Wenn Prävention, Erkennung und Reaktion am Endpunkt eine Verbindung eingehen

Bei Cybersicherheit geht es nicht nur darum, mit Malware „Hau den Maulwurf“ (Whac-a-Mole) zu spielen

Tweet

Tausende Malware-Infektionen und andere Bedrohungen daran zu hindern, Ihr Netzwerk zu kompromittieren - das ist nur ein Teil der Herausforderung. Ein weiterer Aspekt ist eher strategischer Natur: Unternehmen müssen proaktiv Bedrohungen auf den Client-Geräten aufspüren und nicht erst abwarten, bis Schaden entstanden ist. Sie müssen die Bedrohungen ins Visier nehmen und schnell handeln, um sie in ihrer Infrastruktur auszuschalten, bevor sie die Gelegenheit haben, Schaden anzurichten. Wirklich erfolgreiche Sicherheitsteams nutzen einen Ansatz, der Vorbeugung, Erkennung und Reaktion verbindet.

Ihre vorbeugenden Maßnahmen mögen Weltklasse sein, aber von Zeit zu Zeit werden Sie von einer Bedrohung hören, die Sie lieber proaktiv untersuchen. Vielleicht erhalten Sie einen Hinweis vom lokalen CERT oder von einem Sicherheitsdienstleister, der sie vor einer kommenden Bedrohung warnt; oder ein Nutzer meldet etwas Verdächtiges, etwa dass die Performance seiner Maschine plötzlich deutlich nachgelassen hat.

Bei Situationen wie diesen werden Sie wahrscheinlich in die Offensive gehen wollen und all Ihre Geräte oder gezielt nur einzelne auf die Bedrohung hin untersuchen. Eine wirklich reife Cybersicherheitsstrategie gibt Ihnen einen umfassenden End-to-End-Überblick darüber, was auf den Endpunkten geschieht.

Hier setzen Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, kurz EDR) an. EDR ist ein wichtiger Teil des Cybersicherheits-Ökosystems eines Unternehmens und erlaubt dem Unternehmen, investigative Arbeitsabläufe einzurichten. Aber wie schon bei der vorbeugenden Software gibt es auch bei EDR-Software große Unterschiede.

EDR-Software ist nur so wirkungsvoll wie die Erkennung von Endpunktbedrohungen, die sie unterstützen soll. Die meisten EDR-Produkte sind so ausgelegt, dass sie die Lücken füllen, die herkömmliche Antivirenprodukte offen lassen. Die meisten AV-Produkte setzen auf Signaturvergleich und heuristische Analyse, erkennen aber Exploits nicht, die sie noch nie gesehen haben oder nicht identifizieren können. Das bedeutet, dass die EDR-Technologie eine breite Palette an Bedrohungsvektoren berücksichtigen muss, die der Antivirenschutz übersieht. Dadurch werden die EDR-Produkte aber umfangreich, komplex und mit der Zeit immer schwerer zu warten.

Die neue EDR-Lösung von Cylance - CylanceOPTICS™ - arbeitet mit CylancePROTECT® zusammen, dem prognostischen, präventiven Cybersicherheitsagenten, der Angriffe mithilfe ausgefeilter KI-Techniken (Künstliche Intelligenz) und speziell entwickelten vorbeugenden Techniken unterbindet und nicht auf Signaturscanning setzt.

Die meisten EDR-Produkte sammeln ein Meer an Daten für die Analyse und belasten dadurch das ohnehin bereits gut ausgelastete Sicherheitsteam mit der Bedrohungsidentifizierung. Im Gegensatz dazu fokussiert sich CylanceOPTICS darauf, gezielt nur sicherheitsrelevante Daten zu sammeln, wenn es Änderungen an den Endpunkten gibt. CylanceOPTICS sammelt Daten dann, wenn sich Prozesse, geplante Aufgaben, Dateien, Firewall-Einstellungen, Nutzer, Registry-Einträge, Wechseldatenträger und angeschlossene Geräte ändern. Damit optimiert CylanceOPTICS die Datenerhebung und sorgt für eine effizientere Analyse.

Zusätzlich zur proaktiven Erhebung von sicherheitsrelevanten Daten bei Systemänderungen erfasst CylanceOPTICS automatisch Daten für die Ursachenanalyse, sobald CylancePROTECT einen aktiven Angriff erkennt und abblockt. Diese Daten können Sicherheitsanalytiker dann untersuchen, um herauszufinden, wie die Bedrohung in die Umgebung gelangt ist. Auf diese Weise sind sie in der Lage, Korrekturmaßnahmen einzuleiten, um die betroffene Angriffsfläche zu minimieren oder auszuschalten.

Anders als viele EDR-Produkte, die aggregierte Daten in der Cloud oder auf einem Server vor Ort speichern, erhebt und speichert CylanceOPTICS die Daten auf dem jeweiligen Endpunkt. Die gespeicherten Daten werden dann an das Cloud-basierende Dashboard geschickt, sobald ein CylancePROTECT-Ereignis auftritt bzw. als Reaktion auf Suchanfragen eines Analytikers. Angesichts dessen ist der Fußabdruck von Cylance® auf dem Endpunkt relativ gering: Die Software braucht nicht mehr als 1 GByte Speicherkapazität, um die Aktivitäten von 10 bis 15 Tagen auf dem Endpunkt aufzuzeichnen.

Die Speicherung der Daten auf den Endpunkten liefert den Analytikern wertvolle Vorteile in Bezug auf Sicherheit, Performance und Kosten. Da nicht sämtliche Endpunktdaten kontinuierlich in die Cloud gestreamt werden, lässt sich der Bandbreitenbedarf minimieren. Da keine neue Hardware im Rechenzentrum installiert werden muss, lassen sich die Betriebskosten niedrig halten. Ein weiterer Vorteil: Es werden nicht unnötig sämtliche Endpunktdaten in die Cloud geschickt - das hilft, Sicherheits- und Datensicherheitsrisiken zu minimieren.

CylanceOPTICS nutzt die gezielt und granular erfassten Daten, um dem Sicherheitsteam die Jagd nach Bedrohungen zu ermöglichen. Dazu liefert CylanceOPTICS einfache, leicht verständliche Analysedaten, zu deren Auswertung keine schwer zu findenden und teuer bezahlten Senior-Analytiker erforderlich sind.

Mithilfe der CylanceOPTICS-Funktion InstaQuery sind Analytiker in der Lage, nach Artefakten wie ausführbaren Dateien zu suchen; dazu senden sie die Anfrage an die Endpunkt-Agenten und lassen die Arbeit von den Agenten erledigen. Das verringert die Belastung für die Backend-Infrastruktur der Analytiker - genau diese Belastung ist bei zentralisierten EDR-Produkten im Rechenzentrum häufig ein Problem.

Das Abfragesystem ist flexibel und agil und erlaubt es den Analytikern, nach einer Reihe von weiteren Artefakten zu suchen - beispielsweise nach Office-Dokumenten. Die Ergebnisse werden visuell so aufbereitet, dass man sie schnell erfassen und auch umfangreiche Ergebnisse für Tausende von Endpunkten rasch untersuchen kann.

Sobald ein Analytiker auf eine Bedrohung stößt, kann er mithilfe von CylanceOPTICS genau untersuchen, wie die Bedrohung mit einer bestimmten Maschine interagiert hat. Die Ursachenanalyse von CylanceOPTICS erzeugt eine visuelle Storyline zur Historie der Bedrohung auf einem bestimmten Gerät. Sie zeigt die Abfolge an Ereignissen, über die das verdächtige Artefakt zum Endpunkt gelangte sowie sämtliche Aktivitäten, die seither stattgefunden haben.

Hier sehen Sie, welche Dateien auf ein bestimmtes Gerät gelangt sind und wo sie sich befinden. Wenn zum Beispiel eine Malware versucht, ihre Anwesenheit zu verschleiern oder den Command-and-Control-Server kontaktiert, erkennt CylanceOPTICS das. Analytiker können die Ergebnisse für Reporting-Zwecke oder als Input für andere Sicherheits-Tools exportieren.

CylanceOPTICS ist aber mehr als ein Monitoring-Tool. Zusätzlich zur Bedrohungserkennung und -überwachung sorgt es für eine schnelle Reaktion. Dazu dient der CylancePROTECT-Agent auf jedem Endpunkt, der eine gezielte Fehlerbehebung und Schadensbegrenzung ermöglicht. Analytiker können nicht nur einzelne Dateien herunterladen und in Quarantäne stecken, sondern die betroffene Maschine auch für eine konfigurierbare Dauer sperren, damit die Maschine nicht mehr in der Lage ist, zu kommunizieren und andere Maschinen im Netzwerk zu schädigen. Das ist eine hilfreiche und wirkungsvolle Möglichkeit, die Ausbreitung von Bedrohungen im Netzwerk zu unterbinden.

Darüber hinaus können Analytiker die Analyseergebnisse nutzen, um neue Sicherheitsrichtlinien zu erstellen. Diese lassen sich per Push auf andere Maschinen übertragen, sodass diese sofort gegen die neu entdeckten Bedrohungen geschützt sind. Und sobald Cylance-Nutzer neue Bedrohungen erkennen und dokumentieren, werden diese Informationen an das KI-Statistikmodell von CylancePROTECT gemeldet, das weltweit die Endpunkte aktualisiert, um eine Infektion zu verhindern.

Sicherheitsanalytiker haben nicht die Zeit, zwischen verschiedenen Benutzeroberflächen hin und her zu wechseln und sich ständig neu einzudenken, wenn sie Sicherheitsvorfälle untersuchen. Deshalb vereint Cylance Vorbeugung, Erkennung und Reaktion in einem integrierten Dashboard. Darüber sind Analytiker in der Lage, eine Bedrohung von Anfang bis Ende von einer zentralen Leitstelle aus zu erkennen, zu dokumentieren und zu beheben.

Die Bedrohungen nehmen immer mehr zu, die Zahl der Zero-Days wächst ständig. Deshalb brauchen Cybersicherheitsteams alle Unterstützung, die sie bekommen können, um eine zunehmend mobile Nutzerbasis vor Angriffen zu schützen. Prädiktive Vorbeugung mit niedrigem Fußabdruck in Kombination mit KI-getriebener Erkennung und Reaktion auf den Geräten hilft Ihnen, die Angriffsfläche zu verringern, verdeckte Bedrohungen zu bekämpfen und die Gefahr von sich ausbreitender Kompromittierung zu minimieren.