Klassische Virenschutz-Software hat ausgedient. Sie schützt nur begrenzt vor Angriffen, da sie kaum etwas gegen Ransomware und Malware ausrichtet. Moderne Bedrohungen brauchen mehr. Eine zukunftsweisende Lösung ist SentinelOne, eine KI-gestützte Sicherheitsplattform. Diese baut nicht nur auf Datenanalyse, sondern spürt eine Bedrohung aufgrund ihres Verhaltens auf. IT-Experte und System-Administrator Daniel Gebauer zeigt, wie das funktioniert und veranschaulicht bei einer Live-Demo Datenschutz mit SentinelOne. Sein Fazit: „Man kann Cyber-Angriffe nicht komplett verhindern, aber man muss gut darauf vorbereitet sein mit Werkzeugen wie SentinelOne.“
So funktionierten klassische AV-Produkte früher: Ein umfangreicher Katalog von Bedrohungen wird abgeglichen, um eine Bedrohung zu erkennen. Die Programme scannen in regelmäßigen Abständen die Anwendungen. Später gab es dann eine aktuelle Überwachung, bei der dieser Scan in Echtzeit durchgeführt wurde. In allen Fällen wurden aber nur bereits bekannte Bedrohungen aufgespürt.
Diese Vorgangsweise sei heute nicht mehr zeitgemäß, erklärt Daniel: „Klassische AV-Produkte haben es heute echt schwer. Sie erkennen nur Schwachpunkte, die file-öffnend sind. Heutige Attacken sind aber viel mehr. Da laufen Angriffe, die es in dieser Form noch nie gab. Seit dem Windows 10 Defender, der in Windows 10 integriert und für alle problemlos verfügbar ist, gibt es eigentlich für klassische AV-Produkte keine Existenzberechtigung mehr“, so sein Fazit.
Next-Generation AV-Produkte versuchen, sich weiterzuentwickeln. Sie nehmen weitere Methoden hinzu, um Angriffe zu entdecken und ihnen zu entgegnen. Das geht über die Statusermittlung eines Scans hinaus. Sie versuchen vielmehr, zu verstehen, was wirklich passiert und welche Angriffsmethoden eingesetzt werden. Die KI versucht also, das zu tun, was auch ein Mensch tun würde und braucht dafür eine Datenbasis. Die fortschrittlichen AV-Lösungen zeichnen sich daher dadurch aus, dass sie sehr viele Daten sammeln und diese in die Cloud migrieren, um sie zu analysieren. So kann man auch bei unbekannten Attacken einfach aufgrund des Verhaltens erkennen, was wirklich passiert.
Es gibt aber noch einen weiteren Punkt, der für die Fortschritte der Next-Generation AV-Produkte ausschlaggebend ist. Es handelt sich dabei nicht um Produkte, die ausschließlich vor der Attacke wirksam sind. Sie spielen ihren Stärken auch dann aus, wenn die Attacke tatsächlich passiert ist. Man kann also auch noch im Nachhinein aktiv werden und verstehen, was eigentlich abgelaufen ist. Vor allem werden so bekannte und noch unbekannte Bedrohungen erkannt.
Abkürzungen (Buzzword Bingo)
Rund um Next-Generation AV-Produkte gibt es einige Buzzwords:
Endpoint Protection (EP)
Dieses klassische Tool vergleicht Virensignaturen und wird dann auf dem Endpunkt aktiv.
Endpoint Protection Platform (EPP)
Das ist eine Weiterführung von EP, die nicht nur die Informationen von einem Endpunkt einbezieht, sondern eine ganze Plattform mit weiteren Informationen und Daten im Hintergrund hat. Unterschiedliche Agents legen hier ihre Informationen ab.
Endpoint Detection and Response (EDR)
Diese Gruppe arbeitet mit Informationen aus der Cloud als Basis für die Entscheidung, ob es sich um eine Attacke handelt oder nicht. Die Folge dieser Entscheidung ist eine Handlung – also Response.
Active Endpoint Detection and Response (Active EDR)
Active EDR ist eine Weiterführung von EDR. Dabei ersetzen und adaptieren KI-Methoden die menschliche Entscheidung.
Detection and Response auf vielfältiger Datenbasis (XDR)
XDR ist zurzeit das Buzzword schlechthin. Es bedeutet, dass es nicht nur um Virenscanner-Endpunkte auf Endgeräten etc. geht, sondern dass man hier auch weitere Informationen einfließen lässt aus Firewall- und anderen Logs eines IT-Systems. Das erlaubt den Gesamtblick auf die Unternehmens-IT und nicht nur den spezifischen Blick auf die Endpunkte.
Security Information and Event Management (SIEM)
Mit XDR verbunden ist das Buzzword SIEM, also Security Information and Event Management. Es bedeutet, dass wie bei XDR alle möglichen Logs im Unternehmen gesammelt und daraus Events generiert werden. SIEM ist sozusagen das fortschrittlichere Nachfolgemodell von XDR.
Security Operations Center (SOC)
Verfolgt man eine Cybersecurity-Strategie, die sehr auf Menschen setzt, die etwa in größeren Unternehmen etwas beurteilen müssen, existiert meist ein Security Operations Center, in dem Security-Experten Analysen und Einschätzungen vornehmen.
Es gibt viele Security-Produkte, die recht bekannt sind. Zu diesen Endpoint Protection Platforms zählt auch SentinelOne, das als sehr visionär gilt. SentinelOne ist vor allem dann sinnvoll, wenn es im Unternehmen viele ältere Betriebssysteme gibt.
Ein vergleichbares und in den USA erfolgreiches Produkt ist CrowdStrike. Microsoft mit seinem Defender liegt ebenfalls weit vorne als sehr gut integriertes Produkt, das zudem erschwinglicher geworden ist. Unternehmen, die stark im Microsoft-Umfeld aktiv sind, finden hier eine leistungsstarke Lösung, die sehr gut mit anderen Microsoft-Komponenten verzahnt ist.
Ein weiteres Produkt, das gerne eingesetzt wird, ist Security Suite von SonicWall. Hier gibt es eine mitlizenzierbare Komponente, die die Scanner-Komponente von SentinelOne beinhaltet. Man erhält also die Intelligenz und Automatik, die in SentinelOne verfügbar ist. Was allerdings fehlt, ist die Hunting-Komponente, die man braucht, um mit hauseigenen Security-Experten aktiv zu werden. Dafür ist diese Variante aber auch deutlich günstiger.
Daniels Annahme: Eine Schadsoftware befindet sich auf einer Excel-Datei, die von einem Mitarbeiter geöffnet wird. Sie enthält ein Makro, die Schadsoftware nachlädt und den PC infiziert. Der User meldet dies, nachdem er seine Dateien nicht mehr öffnen kann, weil sie verschlüsselt sind. Arbeitet das Security Operations Center mit SentinelOne (SO), lässt sich der Vorfall in der SO-Konsole im Dashboard anschauen. Die Software erkennt am Verhalten, ob und dass es sich in diesem Demofall um Schadsoftware handelt. Der Analyst sieht, was wirklich passiert ist und welche Angriffstechnik der Hacker eingesetzt hat - etwa durch einen Blick in die Registry oder in den Event Log. Der SO-User kann das Ganze zudem grafisch aufbereitet betrachten. So sieht man, was genau in der besagten Excel-Datei abgelaufen ist.
Ist das Kind nun sozusagen in den Brunnen gefallen, kann man den Client zwar innerhalb einer relativ kurzen Zeit neu starten, SentinelOne bietet aber noch eine andere Möglichkeit: nämlich zu reagieren und nicht nur alle fraglichen Prozesse zu beenden und Vorgänge rückgängig zu machen, sondern einen kompletten Rollback zu starten. Das bedeutet, dass auf dem Client alles, was von Schadsoftware betroffen war, verschwindet und die Dateien wieder entschlüsselt werden. „Das mag seine Grenzen haben, was die Größe angeht“, erklärt Daniel, „ich selbst habe aber noch keinen Fall gesehen, in dem das nicht geklappt hat.“
Das Ergebnis: Die Maschine ist bereinigt, der Verschlüsselungstrojaner nicht mehr aktiv und die Dateien sind wieder da. Auch installierte Hintertüren lassen sich so aufspüren und schließen.
Die Lösung bietet zudem einen guten Überblick über den Zustand der Clients und der IT bzw. über veraltete, attackierbare Software im Unternehmen. Und sie ist ein echter Schutzschirm, sollten User primär über die Webzugänge und ohne Installation auf lokalen Geräten arbeiten. In diesem Fall ist zusätzlicher Schutz besonders wichtig, findet Daniel: „Was Schutz braucht, sind gar nicht so sehr die Daten auf den Geräten, sondern vielmehr die Identitäten. Ausschlaggebend ist aber immer, wie das Bedrohungsszenario aussieht.“
Auch ein echter Showcase kann im Frühstücksclub zur Sprache. Im vorgestellten Fall hat SentinelOne vollautomatisch reagiert und Schlimmeres verhindert. Das Sicherheitsproblem entstand bei einem User des Kunden, der eine E-Mail mit Schadsoftware erhielt, die in diesem Moment eine gänzlich neue, unbekannte Bedrohung war. Sie wurde daher von keiner klassischen Virensoftware erkannt. Nach dem Öffnen der Datei konnte man sehr gut sehen, welch vielfältigen Events daraus auf dem Client resultierten. Das waren anfangs noch durchaus Aktionen, die nicht unmittelbar auf eine Schadsoftware hinwiesen. Sobald aber der erste direkte Hinweis vorlag, hat SentinelOne sofort reagiert, das Ganze zurückgerollt und dafür gesorgt, dass der Client problemlos weiterarbeiten konnte.