Endpoints – also Laptops, Smartphones und andere Geräte, die wir täglich nutzen – sind ein beliebtes Ziel für Angriffe. Sie sind überall vorhanden, anfällig für Sicherheitslücken und schwer zu verteidigen. Der WannaCry-Angriff im Jahr 2017 zum Beispiel hat Berichten zufolge über 230.000 Endpoints weltweit getroffen. Endpoint Detection and Response (EDR) ist eine schnell wachsende Kategorie von Lösungen, die darauf abzielen, tiefgreifendere Funktionen bereitzustellen als herkömmliche Antiviren- und Anti-Malware-Lösungen. In diesem Artikel erfahren Sie, was EDR ist und warum es wichtig ist. Wir gehen darauf ein, wie EDR-Sicherheitslösungen funktionieren, und untersuchen einige Best Practices für die Verwendung dieser Tools.
Als Endpoint Detection and Response (EDR, Endpoint-Erkennung und -Reaktion) wird eine Kategorie von Lösungen bezeichnet, die verdächtige Aktivitäten auf den PCs, Laptops und auf anderen Geräten eines Unternehmens erkennen und darauf reagieren. Der Begriff wurde 2013 vom Gartner-Analysten Anton Chuvakin geprägt, um aufkommende Plattformen zu beschreiben, die eine tiefgreifende Untersuchung verdächtiger Aktivitäten ermöglichen. EDR unterscheidet sich auch von anderen Sicherheitslösungen wie Firewalls, da es den Schutz direkt auf den Computern im Netzwerk und nicht an der Netzwerkgrenze anwendet.
Von Advanced Persistent Threats (APTs) bis hin zu dateiloser Malware sind Unternehmen heute mit einer Reihe von Cyber-Bedrohungen konfrontiert, die von herkömmlichen Sicherheitsprodukten leicht übersehen werden. Angreifer sind mittlerweile sehr geschickt darin, signaturbasierte Schutzmechanismen wie Antiviren-Software und Intrusion-Detection-Systeme (IDS) auszutricksen. Jedes Gerät, das eine Verbindung zu einem Netzwerk herstellt, ist ein potenzieller Angriffsvektor für Cyberbedrohungen. Und die steigende Verbreitung von mobilen Geräten und Remote-Arbeit untergräbt die Effektivität perimeterbasierter Verteidigungsmaßnahmen wie Firewalls.
EDR-Sicherheitslösungen kombinieren große Datenmengen, die von jedem Endpoint erfasst werden, mit kontextbezogenen Analysen, um gut getarnte Bedrohungen zu erkennen, die möglicherweise zum ersten Mal beobachtet werden. Die meisten EDR-Lösungen verwenden Baselining und Verhaltensanalysen, um potenziell verdächtige Aktivitäten zu erkennen, und viele können sogar in Echtzeit auf Ereignisse reagieren.
Im Gegensatz zu anderen Lösungen ist Endpoint Detection und Response während und nach einem Vorfall oft am wertvollsten. Die sehr detaillierten Informationen, die in EDR-Plattformen verfügbar sind, ermöglichen es Sicherheitsteams, zu ermitteln, wie eine Bedrohung die bestehenden Schutzmaßnahmen umgehen konnte. Die Echtzeitalarme der EDR-Lösung können einem Unternehmen helfen, die Frühstadien eines Angriffs zu erkennen und Maßnahmen zu ergreifen, um ein ausgewachsenes Datenleck zu verhindern. Wenn es zu einem Datenleck kommen sollte, sind die von solchen Plattformen angebotenen Funktionen eine große Hilfe bei der Untersuchung und Behebung.
Endpoint Detection and Response wird häufig mit dem Flugdatenrecorder (der „Blackbox“) verglichen, den man in Passagierflugzeugen findet – und das aus gutem Grund. So wie eine Blackbox kontinuierlich Telemetriedaten von den Flugsystemen eines Flugzeugs erfasst, nehmen EDR-Plattformen ständig Daten von Endpoints in Form von Ereignisprotokollen, Authentifizierungsversuchen, laufenden Anwendungen und mehr auf. Die Details können sich je nach Anbieter unterscheiden, aber im Allgemeinen funktionieren EDR-Sicherheitslösungen wie folgt:
Eine Vielzahl von Telemetriedaten wird von den Endpoints erfasst. Normalerweise geschieht dies mithilfe eines Software-Agenten, der auf jedem Endpoint installiert ist, aber in einigen Fällen kann die Telemetrie auch auf indirektem Wege erfasst werden.
Die Daten der einzelnen Endpoint-Agenten werden an eine zentrale Stelle gesendet, häufig eine Cloud-basierte Plattform, die vom EDR-Anbieter bereitgestellt wird. Branchen mit besonderen Compliance-Anforderungen können eine lokale oder Hybrid-Cloud-Implementierung nutzen.
Algorithmen und Machine-Learning-Technologien durchforsten die riesigen erfassten Datenmengen und heben mögliche Anomalien hervor. Viele EDR-Lösungen „lernen“, wie normales Benutzerverhalten und regulärer Endpoint-Betrieb aussehen. Daten können auch über mehrere Quellen hinweg korreliert werden, darunter auch andere Sicherheitsprodukte. Bedrohungsaufklärungs-Feeds werden häufig verwendet, um echte Beispiele für laufende Cyberangriffe zu liefern, die mit Aktivitäten innerhalb eines Unternehmens verglichen werden können.
Jedes Ereignis und jede Aktivität, die von der EDR-Plattform als verdächtig eingestuft wird, erzeugt eine Warnung, die von Sicherheitsanalysten überprüft wird. Die Automatisierungsfunktionen vieler EDR-Sicherheitslösungen können als Reaktion auf eine Bedrohung auch direkte Maßnahmen ergreifen. Beispielsweise kann die Lösung einen Endpoint vorübergehend vom übrigen Netzwerk isolieren, um die Verbreitung der Malware zu verhindern. Größere Bedrohungen können entsprechend mehr menschliches Eingreifen erfordern.
Die Datenspeicherung ist eine wichtige Funktion von Endpoint Detection and Response. Wenn neue Arten von Cyberangriffen entdeckt werden, können Sicherheitsteams dann ältere Daten durchforsten, um herauszufinden, ob sie möglicherweise Opfer eines bisher unbekannten Angriffs geworden sind. Archivdaten können auch für die aktive Bedrohungsjagd verwendet werden – im Wesentlichen werden dabei große Datenmengen auf die zu erwartenden bösartigen Aktivitäten untersucht.
Lösungen für Endpoint Detection and Response können zahlreiche Funktionen umfassen – es gibt aber gewisse Kernelemente, die für EDRs unverzichtbar sind:
EDR kann bei korrekter Verwendung eine Vielzahl von Vorteilen bieten. Dazu gehören u. a.:
Transparenz ist eine Kernkomponente aller EDR-Lösungen, und zwar sowohl vertikal als auch horizontal. Tiefgehende Transparenz bedeutet, dass man das Innenleben des Endpoints untersuchen und die Beziehungen zwischen Prozessen, Netzwerkverbindungen und Benutzerverhalten überprüfen kann. Gleichzeitig ist das EDR ein zentralisiertes System, und daher können Analysten einen umfassenden Überblick über die Sicherheitslage des Unternehmens erhalten und Muster auf Dutzenden, Hunderten oder sogar Tausenden von Endpoints erkennen.
Einer der wichtigsten Vorteile eines EDR ist die Kapazität, Bedrohungen zu erkennen, die sonst möglicherweise unbemerkt geblieben wären. Dazu gehören Zero-Day-Angriffe, Insider-Bedrohungen, fortschrittliche Hacking-Kampagnen und vieles mehr.
Die vielen Details, die von EDR-Lösungen erfasst werden, können die Reaktions- und Sanierungsmaßnahmen nach einem Sicherheitsvorfall erheblich vereinfachen. In der Vergangenheit hat ein Vorfallsreaktions-Team viel Zeit damit verbracht, Artefakte von verschiedenen Endpoints zu sammeln, um eine größere Sammlung an Beweisen zu erstellen. Das EDR sammelt und speichert diese Artefakte im Rahmen seines Normalbetriebs. Zentralisierte EDR-Konsolen und längere Datenspeicherungsfristen können zudem ein vollständigeres Bild eines Sicherheitsvorfalls liefern, als es sonst möglich wäre.
EDR-Produkte enthalten häufig robuste Automatisierungsfunktionen, und eine angepasste Integration ist oft durch die Verwendung einer API möglich. Da EDR-Agenten in der Regel auf allen Endpoints in einem Unternehmen installiert sind, können Untersuchungs- oder Reaktionsaktivitäten schnell und in großem Umfang eingeleitet werden.
Im Prinzip geht es bei EDR darum, Bedrohungen, die anderen Verteidigungsschichten entgangen sind, zu erkennen und auf sie zu reagieren. In der Praxis kombinieren jedoch viele Anbieter EDR-Funktionen mit anderen Arten von Sicherheitsfunktionen. Die meisten EDR-Produkte bieten denselben signaturbasierten Malware-Schutz wie herkömmliche Antivirensoftware. Endpoint Protection Platform (EPP) ist ein Begriff, der häufig für Produkte verwendet wird, die EDR, Antivirenschutz der nächsten Generation (NGAV, Next-Generation Anti-Virus) und andere Schutzarten in einer einzigen Software kombinieren. Zu den zusätzlichen Funktionen von EPP-Produkten können beispielsweise Host-basierte Firewalls, Kontrolle über die Geräteverschlüsselung, Schutz vor Datenverlust gehören.
EDR kann eine leistungsstarke Ergänzung zum gesamten Informationssicherheitsprogramm eines Unternehmens sein, erfordert aber eine sorgfältige Implementierung. Um den größtmöglichen Nutzen aus einer EDR-Investition zu ziehen, sollten Unternehmen die folgenden Punkte beachten:
In einem großen Unternehmen können EDR-Sicherheitslösungen täglich Zehntausende von Alarmen erzeugen. Viele davon können sich als Fehlalarme herausstellen. Um die Vorteile von EDR richtig nutzen zu können, müssen Unternehmen in menschliche Sicherheitsanalysten investieren, die den Sinn solcher computergenerierten Daten erkennen können. Das ist oft eine teure Investition, da qualifizierte Sicherheitsanalysten sehr gut bezahlt werden müssen. Für kleinere Unternehmen ist Managed Detection and Response (MDR) möglicherweise besser geeignet. Dabei handelt es sich um ein As-a-Service-Angebot, bei dem EDR mit menschlicher Analyse kombiniert wird.
Der Funktionsumfang – und die Kosten – eines EDR-Produkts können sehr unterschiedlich ausfallen. Unternehmen sollten viel Zeit investieren, um zu den Produkten mehrerer Anbieter zu recherchieren und zu gewährleisten, dass sie eine wirklich passende Wahl treffen. Bietet der Anbieter beispielsweise eine EDR-Lösung an, die gut mit den bereits verwendeten Betriebssystemen und Anwendungen kompatibel ist? Und wie lässt sich die Lösung mit anderen Sicherheitstools integrieren? Wenn man sich solche Fragen nicht im Vorfeld stellt, entscheidet man sich möglicherweise für eine schlecht passende Lösung, die die Vorteile von EDR schmälert.
Endpoint Detection and Response heißt nicht umsonst so; der Fokus liegt hier ausschließlich auf Endpoints. Einige Verhaltensweisen können auf dem Endpoint ganz normal aussehen – z. B. wenn sich ein Benutzer mit einer gültigen ID und einem gültigen Passwort anmeldet – und würden deshalb in einer reinen EDR-Lösung keine Warnsignale auslösen. Wenn diese Anmeldung allerdings innerhalb einer sehr kurzen Zeitspanne von mehreren Standorten aus erfolgt, könnte sie verdächtig sein. Varonis DatAlert und Edge analysieren Dateiaktivitäten, Benutzerereignisse und Perimetertelemetrie, um ungewöhnliches Verhalten mit zusätzlichen Kontextinformationen zu identifizieren: Zunächst harmlos wirkende Aktivitäten werden im Zusammenhang betrachtet, um einen Gesamteindruck zu gewinnen.
Eine EDR-Lösung schützt zwar die Endpoints in Ihrem Netzwerk, sie ist jedoch im Hinblick auf die Art der Aktivitäten, die sie überwachen kann, und der Malware- oder Cyber-Angriffe, die sie erkennen kann, begrenzt. Varonis ist darauf ausgelegt, Unternehmensdaten vor Zero-Day-Angriffen auch jenseits der Endpoints zu schützen, indem die Perimetertelemetrie mit Dateiaktivitäten und Benutzerverhalten in Ihren zentralen Datenspeichern in Zusammenhang gesetzt wird.
Erfahren Sie, wie EDR und Varonis zusammenarbeiten können – unter diesem Link können Sie eine detailgetreue Demo erhalten und sehen, wie eine mehrstufige Sicherheitsstrategie in Ihrer Umgebung funktionieren kann.