeführt wurde.
Hier kann sofort geprüft werden, ob der involvierte User-Account die richtigen Rechte hat, ob oder ob Anpassungen sinnvoll sein können, um die Sicherheit zu erhöhen. Auch zusätzliche Startparameter und die Zeit der Ausführung werden angezeigt.
Anhand der Zeit kann man gegebenenfalls ableiten, ob ein Anwender versehentlich auf eine Datei geklickt hat, oder ob vielleicht mitten in der Nacht, wo der Anwender normalerweise nicht angemeldet sein sollte, der Vorfalls registriert wurde, um direkt geeignete Maßnahmen einzuleiten.
Wie geht es dann weiter, sobald die Informationen da sind?
In der Containment-Phase geht es dann an die Eindämmung der Bedrohung mit wenigen Klicks, indem man den betroffenen Host isoliert, die Ausführung der Datei im gesamten Netzwerk verhindert und diese Datei auf allen Endgeräten beseitigt.
Im nächsten Schritt wird in der Incident Card der betroffene Host zu isoliert. In der Standardeinstellung werden nur noch Verbindungen zu und vom Kaspersky Security Center zugelassen. Zusätzlich gibt es die Möglichkeit, Ausnahmen von der Isolation zu definieren, wenn beispielsweise sicherzustellen ist, dass man noch per RDP auf das isolierte Endgerät zugreifen muss.
Nachdem die Bedrohung eingedämmt ist, muss sie beseitigt werden, indem alle beteiligten Dateien gelöscht, Prozesse beendet und Änderungen durch die Datei rückgängig gemacht werden.
Im Scan-Bericht sieht man schließlich, welche Geräte von dem Vorfall betroffen sind. So kann die Verbreitung im Netzwerk nachverfolgt und weitere Schulungsmaßnahmen oder Untersuchungen eingeleitet werden. Zuletzt werden auf allen Endgeräten, die beteiligen Dateien gelöscht und Prozesse beendet.
Vorteile von EDR: Unternehmen sichern Netzwerke nachhaltig
Was ist der größte Vorteil von EDR für Unternehmen?
Unternehmen haben mit EDR die Möglichkeit, ihr Netzwerk kontinuierlich sicherer zu machen und eine Art Security-Improvement-Prozess einzuführen.
Dank der automatisierten Behandlung von Sicherheitsvorfällen wird nicht nur die Reaktionsgeschwindigkeit erhöht, IT-Abteilungen werden befähigt die schädlichen Dateien und deren Herkunft zu identifizieren und effektiv zu beseitigen.
Mit weitreichenden Informationen zur Herkunft und dem Verhalten von schädlichen Dateien wird schnell deutlich, über welche Wege sie in das Netzwerk gelangen und sich dort verbreiten. Dadurch wird erkennbar wo und welche Anpassungen notwendig sind, um das Netzwerk abzusichern.
So wird die Sicherheit nachhaltig und kontinuierlich verbessert und Unternehmen erhalten die Oberhand bei der Absicherung ihres Netzwerkes zurück.
Danke für das Gespräch.
