Aktivitäten auf Endgeräten aufzeichnen, via Verhaltensanalyse klassifizieren und bei Bedrohungen reagieren? Kann das eine Endpoint Detection and Response-Lösung (EDR) zuverlässig leisten? Wir verraten, was die Kernelemente sind, warum KMUs mehr denn je von EDR profitieren und wie es Cyberangriffen auf die Schliche kommen kann.

 

Die digitale Welt ein Stück sicherer machen – das ist das Ziel des European Cyber Security Month (ECSM) im Oktober, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgerufen hat.

Auch Axians weiß um die Wichtigkeit, denn eine durchschnittliche IT-Abteilung muss nicht nur im Oktober, sondern ständig Tausende von Endgeräten im eigenen Netzwerk überwachen: Desktops und Server, Laptops, Tablets, Smartphones, Geräte für das Internet der Dinge (IoT), den Nutzer selbst und vieles mehr. Und da jeder Endpunkt ein potentielles Einfallstor für Angriffe sein kann, kommt es auch mehr denn je auf deren Sicherheit an.

Was leistet Endpoint Detection and Response?

Antiviren-Lösungen identifizieren und blockieren Malware anhand von Signaturen. Dazu müssen die Angreifer bekannt sein. Aber es tauchen permanent neue Bedrohungen auf, die sich nur schwer enttarnen lassen: Dateifreie Malware (Fileless-Malware) operiert im Arbeitsspeicher und umgeht Signaturscanner. Auch polymorphe Malware und Zero-Day-Attacken sind akute Gefahren, die es abzuwehren gilt. Hinzu kommt die steigende Zahl an Endgeräten, die in einer digitalisierten Arbeitswelt nur noch zunehmen wird.

Endpoint Detection and Response (EDR) ist eine präventiv ausgerichtete Sicherheitslösung, die verdächtiges Verhalten und mögliche Schwachstellen frühzeitig entdecken kann. Dazu werden Nutzer-, Datei-, Prozess-, Registry-, Speicher- und Netzwerk-Vorgänge auf sämtlichen Endgeräten überwacht, aufgezeichnet und bewertet.

Proaktiver Ansatz für mehr Endgeräte-Sicherheit

EDR wird anhand der Installation eines Agenten auf den Endgeräten bereitgestellt. Die Verwaltung kann über ein Cloud-basiertes Software-as-a-Service-Portal aber auch über eine On Premises installierte Software erfolgen.

Alle Daten werden in einer zentralen Datenbank gespeichert und mit Hilfe von Threat-Intelligence zu möglichen Schwachstellen und Cybergefahren kombiniert. Das EDR klopft die kombinierten Daten dann via Verhaltensanalyse darauf ab, ob es Anzeichen für ein Eindringen Unbefugter von außen oder auch unzulässige interne Aktivitäten gibt. Ist das der Fall, kommt die Response-Komponente mit automatisierten Abläufen zum Einsatz.

Was sind die Kernelemente einer EDR?

Damit die EDR-Lösung eine integrierte Drehscheibe für die Sammlung, Korrelation und Analyse von Endgerätedaten wie auch Warnungen und Reaktionen auf unmittelbare Bedrohungen ist, kommen folgende Kernelemente zum Einsatz:

Agenten zur Sammlung von Endgerätedaten: Sie führen die Überwachung durch und sammeln Informationen über Prozesse, Verbindungen, Aktivitätsvolumen und Datenübertragungen in einer zentralen Datenbank.

Automatisierte Reaktion: Vorkonfigurierte Regelsätze können erkennen, wenn eingehende Daten auf Sicherheitsverletzungen hindeuten und eine automatische Reaktion auslösen ­– z. B. die Abmeldung des Endbenutzers oder das Senden einer Warnung an einen Mitarbeiter.

Analyse und Forensik: Ein EDR sollte sowohl Echtzeit-Analysen zur schnellen Diagnose von Bedrohungen als auch forensische Tools zur Bedrohungsaufklärung umfassen.

Darüber hinaus lassen sich EDR-Tools über Schnittstellen in andere Cyber-Security-Lösungen integrieren, um dabei zu helfen, alle Risiken auf den Endgeräten sichtbar zu machen.

Sandboxing und Machine Learning im EDR-Einsatz

Eine EDR-Software überwacht Endgeräte kontinuierlich mittels verschiedener Techniken und reagiert automatisch. Damit das möglich ist, werden die Kernfunktionen durch Technologien wie Sandboxing und Machine Learning  unterstützt.

Durch Sandboxing kann verdächtiges Verhalten in einer isolierten Umgebung untersucht werden,

während das Machine Learning Algorithmen zur Auswertung und Korrelation großer Datenmengen nutzt und nach Mustern sucht,

was die Erkennung abnormalen Verhaltens in nahezu Echtzeit möglich macht.

Im Grunde kombiniert eine moderne EDR-Lösung fortschrittliche Technologien wie Machine Learning, Sandboxing, Verhaltensanalyse und Big Data, um Bedrohungen schneller zu erkennen und die Gefahrensuche zu automatisieren.

Warum gerade KMUs von EDR profitieren können

Lange waren EDR-Lösungen großen Unternehmen mit umfangreichen Ressourcen und einem entsprechenden Security Operations Center (SOC) vorbehalten. Denn das Identifizieren verdächtiger Aktivitäten erfordert eine Menge Know-how. Doch gerade die Fortschritte im Bereich KI und des maschinellen Lernens machen es möglich, dass auch immer mehr KMUs von wirtschaftlichen EDR-Lösungen profitieren können.

Der Trend zeigt nach oben: Etablierte Hersteller und neue Marktteilnehmer vermelden starkes Wachstum im EDR-Bereich. In kleinen, mittleren und großen Unternehmen setzt sich langsam, aber sicher die Erkenntnis durch, dass es einen 100prozentigen Schutz nicht geben kann. Vielmehr besteht die wirksamste Lösung darin, möglichst frühzeitig alles über alle Bedrohungen auf allen Endgeräten zu erfahren. Endpoint Detection and Response hilft dabei.