Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Endpoint Detection and Response (EDR): Alles, was Sie wissen müssen

Geschrieben von Michael Buckbee | Aug 10, 2018 12:02:00 PM

Endgeräte sind ein bevorzugtes Ziel von Angreifern – sie sind weit verbreitet, weisen häufig Sicherheitslücken auf und sind schwierig zu schützen. Der WannaCry-Angriff im Jahr 2017 zum Beispiel hat Berichten zufolge über 230.000 Endgeräte weltweit getroffen.

Was ist Endpoint Detection and Response (EDR)?

Endpoint Detection and Response (EDR)-Plattformen sind Lösungen zur Überwachung von Endgeräten (Computern im Netzwerk, nicht des Netzwerks selbst) im Hinblick auf verdächtige Aktivitäten.

Erdacht vom Gartner-Analysten Anton Chuvakin im Jahr 2013 konzentrieren sich EDR-Lösungen auf die Geräte der Endbenutzer: Laptops, PCs und Mobilgeräte.

Warum ist EDR wichtig?

Jedes mit einem Netzwerk verbundene Gerät stellt einen potenziellen Angriffsvektor für Gefahren aus dem Internet dar, und jede dieser Verbindungen ist ein potenzielles Einfallstor zu Ihren Daten. Durch die Verbreitung von BYOD-Regelungen ist die Gefahr von Datenschutzverletzungen über Angriffe auf Mobilgeräte und ausgeklügelte Hacking-Techniken noch weiter gewachsen.

EDR-Lösungen helfen, diese Zugangspunkte zu Ihrem Netzwerk zu schützen, indem Sie die Endgeräte auf zahlreiche moderne Bedrohungen überwachen, die Virenschutzprogramme nicht erkennen können.

EDR-Lösungen berücksichtigen beim Schutz auch Advanced Persistent Threats (APTs), bei denen häufig Malware-freie Hacking-Techniken und Sicherheitslücken genutzt werden, um Zugriff auf ein Netzwerk zu erlangen. Ältere Virenschutzprogramme können Malware nur entdecken, wenn es eine passende Signatur gibt. Sie können jedoch nicht anhand der Überwachung von Aktivitäten ermitteln, ob ein Netzwerk von einem Angreifer infiltriert wurde.

Endpoint Security-Lösungen sind keine reine Unternehmenssoftware. Es sind auch Versionen für Privatanwender im Umlauf. Zu den Unterschieden der Endpoint Security-Lösungen für Verbraucher und Unternehmen gehören unter anderem:

  • Remote-Management und zentrale Speicherungen:
    • Enterprise-Lösungen bieten üblicherweise Remote-Management-Optionen an, mit denen die Sicherheitsadministratoren die richtigen Einstellungen konfigurieren können. Jedes Endgerät sendet Audit-Daten zur Überprüfung und Analyse an ein zentrales Repository.
    • Privatanwender benötigen derartige zentralisierte Administrationsmöglichkeiten nicht.
  • Automatische Updates vs. verteilte Patches:
    • Unternehmen müssen möglicherweise Change-Management-Verfahren beachten, denen zufolge das Unternehmen die Verteilung von Patches auf bestimmte Fenster beschränken muss.
    • Privatpersonen gestatten es ihren EDR-Lösungen üblicherweise, Updates automatisch in Abhängigkeit des Release-Plans des Anbieters einzuspielen.

Neun Elemente von EDR-Lösungen

Endpoint Detection and Response-Lösungen können zahlreiche Funktionen umfassen – es gibt aber eine Gruppe von Kernelementen, die für EDRs unverzichtbar sind:

  1. Konsolenbenachrichtigungen und -berichte: Eine rollenbasierte Konsole, die Aufschluss über den Sicherheitsstatus des Unternehmens bietet.
  2. EDR Advanced Response: Leistungsfähige Analyse- und Reaktionsfunktionen in EDR-Lösungen, einschließlich Automatisierung und detaillierte Forensik bei Sicherheitsereignissen.
  3. EDR-Kernfunktionen: Die Funktionen, mit denen Risiken und Sicherheitslücken auf Endgeräten erkannt und gemeldet werden.
  4. EPP Suite: Basisfunktionen in früheren Generationen von Endpoint Security-Programmen wie z. B. Malwareschutz, Phishing-Abwehr und Exploit-Abwehr.
  5. Geografischer Support: Die Fähigkeit eines Anbieters, Unternehmen mit weltweit verteilten Standorten zu unterstützen
  6. Managed Services: Die Fähigkeit der EDR-Lösung, Daten an einen Anbieter von Managed Security Services oder Managed Detection and Response weiterzugeben, der die Kapazitäten des Sicherheitsteams zusätzlich verstärkt.
  7. Betriebssystemunterstützung: Um seinen Zweck zu erfüllen, muss die EDR-Lösung alle Betriebssysteme unterstützen, die in Ihrem Unternehmen verwendet werden.
  8. Prävention: Eine Gefahr nur zu erkennen, ist nicht genug. Wirkungsvolle EDR-Lösungen müssen auch Präventivmaßnahmen anbieten, mit denen Risiken gemindert und die Teams einsatzbereit gemacht werden.
  9. Integration externer Lösungen: Für eine umfassende Datensicherheitsstrategie müssen häufig mehrere Produkte ineinander integriert werden. EDR-Lösungen sollten APIs oder interne Integrationsschnittstellen für andere Programme aufweisen, um ein mehrstufiges Sicherheitssystem zu vervollständigen oder umzusetzen.

Endpoint Security vs. AV-Software

Wie in der vorstehenden Liste dargelegt, ist der Malware-Schutz weiterhin eine Schlüsselkomponente von EDR-Lösungen. Virenschutzsoftware älterer Generationen erkennen Bedrohungen anhand einer Signatur, die sie im Voraus benötigen, um die Malware identifizieren zu können. Die nächste Generation von EDR-Lösungen beinhaltet prädiktive Analysen und fortschrittliche Bedrohungserkennung, um die Benutzer besser zu schützen.

Zusätzliche Funktionen von EDR-Lösungen, die herkömmliche Virenschutzprogramme nicht zu bieten haben, sind unter anderem:

  • Malware-Entfernung auf der Grundlage passender Signaturen und Analysen
  • Schutz vor Spyware
  • Lokale Firewall
  • Intrusion Detection- und Intrusion Prevention-Warnsysteme
  • Anwendungskontrollen und Benutzerverwaltung
  • Datenkontrollen, auch für Mobilgeräte
  • Vollständige Laufwerksverschlüsselung
  • Schutz vor Datenlecks
  • Anwendungssteuerung über Whitelists

Eine EDR-Lösung schützt zwar die Endgeräte in Ihrem Netzwerk, sie ist jedoch im Hinblick auf die Art der Aktivitäten, die sie überwachen kann, und der Malware- oder Cyber-Angriffe, die sie erkennen kann, limitiert. Varonis ist darauf ausgelegt, Unternehmensdaten vor Zero-Day-Angriffen auch jenseits der Endgeräte zu schützen, indem die Perimetertelemetrie mit Dateiaktivitäten und Benutzerverhalten in ihren zentralen Datenspeichern in Zusammenhang gesetzt wird.

Einige Verhaltensweisen können auf dem Endgerät ganz normal aussehen – z. B. wenn sich ein Benutzer mit einer gültigen ID und einem gültigen Passwort anmeldet – und würden deshalb in einer reinen EDR-Lösung keine Warnsignale auslösen. Wenn diese Anmeldung allerdings innerhalb einer sehr kurzen Zeitspanne von mehreren Standorten aus erfolgt, könnte sie verdächtig sein. Varonis DatAlert und Edge analysieren Dateiaktivitäten, Benutzerereignisse und Perimetertelemetrie, um ungewöhnliches Verhalten mit zusätzlichen Kontextinformationen zu identifizieren: Zunächst harmlos wirkende Aktivitäten werden im Zusammenhang betrachtet, um einen Gesamteindruck zu gewinnen.

Lassen Sie sich zeigen, wie EDR und Varonis zusammenarbeiten können – indem Sie hier klicken, und erfahren Sie anhand einer detailgetreue Demo, wie eine mehrstufige Sicherheitsstrategie in Ihrer Umgebung funktioniert.
Vollständigen Beitrag anzeigen