Endpoint Detection and Response

[Astor27]

Endpoint Detection and Response

• Endpoint Detection and Response, kurz EDR tritt an, eine Schutzfunktion umzusetzen, die herkömmliche Antiviren-Software nur als Werbeversprechen der Hersteller lieferte: Selbst bislang unbekannte Schad-Software entdecken und stoppen. Doch während EDR-Software beim Erkennen bösartiger Aktivitäten tatsächlich signifikant besser ist, als ihre Vorgänger, hat sie doch deren grundsätzliches Problem geerbt: Sie lässt sich zu leicht austricksen, wie aktuelle Tests eines Forscherteams demonstrieren.
  Klassisches Antivirus
  Antiviren-Software untersucht primär Dateien nach bekannten Mustern potenziell schädlicher Aktivitäten. Das bedeutet primär, dass sie mit sogenannten Signaturen in einer Datei nach bestimmten Zeichenfolgen sucht. Es ist kein Geheimnis, dass ein Programmierer seinen Schadcode sehr einfach so anpassen kann, dass diese Tests nicht mehr anschlagen. Das haben auch die Test von Antiviren-Software in c't immer wieder bewiesen.
  Diese Signatur-Scans ergänzt AV-Software durch die Analyse in einer Sandbox, in der sie die verdächtige Software kontrolliert ausführt. Doch diese Sandboxen können ein reales System nur begrenzt nachbilden und lassen sich somit erkennen. Die praktische Folge: Malware entdeckt die Sandbox, macht auf harmlos und entgeht auch der Entdeckung durch die dynamische Analyse.Quellen: https://www.heise.de/news/EDR-Nachfolge ... 41955.html