Es war einmal... das Antivirus

Heute erzähle ich Ihnen die fantastische Geschichte des Antivirus. Das Antivirus ist eine Software zur Erkennung und Entfernung von Computerviren, die es seit den 1980er Jahren gibt, also seit der Geburt der ersten vernetzten Computer.

Die Funktionsweise von Antivirus besteht darin, das System auf bösartigen Code zu überprüfen. Wenn das Antivirenprogramm bösartigen Code entdeckt, stellt es ihn entweder unter Quarantäne oder entfernt ihn vom System, bevor er Schaden anrichten kann.

Das Antivirenprogramm verwendet in der Regel eine signaturbasierte Methode zur Erkennung von Bedrohungen, bei der Byte-Muster mit zuvor identifizierten Malware-Signaturen verglichen werden, und blockiert die Installation aller Dateien auf dem Gerät, die diesen Signaturen entsprechen. Wenn neue Viren auftauchen, muss die Datenbank, die die Signaturen enthält, aktualisiert werden.

Im Laufe der Jahre wurde der Wettlauf zwischen Angreifern und Verteidigern immer härter und komplexer. Vor etwa dreissig Jahren gab es in den Antiviren-Datenbanken nur ein paar Zehntausend bekannte Signaturen. Zehn Jahre später hatte sich ihre Zahl verzehnfacht, und einige Jahre später überstieg sie fünf Millionen. Derzeit werden täglich etwa eine halbe Million Arten von Malware gemeldet.

Die Sicherheitsexperten erkannten, dass sie der Computerkriminalität mit der Signaturtechnologie allein nicht mehr Herr werden konnten. Die Schwierigkeit, fortgeschrittene und unbekannte Malware zu erkennen, war in der Tat eine immense Einschränkung, die zur Suche nach neuen Lösungen führte.

Um das Jahr 2010 herum wurde so das Next Generation Antivirus (NGAV) geboren. Anstatt sich ausschliesslich auf bekannte Signaturen von Malware zu verlassen, erkennt die neue Technologie neue Arten von Malware anhand des Verhaltens der Malware selbst: Sie untersucht alles, was auf dem Gerät läuft, und stellt anhand des Verhaltens fest, ob es bösartig ist oder nicht.

Der Virenschutz der nächsten Generation nutzt prädiktive Analysefunktionen auf der Grundlage von maschinellem Lernen und künstlicher Intelligenz und ermöglicht die Erkennung und Neutralisierung von Malware und dateilosen Malware-Angriffen. Die neue Technologie kann nicht nur bösartiges Verhalten identifizieren, sondern auch Daten von infizierten Geräten sammeln und analysieren, um die Ursachen des Problems zu ermitteln.

In den letzten Jahren hat jedoch die exponentielle Zunahme von Ransomware-ähnlichen Bedrohungen, dateiloser Malware und Zero-Day-Angriffen in Verbindung mit der zunehmenden Schwere des Schadens, dem Unternehmen potenziell ausgesetzt sind, dazu geführt, dass sie unbedingt mit Tools ausgestattet werden müssen, die in der Lage sind, auf diese weiterentwickelten Angriffe zu reagieren und sie zu beseitigen.

So entstanden Endpoint Detection and Response (EDR)-Plattformen.

Endpoint Detection and Response (EDR)

EDR-Lösungen überwachen das Verhalten aller Anwendungen auf einem Gerät, um verdächtige oder abnormale Aktivitäten zu erkennen, die auf einen laufenden Angriff hindeuten könnten. Sie umfassen auch Reaktionsmöglichkeiten wie automatische Eindämmung, Wiederherstellung, Untersuchung und Rollback-Optionen im Falle eines Sicherheitsverstosses.

Die Eindämmung ist ein Prozess, der die Verbreitung von Malware verhindert, indem er bösartige Prozesse blockiert, Netzwerkverbindungen deaktiviert oder sie anderweitig daran hindert, bestimmte Aktionen auf dem System auszuführen.

Die Wiederherstellung ermöglicht Massnahmen zur Beseitigung von Schäden, die bereits durch einen Angriff verursacht wurden. Dazu gehören die Wiederherstellung von Daten, das Entfernen bösartiger Dateien und das Rückgängigmachen von Konfigurationsänderungen.

Die Untersuchung ist notwendig, um die Ursache des Angriffs zu ermitteln und zugrundeliegende Schwachstellen zu entdecken, die beseitigt werden müssen, um ähnliche Angriffe in Zukunft zu verhindern. EDR liefert detaillierte Berichte über die Vorgänge während des Angriffs, die zur Verbesserung der Sicherheitsstrategie in der Zukunft genutzt werden können.

In einigen Fällen kann es notwendig sein, Änderungen, die aufgrund eines Angriffs vorgenommen wurden, wiederherzustellen. Dieser Vorgang wird als Rollback bezeichnet. EDR kann bei diesem Prozess helfen, indem es die Möglichkeit bietet, Systemkonfigurationen oder Dateien, die während des Angriffs geändert wurden, schnell wiederherzustellen.

Der Hauptvorteil von EDR besteht darin, dass die Lösung es den Unternehmen ermöglicht, sich gegen bekannte Angriffe (z. B. einen Virus) und unbekannte Angriffe (dateilose Malware) zu schützen, indem verdächtiges Verhalten analysiert wird.

Managed Detection and Response (MDR)

MDR stellt eine zusätzliche Sicherheitsebene gegenüber EDR dar und soll ein umfassendes IT-Sicherheitsmanagement bieten. Unternehmen verlassen sich oft auf MDR-Dienstleister, um das Bedrohungsmanagement und die Reaktion auf Vorfälle auszulagern.

MDR bietet eine kontinuierliche 27x7-Bedrohungsüberwachung und Reaktion auf Vorfälle zu jeder Tages- und Nachtzeit.

Die erweiterte Bedrohungsanalyse ermöglicht fortschrittliche Analyse- und Aufklärungsmaßnahmen zur Identifizierung hochentwickelter und anhaltender Bedrohungen.

Fachkundige Beratung hilft Unternehmen, Angriffe zu neutralisieren und ihre Sicherheit zu verbessern.

Extended Detection and Response (XDR)

XDR ist ein Software-as-a-Service-Tool zur Erkennung von Bedrohungen und zur Reaktion auf Angriffe. XDR erweitert den Funktionsumfang von EDR und MDR, indem es mehrere Produkte in einer standardisierten Plattform bündelt und gleichzeitig eine automatisierte Reaktion auf Bedrohungen integriert.

XDR analysiert Daten aus verschiedenen Quellen (E-Mail, Endpunkte, Server, Netzwerke, Cloud-Streams usw.), um Warnungen zu validieren und so Fehlalarme und das Gesamtvolumen der Warnungen zu reduzieren. Gleichzeitig ermöglicht die mehrstufige Korrelation von Indikatoren deutlich mehr Erkennungsoptionen. So bietet XDR beispielsweise vollständige Transparenz, indem es auch Netzwerkdaten zur Überwachung anfälliger (nicht verwalteter) Endpunkte nutzt, die von EDR-Tools nicht erkannt werden.

XDR überschreitet die Grenzen von Erkennungsperimetern und nutzt die Automatisierung, um Untersuchungen zu beschleunigen und ausgeklügelte Angriffe zu erkennen.

Security Operations Center (SOC)

Das Security Operations Center (SOC) ist eine zentrale Schaltstelle, in der Bedrohungen überwacht, qualifiziert und abgewehrt werden. Die Analysten im SOC arbeiten mit Cybersicherheitsexperten aus anderen Bereichen (IT-Spezialisten, Forensiker, Anwendungsfallentwickler usw.) in koordinierten Prozessen und mit speziellen Tools zusammen, 24 Stunden am Tag, 365 Tage im Jahr.

All diese Komponenten sind heutzutage unerlässlich, um die IT-Infrastruktur vor Bedrohungen zu schützen. Durch die Kombination dieser Lösungen ist es möglich, verdächtiges Verhalten schnell zu erkennen und mit Eindämmungsmaßnahmen zu reagieren, bevor irreparable und sehr kostspielige Schäden entstehen. Die Kombination dieser Werkzeuge bietet daher eine hochwirksame Verteidigung gegen bekannte Bedrohungen und ist gleichzeitig in der Lage, unbekannte Bedrohungen zu erkennen und zu analysieren.

Kaspersky NEXT Complete Security

Combined Managed Workplace basiert auf der Endpoint Security-Lösung von Kaspersky, dem weltweit führenden Anbieter von Cybersicherheit, dessen preisgekrönte Produkte von mehr als 220.000 Unternehmen weltweit eingesetzt werden. Im Laufe des Jahres 2025 werden wir die neue, leistungsstarke und kompromisslose Lösung Kaspersky NEXT einführen.

Kaspersky NEXT hebt die Sicherheit Ihres Unternehmens auf die nächste Stufe. Ohne Kompromisse. Die Bedrohungslandschaft für alle Arten von Unternehmen steht niemals still. Schwer fassbare Bedrohungen, die früher die grössten Unternehmen betrafen, betreffen jetzt auch kleinere Unternehmen, die nicht über die entsprechenden Ressourcen verfügen, um ihnen zu begegnen.

Kaspersky NEXT ist eine sehr leistungsfähige EDR/MDR-Lösung, die auch den kleinsten Unternehmen ein sehr hohes Schutzniveau bietet. Mit Kaspersky NEXT können auch KMUs von einem Security Operations Center zu einem Bruchteil des Preises profitieren.

Entscheiden Sie sich jetzt für Combined Managed Workplace mit Kaspersky NEXT Complete Security: Jede Sekunde kann für Ihre Daten entscheidend sein.

Kontaktieren Sie mich jetzt für eine kostenlose Demonstration.

Promotion gültig bis 31.12.2024

Das Security Operations Center ist jetzt für jedes KMU in der Schweiz erhältlich.

Kontaktieren Sie mich jetzt und profitieren Sie von der Promotion 2024.

Combined Managed Workplace Service mit Kaspersky NEXT Complete Security ist für die Dauer von 4 Jahren zum Preis von 3 Jahren erhältlich.

Bei einer Bestellung bis zum 31.1.22024 gewähre ich persönlich einen zusätzlichen Rabatt von 20 % auf die gesamte Vertragsdauer.

Bild Nr. 2, 3 und 4 © Kasperksy