Seit dem Jahr 2000 widmen wir uns bei DBConcepts dem Thema Datenbanken und Daten. Neben der Verwaltung und dem Management von Datenbanken lösen wir auch Infrastrukturanforderungen mit unseren innovativen Lösungen. Seit 2021 beobachten wir einen rapiden Anstieg von Ransomware- und Malware-Angriffen bei unseren Kunden, und diese Zahl steigt von Monat zu Monat exponentiell an. Es gibt dafür zahlreiche Gründe: Zum einen die geopolitische Lage und die damit verbundenen politisch motivierten Angriffe, zum anderen die Vereinfachung der Erstellung von Schadsoftware durch den KI-Trend. Wir sprechen hier nicht mehr von Zero-Day-Angriffen, sondern von Zero-Minute, da eine Schadsoftware dank verschiedener KIProgramme in wenigen Sekunden erstellt werden kann. Als Experten für Daten nehmen wir diese Thematik sehr ernst und haben die innovativsten Softwareanbieter an Bord geholt. Durch unsere Partnerschaft mit Deep Instinct können wir unseren Kunden echte Präventionslösungen anbieten.
Endpoint Detection and Response (EDR)-Lösungen haben sich zu einem Eckpfeiler in der Cybersicherheitslandschaft entwickelt. EDR-Tools sind speziell für die Überwachung von Endpunkt und Netzwerkereignissen konzipiert und analysieren diese auf Anzeichen für bösartige Aktivitäten. Obwohl sie sich als unschätzbar wertvoll bei der Erkennung und Reaktion auf Bedrohungen erwiesen haben, sind sie wie alle Technologien nicht ohne Einschränkungen. In diesem Blogbeitrag werden wir die Schwachstellen von EDR-Lösungen genauer untersuchen.
1. Falsche Positiv- und Negativmeldungen: Eine der größten Herausforderungen bei EDRLösungen ist das Potenzial für falsch-positive Meldungen, bei denen gutartige Aktivitäten als bösartig eingestuft werden, und für falsch-negative Meldungen, bei denen tatsächliche Bedrohungen unentdeckt bleiben. Diese Ungenauigkeiten können dazu führen, dass Sicherheitsteams Zeit und Ressourcen verschwenden, indem sie nicht existierenden Bedrohungen nachgehen oder echte Bedrohungen übersehen.
2. Komplexität: Die Einrichtung, Konfiguration und Wartung von EDR-Lösungen können äußerst komplex sein. Oftmals werden spezielle Kenntnisse und Fachwissen benötigt, die nicht in allen Unternehmen ohne weiteres vorhanden sind. Diese Komplexität kann zu Fehlkonfigurationen führen, welche wiederum Sicherheitslücken zur Folge haben können.
3. Leistungsüberlastung: EDR-Tools überwachen und sammeln kontinuierlich Daten von Endpunkten. Dies kann gelegentlich zu Leistungsproblemen führen, insbesondere wenn die Lösung nicht optimiert ist oder die Endpunkt-Hardware nicht den Anforderungen entspricht.
4. Datenüberlastung: Die enorme Datenmenge, die EDR-Lösungen generieren können, kann für Sicherheitsteams überwältigend sein. Ohne angemessene Werkzeuge und Verfahren zur Durchsuchung dieser Daten besteht die Gefahr, dass kritische Alarme im Informationsfluss /Rauschen übersehen werden.
5. Herausforderungen bei der Integration: EDR-Lösungen sind nicht immer nahtlos mit anderen Sicherheitstools und -Plattformen integrierbar. Dies kann zu Lücken in den Bedrohungsdaten führen, was die Korrelation von Daten und die Erkennung von Angriffen in verschiedenen Phasen oder mit unterschiedlichen Vektoren erschwert.
6. Kosten: Die Bereitstellung und Wartung einer EDR-Lösung kann kostspielig sein. Neben den Ausgaben für die Software an sich fallen auch zusätzliche Kosten für Infrastruktur, Schulungen und Personal an, die mit dem Betrieb einhergehen.
7. Entwicklung der Bedrohungslandschaft: Mit der zunehmenden Entwicklung von CyberBedrohungen müssen sich auch die EDR-Lösungen kontinuierlich weiterentwickeln. Allerdings kann es manchmal zu einer Verzögerung zwischen dem Auftauchen einer neuen Bedrohung und der Fähigkeit der EDR-Lösung kommen, diese zu erkennen.
8. Abhängigkeit der Konnektivität: Einige EDR-Lösungen können möglicherweise nicht optimal funktionieren, wenn die Endgeräte offline oder nicht mit dem zentralen Server verbunden sind. Dadurch können Überwachungs- und Schutzlücken entstehen.
9. Bedenken hinsichtlich des Datenschutzes: EDR-Tools überwachen die Aktivitäten von Benutzern, um Anomalien festzustellen. Die meisten dieser Erkennungen erfolgen in der Cloud, was dazu führt, dass viele Dateien dorthin übertragen und analysiert werden müssen. Diese Übertragung potenziell sensibler Daten außerhalb des Unternehmens kann erhebliche Datenschutzbedenken aufwerfen.
10. Cloud-Verzögerung: Da EDR-Lösungen den Großteil der Daten in der Cloud analysieren, erkennen sie Bedrohungen nicht immer in Echtzeit. Diese Verzögerung kann böswilligen Akteuren ein Zeitfenster bieten.
Fazit
Obwohl EDR-Lösungen weit verbreitet eingeführt wurden, bleibt die Zunahme von RansomwareVorfällen ein dringendes Problem. Dieser Trend deutet darauf hin, dass EDRs zwar gewisse Schutzmaßnahmen bieten, aber möglicherweise nicht so effektiv sind, wie ursprünglich angenommen. Die Notwendigkeit von EDRs verdeutlicht einen Paradigmenwechsel in der Cybersicherheit. In den 1990er und 2000er Jahren lag der Fokus auf Prävention. Vielleicht ist es an der Zeit, diesen Ansatz zu überdenken und präventiven Maßnahmen wieder Priorität einzuräumen, anstatt sich ausschließlich auf Erkennung und Reaktion zu verlassen. Unserer Ansicht nach liegt die Zukunft der Cybersicherheit in der, auf Deep Learning-basierte, Prävention. Wir empfehlen hier die Softwarelösung von Deep Instinct. Mit dem weltweit ersten und einzigen speziell entwickelten Deep-Learning-Framework für Cybersicherheit setzt Deep Instinct voll auf Prävention, um Ransomware und andere Malware zu stoppen. Damit werden unbekannte Bedrohungen schneller und effektiver als jede andere EPP- und EDR-Lösung verhindert und sichergestellt, dass Malware niemals in der Umgebung ausgeführt wird.
