Zum Hauptinhalt springen
TECHNOLOGIE

Schutz von Unternehmensnetzwerken: Kaspersky Endpoint Detection and Response (KEDR)

Im Gegensatz zu Lösungen für einzelne Endpoints bietet diese Schutzlösung Transparenz auf mehreren Hosts und fährt sämtliche „Schwergewichte“ unter den Erkennungstools auf (Sandbox, Deep Learning-Modelle, Ereigniskorrelation). Darüber hinaus umfasst sie Expertentools für die Vorfallsuntersuchung, vorausschauendes Threat Hunting und die Gefahrenabwehr.

Kaspersky EDR ist eine Cybersicherheitslösung zum Schutz von IT-Systemen in Unternehmen. Sie ergänzt die IT-Sicherheit um Endpoint Detection & Response:

  • Extrahiert (automatisch und manuell) die Muster raffinierter Angriffe aus den Ereignissen verschiedenster Hosts.
  • Wehrt Angriffe ab, indem deren Ausweitung verhindert wird.
  • Verhindert künftige Angriffe.

Notwendigkeit von EDR

Noch bis vor kurzem bestand ein typischer Cyberangriff aus Massen-Malware. Er war gegen separate Endpoints gerichtet und wurde auf jedem Computer einzeln zur Auslösung gebracht. Angriffe per Massen-Malware erfolgen automatisch, Opfer wurden über Massen-E-Mails, Phishing-Websites, infizierte WLAN-Hotspots etc. nach dem Zufallsprinzip ausgesucht. Endpoint-Schutzlösungen (EPP), konnten hier Abhilfe schafften, indem sie Hosts vor Massen-Malware schützten.

Angesichts der effektiven Abwehr durch EPP stiegen die Angreifer auf die kostspieligere, aber wirksamere Methode des zielgerichteten Angriffs auf bestimmte, ausgewählte Opfer um. Aufgrund der hohen Kosten sind gezielte Angriffe in der Regel gegen Unternehmen gerichtet, um daraus Gewinne zu erzielen. Gezielten Angriffen geht eine Ausspähphase voraus, damit die Angreifer die Schutzmechanismen des IT-Systems umgehen und in das System des Opfers eindringen können. In die Kill Chain des Angriffs sind viele Hosts des IT-Systems involviert.

Aufgrund der großen Vielfalt der Methoden und der von Menschen geführten, interaktiven Vorgehensweise können gezielte Angriffe EPP-basierte Sicherheit umgehen:

  • EPPs (Endpoint Protection Platforms) verlassen sich auf das, was sie auf einem einzelnen Endpoint sehen. Aber hochentwickelte Angriffe sind auf vielen Hosts aktiv und führen immer wieder auf einem anderen Endpoint relativ harmlos wirkende Aktionen aus. Selbst wenn den EPPs auf einem Host einige dieser Aktionen auffallen, bauen die Angreifer im Laufe der Zeit eine Kill Chain auf mehreren Hosts auf. Die Spuren der Angriffe sind auf viele Hosts verteilt.
  • Da die EPP-Beurteilung automatisch erfolgt, können Angreifer nachprüfen, ob ihr Angriff vom EPP des Opfers oder einer anderen automatischen Sicherheitslösung erkannt wurde. Zu diesem Zweck betreiben Cyberkriminelle ganze Anti-Malware-Farmen.
  • Andererseits können die Anbieter ihren Schutz nicht einfach erhöhen, indem sie die EPP-Lösungen empfindlicher machen, weil es dann zu viele Fehlalarme (False-Positives) gäbe. Selbst wenn also auf einem Host etwas Verdächtiges geschieht, das sowohl Teil einer Kill Chain als auch einer ganz legitimen Aktion sein könnte, ist die EPP-Plattform so konzipiert, dass sie nicht einschreitet.

Um gegen gezielte Angriffe vorzugehen, erweitern Cybersicherheitsanbieter ihre EPP-Lösungen deshalb um EDR-Funktionen (Endpoint Detection & Response):

  • Dabei werden Ereignisse auf vielen Hosts transparent gemacht und anschließend sowohl manuell als auch automatisch zueinander in Bezug gesetzt.
  • Die IT-Sicherheitsmitarbeiter erhalten ausreichend Daten zu den Ereignissen.
  • Es werden Tools zur Abwehr und Beseitigung generiert, so dass von Menschen ausgeführte Angriffe durch eine von Menschen angeführte Cyberabwehr abgewehrt werden.

Im Wesentlichen erweitert EDR den Endpoint-Schutz um neue Schichten gegen hochentwickelte Angriffe.

Ein Mehr an Sicherheit durch Kaspersky EDR

Kaspersky EDR stärkt die Schutzfunktion einer vorhandenen EPP-Lösung. EPP schützt vor einfacheren Massenangriffen (Viren, Trojaner etc.), während sich EDR auf hochentwickelte Angriffe konzentriert. Bei dieser Lösung bezieht die Analyse sowohl Malware-Aktivitäten als auch Ereignisse in seriöser Software in den Kontext eines Angriffs mit ein, um die gesamte Kill Chain aufzudecken.

Kaspersky EDR ist vollständig in Kaspersky Enterprise Security EPP integriert und kann mit EPP-Lösungen anderer Anbieter zusammenarbeiten. Folgende zusätzliche Funktionalitäten sind in EDR enthalten:

  • Sichtbarkeit von Ereignissen auf mehreren Hosts: Zusammenführung der über das gesamte IT-System verteilten Angriffsspuren
  • Einsatz der „Schwergewichte“ unter den Erkennungstools, die viel Rechenleistung erfordern und daher auf den Endpoints privater Nutzer aufgrund der Einschränkungen für das normale Arbeiten nicht einsetzbar sind: fortgeschrittene Vorverarbeitung, Sandbox, umfangreiche lernfähige Systemmodelle, einschließlich Deep Learning etc. „Schwergewichtige“ Methoden sorgen für eine erhöhte Erkennungsqualität
  • Expertentools für vorausschauendes Threat Hunting, Vorfallsuntersuchung und Abwehr von Angriffen

Bestandteile von Kaspersky EDR

Elemente

  • Endpoint-Sensor: integriert in Kaspersky Endpoint Security als Einzelagent oder eigenständig (in Kombination mit anderen EPP-Lösungen)
  • Lokale Server (Ereignisspeicherung; Analyse-Engine; Verwaltungsmodul; (optionale) Sandbox). Durch den lokalen Standort behält der Kunden die volle Kontrolle über die Ereignisdaten.
  • KSN Cloud oder KPSN Private Cloud zur besseren Erkennung in Echtzeit und zur schnellen Reaktion auf neue Bedrohungen

EDR als Teil von Kaspersky Threat Management and Defense

Kaspersky EDR, Kaspersky Anti Targeted Attack-Plattform und Kaspersky Cybersecurity Service (KCS) bilden gemeinsam ein fortschrittliches Threat Intelligence- und Sicherheitspaket.

  • Die Kaspersky Anti Targeted Attack-Plattform enthält zusätzlich eine Netzwerk-, Internet- und Mail-basierte Erkennung, die den Funktionsumfang um die Erkennung zielgerichteter Angriffe auf „Endpunkt+Netzwerk“-Ebene erweitert.
  • Kaspersky Cybersecurity Service (KCS) bieten IT-Sicherheitsteams Unterstützung in den Bereichen: Schulungen, Bereitstellung von Threat Intelligence-Daten, SOC-Verwaltung (Security Operations Center) durch die Experten von Kaspersky

Integration in Security Information and Event Management-Systeme (SIEM)

Unser EDR ist auch in SIEM-Systeme von Drittanbietern integrierbar (Erkennungsdaten werden im gängigen Ereignisformat, CEF, exportiert).

Funktionen

Kontinuierliche Zusammenführung von Ereignissen an einem zentralen Ort und Transparenz. EDR sammelt Ereignisse von Hosts in Echtzeit:

  • EDR sammelt durchgehend Ereignisse, unabhängig davon, was sie verursacht hat und wie verdächtig sie erscheinen mögen. Das macht EDR zu einem sehr wirksamen Tool gegen unbekannte Malware. Um Speicherplatz auf dem zentralen Knoten zu sparen, könnte man die Komponenten auch so konzipieren, dass nur verdächtige oder Malware-Ereignisse gesammelt werden (wie bei einigen anderen EDR-Lösungen der Fall). Aber dann würden legitim erscheinende Aktionen von Angreifern mit gestohlenen Zugangsdaten nicht protokolliert werden, und auch neue, unbekannte Bedrohungen würden keine Protokollierung auslösen.
  • Der zentrale EDR-Node lädt die Ereignisdaten-Feeds von Hosts in seinen Speicher auf dem zentralen Knoten. Andere EDR-Systeme von Wettbewerbern speichern dagegen Ereignisse direkt auf den Hosts. Wenn der zentrale Knoten Informationen über Ereignisse benötigt, muss er die Protokolldaten von den Hosts anfordern. Damit spart man zwar Speicherplatz auf dem zentralen Knoten, die Suche wird aber verlangsamt und ist von der Verbindung abhängig, sodass die Host-Transparenz von der Verfügbarkeit des Hosts im Netzwerk abhängt.

Automatische Erkennung. Kaspersky Endpoint Security erkennt Bedrohungen im Bereich eines einzelnen Hosts mit einer heuristischen, verhaltensbasierten Cloud-Erkennung (oder einer anderen EPP-Host-Anwendung). Darüber hinaus verfügt EDR über zusätzliche Layer, um Ereignisse auf mehreren Hosts zueinander in Bezug zu setzen.

Abgesehen von der ereignisbasierten Erkennung senden EDR-Host-Agenten automatisch verdächtige Objekte oder Speicherbereiche an den zentralen Knoten, wo sie eingehender untersucht werden. Dabei kommen Algorithmen zum Einsatz, für die die reguläre Rechenleistung des Host-Rechners nicht ausgelegt ist, wie umfangreiche Vorverarbeitung, Heuristik und Algorithmen für maschinelles Lernen, Sandbox, erweiterte Cloud-Erkennung, Erkennung anhand von Kasperskys Bedrohungsdaten-Feeds, benutzerdefinierte Erkennungsregeln (YARA).

Unter der Manuellen Erkennung oder Threat Hunting versteht man die vorausschauende Suche eines Operators nach Spuren von Angriffen und Bedrohungen. EDR ermöglicht eine solche Spurensuche innerhalb der gesamten Ereignishistorie von mehreren Hosts, die im Speicher zusammengeführt wurden:

  • Sie können den Speicher nach Spuren von Angriffen und verdächtigen Ereignissen durchsuchen und diese miteinander verknüpfen, um eine potentielle Kill Chain zu rekonstruieren. Die Suchabfrage in der Datenbank bietet vielfältige Filtervarianten (nach Hosts, Erkennungstechnologie, Zeit, Beurteilung, Schweregrad etc.).
  • Sie können neue IOCs in EDR hochladen und bislang unerkannte, persistente Bedrohungen aufspüren.
  • Sie können verdächtige Objekte manuell weiterleiten, um sie mittels „schwergewichtiger“ Erkennungsmethoden eingehend analysieren zu lassen.
  • Wenn Ihr Unternehmen den KL TIP-Service (Kaspersky Threat Intelligence-Plattform) aktiviert hat, können Sie in der Bedrohungsdatenbank Informationen über Objekte anfordern.

Als Response oder Gegenmaßnahme wird jede Aktion bezeichnet, die ein Operator ausführen kann, wenn er einer Bedrohung auf die Spur gekommen ist. Mögliche Aktionen:

  • Vorfallsuntersuchung, Rekonstruieren der Ereignisse in der Kill Chain
  • Remote-Operationen auf dem Host, einschließlich Prozessabbruch, Dateien löschen oder in Quarantäne setzen, Programme und andere Aktionen ausführen
  • Eindämmung der erkannten Bedrohung durch Hash-basierte Verweigerung der Objektausführung
  • Ob die von der Malware vorgenommenen Änderungen auf den Hosts zurückgenommen werden können, hängt von der EPP-Lösung ab. Kaspersky Endpoint Security macht beispielsweise derartige Malware-Aktionen rückgängig.

Bei der Prävention geht es um Richtlinien, die bestimmte Objektaktivitäten auf Endpoints beschränken:

  • Hash-basierte Richtlinien zur Verweigerung der Ausführung sorgen dafür, dass innerhalb des gesamten IT-Systems bestimmte Dateien (PE, Skripte, Office-Dokumente, PDFs) nicht ausgeführt werden. Damit können Sie Angriffe, die sich derzeit weltweit ausbreiten, wirksam abwehren.
  • Automatische Erkennung von Objekten oder URLs, die zuvor in einer Sandbox als Malware eingestuft wurden
  • Funktionen wie die Ausführungskontrolle für Anwendungen (Whitelisting, Startkontrolle, Berechtigungskontrolle), Richtlinien für den Netzwerkzugriff sowie den Zugriff auf USB-Laufwerke und andere sind auf die EPP-Lösung angewiesen. Die Kaspersky Endpoint Security EPP bietet alle diese Präventionsfunktionen.

Die Verwaltung von Kaspersky EDR ist rollenbasiert und umfasst auch ein Workflow-Management: Zuweisung von Warnungen, Nachverfolgung des Alarmstatus, Protokollierung der Alarmverarbeitung. E-Mail-Benachrichtigungen können nach Alarmtyp und dessen möglichen Kombinationen (Erkennungsart, Schwere usws) flexibel konfiguriert werden.

Anwendungsfall: Ermittlung der Kill Chain

EDR-Host-Agenten senden routinemäßig Ereignisse an den firmeninternen EDR-Server.

  1. Eines der auf dem Server eingegangenen Ereignisse steht im Zusammenhang mit der Ausführung einer Datei, die im IT-System des Unternehmens (seinem Hash-Wert nach zu urteilen) nur ein einziges Mal vorkommt. Die Datei weist noch weitere verdächtige Merkmale auf.
  2. Der Server löst eine eingehendere Untersuchung aus. Er lädt die Datei herunter, um sie einer automatischen Analyse durch die EDR-Engines zu unterziehen. Die Datei wird in die Warteschlange des automatischen Analysemechanismus gestellt.
  3. Die Sandbox erkennt, dass die Datei ein Verhalten zeigt, das als schädlich interpretiert werden könnte, und alarmiert den zuständigen Mitarbeiter.
  4. Der Mitarbeiter beginnt mit der manuellen Untersuchung und sucht nach Ereignissen, die eventuell mit der Infektion in Verbindung stehen könnten:
    a. Mithilfe von standardmäßigen Administrator-Tools findet er heraus, dass von dem Webserver eines Unternehmens, der über das Internet verfügbar ist, ein Zugriff auf die infizierten Computer stattgefunden hat. Er ermittelt, dass auf dem Server verdächtige Dateien und Prozesse ausgeführt und dubiose Programmdateien generiert werden. Schließlich findet er heraus, dass Angreifer eine Schwachstelle auf der Website des Servers genutzt haben, um eine Web-Shell hochzuladen.
    b. Er identifiziert alle C&C-Server (Command and Control) dieses Angriffs.
  5. Der Mitarbeiter reagiert auf den Angriff und:
    a. blockiert alle erkannten C&Cs,
    b. unterbindet alle schädlichen Prozesse,
    c. blockiert die Ausführung von Malware-Dateien durch ihre Hashes,
    d. setzt die Malware und alle verdächtigen Dateien zur weiteren Untersuchung in Quarantäne.

Verwandte Produkte

Zugehörige Technologien