Cyberangriffe erkennen und vermeiden mit SentinelOne

Klassische Antivirensoftware hat ausgedient. Sie schützt nur begrenzt vor Angriffen, da sie gegen Ransomware und Malware kaum etwas ausrichten kann. Moderne Bedrohungen erfordern mehr. Eine zukunftsweisende Lösung ist SentinelOne, eine KI-basierte Sicherheitsplattform. Diese verlässt sich nicht nur auf die Analyse von Daten, sondern erkennt eine Bedrohung anhand ihres Verhaltens. IT-Experte und Systemadministrator Daniel Gebauer zeigt, wie das funktioniert und demonstriert in einer Live-Demo den Datenschutz mit SentinelOne. Sein Fazit: „Man kann Cyber-Angriffe nicht komplett verhindern, aber man muss sich mit Tools wie SentinelOne gut darauf vorbereiten“.


WARUM KLASSISCHE ANTIVIRENSOFTWARE TOT IST

So haben klassische AV-Produkte früher funktioniert: Ein umfangreicher Bedrohungskatalog wird abgeglichen, um eine Bedrohung zu erkennen. Die Programme scannen die Anwendungen in regelmäßigen Abständen. Später gab es dann ein aktuelles Monitoring, bei dem dieser Scan in Echtzeit durchgeführt wurde. In allen Fällen wurden jedoch nur bereits bekannte Bedrohungen erkannt.

Dieser Ansatz sei heute nicht mehr zeitgemäß, erklärt Daniel: „Klassische AV-Produkte haben es heute wirklich schwer. Sie erkennen nur Schwachstellen, die Dateien öffnen. Die heutigen Angriffe sind aber viel mehr. Es gibt Angriffe, die es in dieser Form noch nie gegeben hat. Spätestens seit dem Windows 10 Defender, der in Windows 10 integriert und für jeden einfach verfügbar ist, gibt es für klassische AV-Produkte eigentlich keine Existenzberechtigung mehr“, so sein Fazit.

AV-Produkte der nächsten Generation versuchen, sich weiterzuentwickeln. Sie fügen weitere Methoden hinzu, um Angriffe zu erkennen und abzuwehren. Dabei geht es nicht nur darum, den Status eines Scans zu ermitteln. Vielmehr versuchen sie zu verstehen, was wirklich passiert und welche Angriffsmethoden verwendet werden. Die KI versucht also, das zu tun, was auch ein Mensch tun würde, und benötigt dazu eine Datenbasis. Fortschrittliche AV-Lösungen zeichnen sich daher dadurch aus, dass sie sehr viele Daten sammeln und diese zur Analyse in die Cloud migrieren. So kann man auch bei unbekannten Angriffen einfach anhand des Verhaltens erkennen, was wirklich passiert.

Es gibt aber noch einen weiteren Punkt, der für den Fortschritt der AV-Produkte der nächsten Generation entscheidend ist. Es handelt sich nicht um Produkte, die nur vor dem Angriff wirksam sind. Sie spielen ihre Stärken auch dann aus, wenn der Angriff bereits stattgefunden hat. Man kann also auch im Nachhinein noch eingreifen und nachvollziehen, was tatsächlich passiert ist. Vor allem können bekannte und noch unbekannte Bedrohungen erkannt werden.

Abkürzungen (Buzzword-Bingo)

Rund um Next-Generation AV-Produkte gibt es einige Buzzwords:

Endpoint Protection (EP)

Dieses klassische Tool vergleicht Virensignaturen und wird dann auf dem Endpunkt aktiv.

Endpoint Protection Platform (EPP)

Das ist eine Weiterführung von EP, die nicht nur die Informationen von einem Endpunkt einbezieht, sondern eine ganze Plattform mit weiteren Informationen und Daten im Hintergrund hat. Unterschiedliche Agents legen hier ihre Informationen ab.

Endpoint Detection and Response (EDR)

Diese Gruppe arbeitet mit Informationen aus der Cloud als Basis für die Entscheidung, ob es sich um eine Attacke handelt oder nicht. Die Folge dieser Entscheidung ist eine Handlung – also Response.

Active Endpoint Detection and Response (Active EDR)

Active EDR ist eine Weiterführung von EDR. Dabei ersetzen und adaptieren KI-Methoden die menschliche Entscheidung.

Detection and Response auf vielfältiger Datenbasis (XDR)

XDR ist das Buzzword schlechthin. Es bedeutet, dass es nicht nur um Virenscanner-Endpunkte auf Endgeräten etc. geht, sondern dass man hier auch weitere Informationen einfließen lässt aus Firewall- und anderen Logs eines IT-Systems. Das erlaubt den Gesamtblick auf die Unternehmens-IT und nicht nur den spezifischen Blick auf die Endpunkte.

Security Information and Event Management (SIEM)

Mit XDR verbunden ist das Buzzword SIEM, also Security Information and Event Management. Es bedeutet, dass wie bei XDR alle möglichen Logs im Unternehmen gesammelt und daraus Events generiert werden. SIEM ist sozusagen das fortschrittlichere Nachfolgemodell von XDR.

Security Operations Center (SOC)

Verfolgt man eine Cybersecurity-Strategie, die sehr auf Menschen setzt, die etwa in größeren Unternehmen etwas beurteilen müssen, existiert meist ein Security Operations Center, in dem Security-Experten Analysen und Einschätzungen vornehmen.


WELCHE PRODUKTE BIETET DER MARKT?

Es gibt viele Security-Produkte, die recht bekannt sind. Zu diesen Endpoint Protection Platforms zählt auch SentinelOne, das als sehr visionär gilt. SentinelOne ist vor allem dann sinnvoll, wenn es im Unternehmen viele ältere Betriebssysteme gibt.

Ein vergleichbares und in den USA erfolgreiches Produkt ist CrowdStrike. Microsoft mit seinem Defender liegt ebenfalls weit vorne als sehr gut integriertes Produkt, das zudem erschwinglicher geworden ist. Unternehmen, die stark im Microsoft-Umfeld aktiv sind, finden hier eine leistungsstarke Lösung, die sehr gut mit anderen Microsoft-Komponenten verzahnt ist.

Ein weiteres Produkt, das gerne eingesetzt wird, ist Security Suite von SonicWall. Hier gibt es eine mitlizenzierbare Komponente, die die Scanner-Komponente von SentinelOne beinhaltet. Man erhält also die Intelligenz und Automatik, die in SentinelOne verfügbar ist. Was allerdings fehlt, ist die Hunting-Komponente. Die ist nötig, um mit hauseigenen Security-Experten aktiv zu werden. Dafür ist diese Variante aber auch deutlich günstiger.


SENTINELONE-LIVE-DEMO

Daniels Annahme: Eine Schadsoftware befindet sich auf einer Excel-Datei, die von einem Mitarbeiter geöffnet wird. Sie enthält ein Makro, die Schadsoftware nachlädt und den PC infiziert. Der User meldet dies, nachdem er seine Dateien nicht mehr öffnen kann, weil sie verschlüsselt sind. Arbeitet das Security Operations Center mit SentinelOne (SO), lässt sich der Vorfall in der SO-Konsole im Dashboard anschauen. Die Software erkennt am Verhalten, dass es sich um Schadsoftware handelt. Der Analyst sieht, was wirklich passiert ist und welche Angriffstechnik der Hacker eingesetzt hat - etwa durch einen Blick in die Registry oder in den Event Log. Der SO-User kann das Ganze zudem grafisch aufbereitet betrachten. So sieht man, was genau in der besagten Excel-Datei abgelaufen ist.

Ist das Kind nun sozusagen in den Brunnen gefallen, kann man den Client zwar innerhalb einer relativ kurzen Zeit neu starten, SentinelOne bietet aber noch eine andere Möglichkeit: nämlich zu reagieren. Dabei beendet es nicht nur alle fraglichen Prozesse und macht Vorgänge rückgängig, sondern startet einen kompletten Roll-back. Das bedeutet, dass auf dem Client alles, was von Schadsoftware betroffen war, verschwindet und die Dateien wieder entschlüsselt werden. „Das mag seine Grenzen haben, was die Größe angeht“, erklärt Daniel, „ich selbst habe aber noch keinen Fall gesehen, in dem das nicht geklappt hat.“

Das Ergebnis: Die Maschine ist bereinigt, der Verschlüsselungstrojaner nicht mehr aktiv und die Dateien sind wieder da. Auch installierte Hintertüren lassen sich so aufspüren und schließen.

Die Lösung bietet zudem einen guten Überblick über den Zustand der Clients und der IT bzw. über veraltete, attackierbare Software im Unternehmen. Und sie ist ein echter Schutzschirm, sollten User primär über die Webzugänge und ohne Installation auf lokalen Geräten arbeiten. In diesem Fall ist zusätzlicher Schutz besonders wichtig, findet Daniel: „Was Schutz braucht, sind gar nicht so sehr die Daten auf den Geräten, sondern vielmehr die Identitäten. Ausschlaggebend ist aber immer, wie das Bedrohungsszenario aussieht.“


SO KLAPPT ES: EIN ECHTER SHOWCASE EINES KUNDEN

Das Sicherheitsproblem trat auf, als ein User des Kunden eine E-Mail mit Schadsoftware erhielt, die zu diesem Zeitpunkt eine völlig neue und unbekannte Bedrohung darstellte. Sie wurde daher von keiner klassischen Antivirensoftware erkannt. Nach dem Öffnen der Datei konnte man sehr gut sehen, welche unterschiedlichen Ereignisse sich daraus auf dem Client ergaben. Anfangs waren das durchaus noch Aktionen, die nicht direkt auf eine Malware hinwiesen. Aber sobald es den ersten direkten Hinweis gab, hat SentinelOne sofort reagiert, das Ganze zurückgesetzt und dafür gesorgt, dass der Client problemlos weiterarbeiten konnte.

21/12/2020