Next Generation Antivirus (NGAV)

Bösartige Absichten früher erkennen.

Managed NGAV-Services

Inhaltsübersicht

Was ist Next Generation Antivirus (NGAV)?

Next Generation Antivirus (NGAV) gilt im Bereich der Antivirenlösungen (AV) als Schritt nach vorn und nutzt bekannte, signaturbasierte Präventionstechniken in Kombination mit Funktionen der Extended Detection and Response (XDR), die künstliche Intelligenz (KI) und/oder maschinelles Lernen (ML) einbeziehen. Durch den Einsatz fortschrittlicher Analysen zur Korrelation von Warnmeldungen aus verschiedenen Telemetriequellen identifiziert NGAV schnell verwertbare Bedrohungsinformationen, um Gefährdungen schneller zu erkennen und zu verhindern. 

NGAV wird in Form von cloudbasierter Software eingesetzt, die geringere Auswirkungen auf Systeme und Endpunkte hat. In Organisationen und Unternehmen ist sie zunehmend die häufigere Art von AV.

NGAV vs. Endpoint Detection and Response (EDR)

Wenn XDR und NGAV zusammenwirken, schützen sie den Netzwerkperimeter und erweitern die Techniken zur Erkennung von Bedrohungen über diesen Umfang hinaus. EDR findet an dem Endpunkt statt, der innerhalb dieses Sicherheitsperimeters liegt. Angreifer könnten immer noch einen Weg zu einem Endpunkt wie einem Handy oder Laptop finden. Aus diesem Grund ist eine gute EDR-Lösung die letzte Verteidigungslinie.

NGAV vs. Anti-Malware

Auch hier geht es um das Allgemeine versus das Spezifische. Wie bereits erwähnt, ist eine moderne NGAV-Lösung so konzipiert, dass sie fortschrittliche Analysen zur Sicherung, Früherkennung und Abwehr von Bedrohungen innerhalb und außerhalb des Netzwerkperimeters nutzt. Anti-Malware-Lösungen sind in erster Linie darauf ausgelegt, einzelne Systeme auf Malware zu scannen, die Sicherheitskontrollen umgehen soll.

Wie funktioniert NGAV? 

NGAV funktioniert, indem Malware und dateilose Angriffe erkannt und verhindert werden. Sie nutzt Methoden im Vorfeld der Ausführung, um vor Taktiken, Techniken und Verfahren (Tactics, Techniques, and Procedures, TTP) und bösartigem Verhalten zu schützen, das von Angreifern absichtlich oder unwissentlich von jemandem eingesetzt wird, der sich ordnungsgemäß legitimiert hat. Schauen wir uns genauer an, wie eine NGAV-Lösung ihre Ziele in puncto Erkennung und Prävention erreicht:

  • Die Memory Injection Prevention blockiert Versuche von dateilosen Bedrohungen, sodass die Ausführung von Code aus dem Dateisystem verhindert werden kann. Memory Injection Prevention kann das Einschleusen von schädlichem Code, der während eines legitimen Prozesses auftreten kann, verhindern und diesen verbergen. 
  • Der Schutz vor bösartigen Dokumenten unterbindet oder entschärft Dokumente, die versuchen, Funktionen wie Makros, Skripte und integrierte Tools zu missbrauchen. Auf diese Weise können Nutzer vom vollen Funktionsumfang moderner Anwendungen profitieren und müssen sich weniger Gedanken über Infektionen machen. 
  • Die „Living-off-the-Land“-Prävention behindert Versuche, systemeigene Tools zu missbrauchen, die andernfalls Schaden anrichten würden, ohne dass klassische Formen von Malware eingesetzt werden müssen. So können Bedrohungen diese nativen Tools nicht verlassen und den Endpunkt infizieren. 
  • Der Schutz vor dem Auslesen von Anmeldeinformationen des Betriebssystems blockiert Täuschungstechnologien, wie z. B. Versuche, Anmeldedaten zu stehlen. 

Anbieter von NGAV-Lösungen und -Diensten entwickeln die Technologie in der Regel so, dass sie schnell eingeführt werden kann und so funktioniert, dass die Leistung von Netzwerksystemen oder Endpunkten nicht beeinträchtigt wird. 

NGAV vs. traditionelle AV

Wenn wir über NGAV sprechen, spielen die letzten beiden Buchstaben kulturell gesehen immer noch eine große Rolle. Der Begriff „Antivirus“ ist seit Jahrzehnten Teil der computergestützten Gesellschaft. Also lohnt es sich, die Frage zu stellen: Was genau sind die Unterschiede zwischen einem modernen NGAV und der traditionellen Auffassung von AV?

AV konzentriert sich in erster Linie auf den Schutz des Endpunkts und/oder die schnelle Entfernung eines betroffenen Geräts, das möglicherweise Teil einer größeren kritischen Infrastruktur ist und so möglicherweise größere Störungen bei nicht betroffenen Geräten verursacht. Dies könnte dazu führen, dass ein Unternehmen einen erheblichen finanziellen und Reputationsschaden erleidet.

NGAV geht über diese herkömmlichen AV-Prozesse hinaus und blockiert verschiedene Angriffe – einschließlich dateiloser Malware – im gesamten Endpunkt-Ökosystem. Das Hauptziel von NGAV besteht darin, Angriffe auf kritische Endgeräte im gesamten Netzwerk zu erkennen und zu verhindern. Und nicht nur das: Durch ML- und KI-Lernen kann es dazu beitragen, Ausweichmanövern einen Riegel vorzuschieben. Mehr Erkennungstechnologie wird das Problem von Malware und anderen Bedrohungen nicht lösen. Es ist vielmehr eine intelligentere, auf Prävention ausgerichtete Erkennung, die Angreifer in die Defensive drängt.

Ein letzter wichtiger Unterschied konzentriert sich auf das zuvor erwähnte Konzept des Lernens. Herkömmliche Virenschutzprogramme können einen Endpunkt stark belasten, was bedeutet, dass sie nicht wirklich in der Lage sind, sich an das einzigartige Verhalten eines Systems anzupassen. Sie sind, was sie sind, und das ist alles, was sie jemals sein werden. Ein NGAV hingegen kann aus früheren Verhaltensweisen der Endpunkte, Systeme und Netzwerke, auf denen es installiert ist, lernen. Aus diesem Grund ist sie so gut darin, Ausweichmanöver zu erkennen und Bedrohungen viel früher in der Killchain zu blockieren, als dies bisher möglich war.

Welche Vorteile bietet NGAV? 

Die Vorteile von NGAV im Vergleich zu herkömmlicher AV sind zahlreich und können das Network Detection and Response (NDR)-Programm eines Unternehmens beschleunigen.

Bedrohungen früher verhindern 

Um sich gegen moderne Bedrohungen zu behaupten, müssen Unternehmen und Sicherheitsorganisationen versuchen, den Einsatz von Technologien bösartiger Akteure zu überbieten, die die Leistung von NGAV (Next-Generation Antivirus) beeinträchtigen. Dazu gehört das frühzeitige Blockieren bekannter und unbekannter Bedrohungen in der Killchain, das Unterbinden des Zugriffs auf Endgeräte und Deep-Systems oder sogar das vollständige Verhindern des Netzwerkzugriffs . Herkömmliche Antivirensoftware verwendet in der Regel signaturbasierte Erkennungsmethoden, während NGAV eine Kombination aus signaturbasierter Erkennung, künstlicher Intelligenz (AI) und maschinellem Lernen (ML) einsetzt, um die Taktiken, Techniken und Verfahren (TTPs) aufzudecken, die von heutigen Angreifern verwendet werden.

Sichtbarkeit am Endpunkt gewinnen 

Wie bereits erwähnt, verleihen ML und KI den NGAV-Lösungen die Fähigkeit, sich an bestimmte Verhaltensweisen in den Systemen anzupassen, die sie schützen sollen. Dies hilft Analysten, ein tieferes Verständnis ihrer Endpunkte und Netzwerksysteme zu erlangen, damit sie sich gegen Bedrohungen verteidigen und bessere Schutzmaßnahmen auf der Grundlage von Telemetriedaten entwickeln können, die auf bevorstehende Angriffe hinweisen könnten.

Ergebnisse schnell anzeigen

NGAV-Lösungen sind im Allgemeinen als leichte Zusatztechnologie konzipiert, die den Systembetrieb – und damit die Produktivität des Sicherheitspersonals – nicht verlangsamt. Sie verfügt in der Regel über einen geringen Platzbedarf, kann schnell bereitgestellt werden, liefert wichtige Erkenntnisse und ermöglicht eine schnellere mittlere Reaktionszeit (MTTR) mit Aktionen wie der automatisierten Asset- und Prozesseindämmung.

Traditionelle AV weiterentwickeln 

Mit niedrigeren Betriebskosten, effizienteren Bedrohungsinformationen und Erkennungsfunktionen sowie einer umfassenden Abdeckung sind NGAV-Lösungen in der Regel ideal für Sicherheitsexperten, die eine weitere Konsolidierung des gesamten Technologie-Stacks anstreben. Als Mehrwert für eine bestehende Erkennungs- und Reaktionslösung (D&R), über die ein Unternehmen möglicherweise bereits verfügt, kann NGAV das Aufbrechen von Silos zwischen Sicherheitsverfahren beschleunigen. Dies kann ein Produktivitäts-, Effizienz- und Wachstumstreiber für Security Operations Center (SOCs) sein, die bereits stark ausgelastet sind.

NGAV-Lösung: Fragen, die Sie berücksichtigen sollten

Wie bei jeder Lösung – vor allem beim Kauf einer Lösung innerhalb einer Kategorie, die den Modebegriff „Next Gen“ im Namen trägt – gibt es viele Optionen und potenzielle Anbieter. Sie sollten also wissen, wie Sie einen Anbieter finden, der eine NGAV-Lösung an Ihre einzigartige Umgebung anpassen kann.

  • Wie verwenden Sie Ihre aktuelle(n) AV-Lösung(en)? Im Mittelpunkt dieser Frage steht die Strategie. Gibt es ein System oder einen Plan für den Einsatz von AV-Lösungen und was genau sollen sie schützen? Wenn eine standardmäßige Unternehmens-AV-Lösung nicht ordnungsgemäß zum Schutz des Systems konzipiert ist, auf dem sie ausgeführt wird, muss Ihr Unternehmen möglicherweise eine Neukalibrierung durchführen. 
  • Wie hoch ist der Wartungsaufwand für AV an jedem Endpunkt? Wie auf dieser Seite ausführlich beschrieben, geht eine moderne NGAV-Lösung über den Endpunkt hinaus, um Angriffen zuvorzukommen, bevor sie einzelne Systeme erreichen. Die Aufrechterhaltung des Betriebs von AV auf diversen Endpunkten (Hunderten? Tausenden?) nutzt nicht die Vorteile der durch KI und ML ermöglichten Vorhersageeffizienz von NGAV.
  • Wie viel Einblick haben Sie in aktuelle Endpunktevents? Ein kompetentes Team verfügt über einen guten Einblick in sein Netzwerk und die darin befindlichen Endpunkte. Die Frage ist, ob Sie von mehr profitieren und die Erkenntnisse, die Ihnen die Transparenz bringt, für eine bessere Planung und proaktive Verteidigung nutzen können. 
  • Wie wichtig sind niedrigere Betriebskosten für Ihren CISO? Die Antwort mag offensichtlich erscheinen, aber ganzheitliche Lösungen, die Silos aufbrechen und Fähigkeiten konsolidieren, tragen zunehmend zu einer Steigerung der Produktivität und zu niedrigeren Gesamtkosten im Vergleich zur Pflege von Produkten verschiedener Anbieter bei. Diese einzelnen Produkte mögen zwar effektiv sein, können aber im Zusammenspiel mit anderen maßgeschneiderten Lösungen unter dem Dach eines Unternehmens zu einer stärkeren Belastung der innerbetrieblichen Ressourcen führen.
  • Wie ist der aktuelle Stand Ihres Cloud-Betriebs/Ihrer Sicherheit? Denken Sie daran, dass der ideale Zustand für den Einsatz einer NGAV-Lösung dann gegeben ist, wenn bereits ein funktionierender Cloud-Betrieb vorhanden ist. Auf diese Weise wird es möglich sein, die Lösung nahezu in Echtzeit zum Laufen zu bringen und fast sofort von den Vorteilen zu profitieren.

Mehr erfahren

Antivirus: Aktuelles aus dem Rapid7-Blog

Rapid7 Forschung: Verkapselung von Techniken zur Vermeidung von Viren (AV) im Metasploit-Framework

Verwandte Themen

Threat Hunting

Endpoint Security
Lesen

Endpunktsicherheit

Endpoint Security
Lesen

Intrusion Detection and Prevention Systems (IDPS)

Endpoint Security
Lesen

Digitale Forensik und Incident Response (DFIR)

Endpoint Security
Lesen
Weitere Themen anzeigen Weitere Themen anzeigen