Was ist Endpunkt-Bedrohungserkennung und -Isolierung?
- IAM-Glossar
- Was ist Endpunkt-Bedrohungserkennung und -Isolierung?
Endpoint Detection and Response (EDR), auch Endpoint Threat Detection and Response (ETDR) genannt, ist ein Überbegriff für eine Softwarelösung, die Endpunktgeräte, einschließlich Computer und Laptops von Endbenutzern, Servern, mobilen Geräten und IoT-Geräten, kontinuierlich überwacht, um Bedrohungsdaten zu sammeln und zu analysieren und Sicherheitsteams in Echtzeit auf Datenpannen aufmerksam zu machen.
Wie funktioniert EDR?
Da EDR ein sehr weit gefasster Begriff ist, variieren die spezifischen Merkmale und Fähigkeiten einzelner EDR-Lösungen stark zwischen Anbietern und sogar Implementierungen. Im Allgemeinen fallen Endpunkterkennungs- und Endpunktreaktionstools in eine der folgenden drei Kategorien:
- Eine eigene EDR-Plattform
- Eine Sammlung kleinerer Tools, die gemeinsam eine Endpunkterkennung und Endpunktreaktion durchführen
- Eine EDR-Funktion, die in ein anderes Sicherheitsprodukt integriert ist, z. B. eine Antivirensoftware der nächsten Generation. Einige Anbieter von Security Information and Event Management (SIEM) bieten EDR als Teil ihrer Pakete an.
EDR-Lösungen aggregieren Telemetrie von Endpunktgeräten, einschließlich Protokolle, Dateidetails, laufende Prozesse, Leistungsüberwachungen und Konfigurationsdaten. Außerdem analysieren sie diese, um potenzielle Bedrohungsmuster zu erkennen.
Die einfachsten EDR-Systeme sind reine Benachrichtigungstools. Sie sammeln, analysieren und zeigen Daten an, die von Mitarbeitern gelesen und bearbeitet werden können. Die Daten werden in einer zentralen Datenbank gespeichert und können meist in eine SIEM-Lösung eingespeist werden.
Fortgeschrittenere EDR-Systeme enthalten Funktionen wie:
- Automatisierte Reaktionsmechanismen, die bestimmte Korrekturmaßnahmen ergreifen können, wenn eine Bedrohung erkannt wird. Beispielsweise können sie Endbenutzer abmelden, gefährdete Prozesse stoppen oder das Endpunktgerät vollständig deaktivieren.
- Tools zur Reaktion auf Bedrohungen, die Ihrem Sicherheitspersonal zu verstehen helfen, was passiert, welche Geräte und Systeme betroffen sind, wie der Angriff gestoppt und wie zukünftige Angriffe verhindert werden können.
- Maschinelles Lernen und KI-gestützte Analysefunktionen, die Verhaltensanalysen verwenden, um Geräteaktivitäten in einen Kontext zu setzen sowie neue und aufkommende Bedrohungen zu identifizieren, einschließlich Bedrohungen, die nicht den vorkonfigurierten Regeln des EDR entsprechen. Hierzu kann zählen, dass anomales Verhalten dem kostenlosen MITRE-ATT&CK-Framework zugeordnet wird, um Muster zu erkennen.
- Forensische Tools, die Ihrem Sicherheitspersonal helfen, Zeitpläne zu erstellen, betroffene Systeme zu identifizieren und Beweise während der Reaktion und Analyse einer Datenpanne zu sammeln. Sicherheitspersonal kann auch EDR-Forensik-Tools verwenden, um proaktiv nach anderen, unentdeckten Bedrohungen in der Datenumgebung zu suchen.
Die bedeutung von EDR
EDR-Systeme werden immer beliebter aufgrund der explosionsartigen Zunahme von Endpunktgeräten, die mit Unternehmensnetzwerken verbunden sind, darunter Computer und Laptops sowie Telefone und IoT-Geräte. Kriminelle betrachten diese Geräte als „weiche Ziele“, durch die sie Netzwerke hacken können. Und sie verwenden immer ausgefeiltere Methoden und Malware, um sie anzugreifen.
EDR-Tools werden manchmal mit Antivirus-Lösungen verwechselt. Wahrscheinlich, weil viele EDR-Systeme entweder mit Antivirensoftware gebündelt sind oder Daten aus der Datenbank einer Antivirenlösung nutzen.
Antivirus-Software schützt Endgeräte jedoch nur vor bekannten Malware-Typen, die in der Produktdatenbank aufgeführt sind. Umgekehrt verwendet EDR intelligente Analysen, um neue und aufkommende Bedrohungen zu erkennen, wo Antivirensoftware versagt. Zu diesen Bedrohungen zählen z. B. dateilose Malware, Angriffe mit gestohlenen Zugangsdaten, Advanced Persistent Threats (APTs) und Malware, die so neu ist, dass sie noch in keiner Antivirus-Datenbank gelistet ist.
Antivirenlösungen liefern den Benutzern nur grundlegende Informationen, nämlich wie viele Bedrohungen und welche Art der Bedrohung von der Software in einem bestimmten Zeitraum blockiert wurden. EDR-Systeme hingegen zeichnen zusätzliche, äußerst wertvolle Kontextdaten zu Angriffen auf, z. B. Informationen über den Bedrohungsakteur. Ferner geben sie Einblicke in Trends, die Unternehmen zur Optimierung ihrer Sicherheitsstrategie verwenden können.
So verwenden unternehmen EDR
Neben der Erkennung von Bedrohungen, die andernfalls an Antivirenlösungen und anderen Sicherheitstools vorbeikommen würden, beschleunigen EDR-Systeme die Reaktion auf Datenpannen, helfen bei Abwehrmaßnahmen, bieten Sicherheitsteams einen vollständigen Einblick in das Endpunktverhalten in der gesamten Datenumgebung und ermöglichen eine proaktive Bedrohungssuche.
Eine aktive Rolle des Sicherheitspersonals bei der Endgerätesicherheit ist der Schlüssel zu einer erfolgreichen EDR-Bereitstellung. Neben der Nachverfolgung von EDR-Warnungen müssen Unternehmen über eine robuste Patch-Management-Strategie verfügen, um Endgeräte auf dem neuesten Stand zu halten. Software-Updates enthalten häufig wichtige Sicherheits-Patches, und wenn diese nicht rechtzeitig angewendet werden, kann dies die Sicherheit der Endgeräte ernsthaft gefährden.
Cloud-Fehlkonfigurationen sind ein weiteres häufiges Problem, das die Endpunktsicherheit beeinträchtigen kann. Die Transparenz, die EDR-Lösungen in Endpunktkonfigurationen bieten, hilft IT- und Sicherheitsteams, falsch konfigurierte Cloud-Einstellungen zu vermeiden. Ebenso verbessert eine ordnungsgemäß gewartete Cloud-Umgebung die Sicherheit von Endpunkten.