F-Secure RDR

Endpoint Detection and Response – kurz EDR-Systeme – werden von Analysten derzeit als "Silver Bullet" gegen zielgerichtete Angriffe gehandelt. Gemäß Definition zeichnen EDR-Systeme Aktivitäten wie Benutzeranmeldungen und -aktivitäten, Datei-, Registry-, Programm- und Speicherzugriffe sowie Netzwerkverbindungen auf und versuchen durch Korrelation der so gewonnenen Daten Auffälligkeiten auf den Endpoints zu identifizieren.

Anders als klassische Werkzeuge zur Endpoint Protection sollen EDR-Produkte also in der Lage sein, dateilose Angriffe zu erkennen. Herkömmliche Virenscanner sind für dateilose Angriffe blind, denn diese nutzen meist legitime Betriebssystemtools wie etwa die PowerShell statt klassischem Schadcode. Erkennt das EDR-Programm ein potenziell schädliches Verhalten, kommt die Response-Komponente zum Einsatz. Dabei wird der betroffene Host meist vom Netzwerk isoliert, um den Angriff zu stoppen und die weitere Ausbreitung des Angreifers oder Schadcodes im Netzwerk zu verhindern.

Praktisch alle Anbieter von Antivirenprodukten sind inzwischen auf den Zug aufgesprungen und rüsten ihre Lösungen mit EDR-Funktionen nach oder bieten eigenständige Produkte an. Da jeder Hersteller EDR unterschiedlich definiert, ist die Abgrenzung beziehungsweise ein Vergleich der Produkte untereinander aber nicht immer einfach.

Der Kontext zählt

Konzentrieren sich die meisten EDR-Lösungen am Markt derzeit auf dateibasierte Angriffe, steht bei F-Secure Rapid Detec-tion and Response (RDR) die Kontexterkennung "Broad Context Detection" im Vordergrund. Mit Hilfe von künstlicher Intelligenz verspricht F-Secure, den Kontext, in dem bestimmte Ereignisse auftreten, bis zu einem gewissen Grad zu verstehen und echte Angriffe mit sehr hoher Wahrscheinlichkeit von normalen Vorgängen zu unterscheiden. Zum besseren Verständnis, warum Kontextinformationen so wichtig sind,

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.