F-Secure RDR

Kontextbezogen

Die Abwehr gezielter Angriffe, bei denen die Täter häufig mit Social-Engineering-Methoden ein Endgerät im Netzwerk übernehmen, gilt bei Malware-Jägern als Königsdisziplin – denn derartige Attacken werden oft gar nicht erst erkannt. F-Secure verspricht mit "Rapid Detection and Response" Hilfe beim Aufspüren und bei der Abwehr zielgerichteter Endpoint-Attacken. IT-Administrator hat sich das neue Produkt für Sie angesehen.
Besonders in kleineren Firmen ohne eigenes IT-Sicherheitsteam fällt es Administratoren schwer, mit zunehmend gehäuften und raffinierten Angriffen umzugehen. ... (mehr)

Endpoint Detection and Response – kurz EDR-Systeme – werden von Analysten derzeit als "Silver Bullet" gegen zielgerichtete Angriffe gehandelt. Gemäß Definition zeichnen EDR-Systeme Aktivitäten wie Benutzeranmeldungen und -aktivitäten, Datei-, Registry-, Programm- und Speicherzugriffe sowie Netzwerkverbindungen auf und versuchen durch Korrelation der so gewonnenen Daten Auffälligkeiten auf den Endpoints zu identifizieren.

Anders als klassische Werkzeuge zur Endpoint Protection sollen EDR-Produkte also in der Lage sein, dateilose Angriffe zu erkennen. Herkömmliche Virenscanner sind für dateilose Angriffe blind, denn diese nutzen meist legitime Betriebssystemtools wie etwa die PowerShell statt klassischem Schadcode. Erkennt das EDR-Programm ein potenziell schädliches Verhalten, kommt die Response-Komponente zum Einsatz. Dabei wird der betroffene Host meist vom Netzwerk isoliert, um den Angriff zu stoppen und die weitere Ausbreitung des Angreifers oder Schadcodes im Netzwerk zu verhindern.

Praktisch alle Anbieter von Antivirenprodukten sind inzwischen auf den Zug aufgesprungen und rüsten ihre Lösungen mit EDR-Funktionen nach oder bieten eigenständige Produkte an. Da jeder Hersteller EDR unterschiedlich definiert, ist die Abgrenzung beziehungsweise ein Vergleich der Produkte untereinander aber nicht immer einfach.

Der Kontext zählt

Konzentrieren sich die meisten EDR-Lösungen am Markt derzeit auf dateibasierte Angriffe, steht bei F-Secure Rapid Detec-tion and Response (RDR) die Kontexterkennung "Broad Context Detection" im Vordergrund. Mit Hilfe von künstlicher Intelligenz verspricht F-Secure, den Kontext, in dem bestimmte Ereignisse auftreten, bis zu einem gewissen Grad zu verstehen und echte Angriffe mit sehr hoher Wahrscheinlichkeit von normalen Vorgängen zu unterscheiden. Zum besseren Verständnis, warum Kontextinformationen so wichtig sind,

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019