Managed Detection and Response (MDR) verwendet im Gegensatz zu Antivirensoftware eine umfassendere Erkennungsmethode. NDR- und XDR-Lösungen überwachen auch die Netzwerk- und IT-Infrastruktur. In einer Zeit, in der die Cybersicherheitslandschaft von Umwälzungen geprägt ist, wächst das Interesse an umfassenden, ineinandergreifenden Lösungen.
Der Erkennungsmechanismus von Antivirensoftware beruht auf der Identifizierung von Viren-Signaturen anhand des Abgleichs von Mustern, die in einer Datenbank hinterlegt sind. Dieser Ansatz weist aber gravierende Einschränkungen auf. Darunter: Um eine Signatur zu erkennen, muss das Virus bereits bekannt sein und Technologien wie Polymorphismus oder dateilose Malware umgehen solche Erkennungsverfahren.
Bei einem vom Institut AV-TEST geschätzten Aufkommen von etwa vier Millionen neuer Schadprogramme im Monat, stellt sich die legitime Frage nach Wirksamkeit und Nutzen herkömmlicher Antivirenprogrammen.
Der Einzug der Verhaltenserkennung. Um auf diese Bedrohungen zu reagieren, gingen Hersteller von Cybersicherheitslösungen vom Abgleich der Fingerabdrücke zur heuristischen Analyse auf Grundlage des Benutzer- oder Systemverhaltens über. Unter dem Namen »Next Gen Antivirus« bildeten modernere Antivirenprogramme die Grundlage für EPP- (Endpoint Protection Platform) und EDR-Lösungen (Endpoint Detection & Response). Letztere erkennen ungewöhnliche Verhaltensweisen anhand von Kompromittierungsindizes (IoC). EDR- und EPP-Lösungen schließen sich allerdings nicht gegenseitig aus, sie sind komplementär. EDR-Lösungen agieren wie Überwachungskameras, die es ermöglichen, zu sehen, ob Unbefugte ins Firmengelände eindringen. Aber um den Eindringling am Eingang abzuwehren, benötigt man vor Ort einen Wachmann, das ist ein EPP. Also ja, Lösungen zur Abwehr von Schadsoftware sind nach wie vor als erste – jedoch nicht als einzige – Schutzinstanz zu empfehlen.
NDR, XDR, MDR. Angesichts der stetigen Erweiterung der Angriffsfläche in Unternehmen müssen mittlerweile IT-Sicherheitsbeauftragte die gesamte Netzwerk- und IT-Infrastruktur ebenfalls überwachen. NDR- (Network Detection and Response) und XDR-Lösungen (eXtended Detection and Response) schaffen hier Abhilfe. Während NDR-Plattformen alle Pakete analysieren, die über das Netzwerk versendet werden, um verdächtige Aktivitäten zu erkennen, dienen XDR-Lösungen dazu, den Gesamtüberblick bei der Vielzahl von Sicherheitstools (ergo auch Sammelstellen für Kompromittierungsindikatoren) zu wahren. Ein XDR ist vor allem eine Korrelationsplattform zur Minderung des Risikos und zeitnahen Reaktion auf Vorfälle.
Doch keine Technologie vermag es allein, sensible Ressourcen zu schützen. Cybersicherheitsanalysten werden weiterhin eine zentrale Rolle bei der Absicherung sensibler Infrastrukturen spielen. Die Nachfrage nach Sicherheitsfachleuten, die sich auf Erkennung und Reaktion auf Vorfälle spezialisiert haben, dürfte folglich künftig weiter steigen, und dies bei einem bereits akuten Fachkräftemangel. Es ist also nicht verwunderlich, dass sich externe »Managed Detection and Response« (MDR)-Angebote oder Mini-SOCs aktuell größer Beliebtheit erfreuen. Sie bieten das notwendige Know-how, um mit Bedrohungen Schritt zu halten, die sich rasant weiterentwickeln.
Uwe Gries,
Country Manager DACH,
Stormshield