MS Global Consulting
Image default
Elektronik und Computer

Alles wichtige über EDR Lösungen

Endpoints sind täglich genutzte Geräte wie Smartphones oder Laptops und ein begehrtes Angriffsziel. Die Verteidigung ist schwer und zeigen Sicherheitslücken. Im Jahre 2017 wurden durch den WannaCry-Angriff über 230.000 Endpoint auf der ganzen Welt attackiert.

Was bedeutet EDR ?

EDR erkennt schnell verdächtige Aktivitäten auf Laptops oder dem PC und kann zielführend darauf reagieren. EDR bietet direkt auf dem Endgerät einen sicheren Schutz und wendet nicht nur an der Netzwerkgrenze an, dies ist ein großer Unterschied zu andern Firewalls. Geprägt wurde der Begriff 2013 von Anton Chuvakin, einem Gartner-Analysten. Es beschreibt die Möglichkeit, verdächtige Aktivitäten tiefergreifend untersuchen zu können.

Ist EDR wichtig?

Unternehmen kämpfen mit Malware oder auch Advanced Persistent Threats – APTs , diese können von üblichen Sicherheitsprogrammen übersehen werden. Die Angreifer agieren geschickt und schaffen es, Intrusion-Detection-Systeme oder standardisierte Antiviren Programme zu umgehen. Sobald ein Gerät eine Netzwerkverbindung herstellt, läuft es Gefahr, Opfer eines Cyberangriffes zu werden.

Durch das Sicherheitskonzept können gut getarnte Bedrohungen erkannt und behandelt werden, auch wenn diese zum ersten mal gesichtet wurde. In der Regel verwenden EDR Programme, Verhaltensanalysen und Baselining um in Echtzeit auch verdächtige Aktivitäten reagieren zu können.

Im Vergleich zu anderen Sicherheitslösungen ist Endpoint Detection und Response während und nach einer Attacke am hilfreichsten. Es liefert detailgetreue Informationen ab, wie der Cyberangriff es geschafft hat, die Schutzmaßnahme zu umgehen. Dadurch kann der Angriff bereits im Frühstadium erkannt und behandelt werden.

Die Funktionen

Die Funktionen können mit einer im Flugzeug enthaltenen Blackbox verglichen werden. EDR Plattformen nehmen ebenso kontinuierlich Daten auf und dokumentieren es in Protokollen.

Die Reihenfolge ist in der Regel wie folgt:

Endpoint nimmt Telemetrie auf

Telemetriedaten werden in einer Vielzahl durch die Endpoints aufgenommen. Dies wird ab und zu auf indirektem Wege erfasst, im Normalfall allerdings mit der Hilfe von Software-Agenten.

Telemetrie wird nach Erfassung an Plattform gesendet

Durch die einzelnen Agenten werden die Daten an die meist Cloud-basierte Plattform gesendet, die durch die Anbieter bereitgestellt werden. Die lokale Hybrid-Cloud-Implementierung kann von Unternehmen mit speziellen Compliance Anforderungen genutzt werden.

Analyse der Daten

Viele EDR Programme können normales Benutzerverhalten erlernen und Anomalien erkennen. Sie können die Daten auch hinweg über etliche Quellen korrelieren .

Verdächtige Aktivitäten markieren und reagieren

Bei jeder negativen Aktivität wird eine Warnung erzeugt und dementsprechend überprüft. Es kann auch direkt auf eine potenzielle Bedrohung reagiert werden, indem das Gerät vom Netzwerk isoliert wird und somit die Verbreitung der Malware verhindert wird.

Daten werden für die Zukunft gespeichert

Die Daten zu speichern ist wichtig. Dank der Speicherung kann bei einem neuen Angriff in den alten Daten geschaut werden, ob es in der Vergangenheit schon einmal zu einem unentdeckten Angriff kam.

Diese Sicherheitslösung hat viele Funktionen, unverzichtbare Kernelemente sind:

Eine rollenbasierte Konsole mit Benachrichtigungs- und Berichtsfunktion

Leistungsfähige Reaktions- und Analysefunktion mit automatisierter Forensik bei Bedrohungen

EPP Suit in Form von Exploit, Phishing und Malware Schutz

Globale Unterstützung der Unternehmen im Bezug auf Datensicherheit

Die Möglichkeit, Daten an den Anbieter des Securityservice weiterzugeben, um mithilfe des Sicherheitsteams die Kapazitäten zu verstärken

Unterstützung aller im Unternehmen verwendeten Betriebssysteme

Risiken können durch Präventivmaßnahmen gemindert werden

Integration mehrerer Sicherheitslösungen

Vorteile

Die Lösung bietet umfassende Transparenz, indem die Verbindung zwischen den Prozessen, dem Benutzerverhalten und der Netzwerkverbindung jederzeit überprüft werden kann sowie einen umfassenden Überblick bietet. Bedrohungen werden fortschrittlich erkannt und Details können in großem Umfang erfasst werden.

Wichtige Tipps

Für die Nutzung werden spezialisierte Fachkräfte benötigt. Ebenso sollte der Anbieter an die Anforderungen des Unternehmens angepasst werden. Die Software sollte als Ergänzung nicht als Ersatz dienen. Der Fokus sollte immer auf den Endpoints liegen.