Endpoint Protection befindet sich im Wandel. Um eines gleich vorweg zu nehmen: Wenn ich von „Old World“ rede, meine ich moderne Next-Gen AV Lösungen von bekannten Anbietern die schon lange am Markt sind, wie z.B. Trend Micro, und nicht klassische, altbackene Antiviren Programme. Diese wären nämlich nicht „Old World“, sondern eher „prähistorisch“.
Gilt in der Security «neu = besser»?
Diejenigen die meinen letzten Blog Artikel (Die Mär von der Sandbox) gelesen haben, wissen vielleicht, dass ich mich zwecks Veranschaulichung gerne bei Vergleichen bediene. Und auch in diesem Falle bietet sich ein Vergleich gut an.
Als Henry Ford anno dazumal 1903 das erste Modell A produzierte und somit einen unglaublichen, bis heute ungebrochenen Trend zu immer mehr individueller Mobilität auslöste, hätte im Traum niemand daran gedacht, dass es gut 100 Jahre später rein elektrisch betriebene Autos geben würde, geschweige denn solche die 115 Jahre später praktisch völlig autonom unterwegs sind.
Doch sind jetzt diese neuen E-Autos wirklich auch die besseren, sichereren Autos? Oder zählt vielleicht die langjährige Erfahrung der etablierten Marken auch etwas? Auf die langjährige Erfahrung mit gewissen Tricksereien will ich an dieser Stelle jetzt nicht eingehen 😉
Was ich damit sagen will: nur weil etwas neu ist, einen fancy Namen hat, schön glänzt und vielleicht noch bis unters Dach vollgestopft ist mit modernster Technik, muss es nicht zwangsläufig auch besser sein. Und was heisst „besser“ überhaupt? Ist denn nun ein Tesla besser als ein aktuelles Auto mit Verbrennungsmotor, nur weil er selber fahren kann? Oder führt vielleicht letztendlich die moderne Technik im Tesla sogar zu Fehlern, die es mit Verbrennern gar nicht geben könnte? Stichwort Unfälle durch Autopilot oder das aktuelle Problem mit dem internen Flash-Speicher.
Und wie sieht das jetzt bei der Endpoint Security aus? Der Praxistest.
Wenn man das jetzt auf Endpoint Protection anwendet, sieht es ähnlich aus. Was in der Auto Industrie das E-Auto ist, ist in der Endpoint Protection der Next-Gen AV. Tolle neue Technik, wie Artificial Intelligence, Machine Learning und Behavior Analysis, sollen die leidigen Signatur Updates und in die Jahre gekommenen heuristischen Methoden ersetzten. Mittlerweile gehört ja die KI zum guten Ton, man kriegt sogar schon künstlich intelligente Waschmaschinen! Nur: Signaturen sind ja per se nichts Schlechtes, ganz im Gegenteil! Ein spannender Aspekt meiner Arbeit ist, dass ich immer mal wieder neue Produkte anschauen und testen kann. So geschehen auch mit einer Endpoint Protection Lösung die ausschliesslich auf Machine Learning gesetzt hat. Das war auf dem Datenblatt und in Werbeprospekten erstmal sehr interessant, in der Praxis hat’s dann aber leider nicht wirklich gute Ergebnisse geliefert. Bei neuen Bedrohungen kam das System zwar ganz gut zurecht, aber gerade bei etwas älterer Malware hat der Schutz dann häufiger mal versagt. Ein anderes Produkt, dass noch Signaturen verwendet hat, schnitt da wesentlich besser ab.
Wie überall – der Schlüssel liegt in der Kombination von bewährt und neu
Die altbekannten Anbieter von Endpoint Protection Lösungen (aka „Old Word“) sind ja auch nicht untätig stehen geblieben, sondern haben ihre Produkte erweitert und stetig verbessert. So bieten auch diese Lösungen mittlerweile Machine Learning und Artificial Intelligence, setzen aber nebenbei noch auf die bewährten Signaturen und heuristischen Erkennungen. Wichtig ist, dass eben nicht ausschliesslich auf Signaturen gesetzt wird, denn spätestens bei Zero Days hat man da sonst recht schnell arge Probleme. Die Kombination verschiedener Technologien ist vor allem bei Lösungen, die auf Erkennung setzen, heutzutage unerlässlich.
Hier mal eine Auswahl an Technologien, die man in verschiedenen Produkten findet:
-
- Pattern, Signaturen oder Hash values
- Application whitelisting
- Webreputation
- url-filtering
- C&C callback detection
- Botnet detection
- Behavior Monitoring (Verhaltensanalyse)
- KI
- Pre-execution
- Sandboxing
- Post-execution
Viele der heutigen Lösungen bieten neben der Detection auch noch einen Response Teil. Womit wir dann bei EDR (Endpoint Detection & Reponse) wären. Überspitzt könnte man sagen, dass die Response ja erst dann nötig wird, wenn die Detection versagt und der Schaden bereits angerichtet ist. Das mag bis zu einem gewissen Grad auch stimmen, nur hilft eben ein gutes EDR dabei, den Schaden einzugrenzen und schnellst möglich zu reagieren. Auf EDR will ich an dieser Stelle jetzt auch nicht weiter eingehen, dazu kommt dann mal ein separater Blog Artikel. Festhalten will ich hier bloss, dass eben auch die bekannten Firmen mittlerweile EDR Funktionalitäten in ihren Lösungen anbieten.
Eine wirksame Alternative zur Detection bietet die Prävention, dazu gehört auch die Isolation. Mehr dazu findet man hier: www.tec-bite.ch/die-maer-von-der-sandbox/ und www.tec-bite.ch/praevention-durch-isolation-wo-und-wie-umsetzen/
Fazit
Mein Rat daher an alle, die sich mit der Anschaffung einer neuen Endpoint Protection Lösung befassen: Lasst euch nicht von neuen, glänzenden Namen blenden. Es ist wichtig die Produkte unvoreingenommen zu vergleichen und den eigenen Bedürfnissen entsprechend auszuwählen.
Und die Moral von der Geschicht‘: Viren hat man, oder nicht!
Jamosh
Jamosh ist Cyber Defense Specialist bei AVANTEC. Der Schutz des schwächsten Glieds ist für ihn von zentraler Wichtigkeit, weshalb er sich am liebsten mit Endpoint Protection beschäftigt. Ausserhalb vom Büro interessiert er sich für Geschichte, liest gerne und mag Videospiele.