Auf hoher Ebe­ne sam­meln EDR-Lösun­gen Daten von End­punk­ten, ver­wen­den die­se Daten, um poten­zi­el­le Sicher­heits­be­dro­hun­gen zu iden­ti­fi­zie­ren, und bie­ten hilf­rei­che Mög­lich­kei­ten, um die­se poten­zi­el­len Bedro­hun­gen zu unter­su­chen und dar­auf zu reagie­ren.
In der Ver­gan­gen­heit waren die­se Fähig­kei­ten größ­ten­teils gro­ßen Unter­neh­men vor­be­hal­ten, die es sich leis­ten konn­ten, Teams aus erfah­re­nen Sicher­heits­ana­lys­ten zu haben, die von einem Secu­ri­ty Ope­ra­ti­ons Cen­ter (SOC) aus ope­rie­ren. Das Sor­tie­ren von Daten­be­stän­den, das Iden­ti­fi­zie­ren ver­däch­ti­ger Akti­vi­tä­ten und das Ver­ständ­nis, wie man schnell auf Vor­fäl­le reagie­ren kann, erfor­der­te viel Zeit, Mühe und Fach­wis­sen.
Um die­se Funk­tio­nen zugäng­li­cher zu machen, haben Sicher­heits­an­bie­ter an der Ein­füh­rung von EDR-Ange­bo­ten gear­bei­tet, die weni­ger kom­plex sind und sich mehr auf opti­mier­te Arbeits­ab­läu­fe und Auto­ma­ti­sie­rung kon­zen­trie­ren. Das Ziel die­ser „EDR Lite“-Lösungen ist es, die Ein­tritts­bar­rie­re zu sen­ken und EDR-Fähig­kei­ten in ein Markt­seg­ment zu brin­gen, das sie drin­gend benö­tigt: KMUs.

Grund­funk­tio­nen von EDR
EDR schützt nicht selbst vor Angrif­fen und Schäd­lin­gen, son­dern infor­miert, wenn die her­kömm­li­chen Schutz­me­cha­nis­men über­wun­den wur­den.

Detec­tion
• Echt­zeit­er­fas­sung und ‑ana­ly­se von End­punkt­da­ten und ‑ereig­nis­sen
• Pro­ak­ti­ve IOC-Suche und zusätz­li­che Unter­su­chungs­funk­tio­nen (Thre­at Hun­ting)

Respon­se
• Alar­mie­rung & Prio­ri­sie­rung
• Visua­li­sie­rung der Angriffs­ket­te, Ursa­chen­ana­ly­se
• Auto­ma­ti­sier­te Ant­wort-Work­flows (Iso­la­ti­on, Roll­back usw.)

EDR als Chan­ce
Erfolg­rei­che Cyber­an­grif­fe for­dern ihren Tri­but von KMUs. Es wer­den nicht nur mehr Unter­neh­men kom­pro­mit­tiert, die­se Kom­pro­mit­tie­run­gen wer­den auch immer kost­spie­li­ger.
Laut dem Pone­mon Insti­tu­te berich­ten sechs von zehn KMUs, dass die Angrif­fe, die sie sehen, geziel­ter, schäd­li­cher und aus­ge­klü­gel­ter gewor­den sind, wobei die durch­schnitt­li­chen Kos­ten eines Angriffs jetzt fast 3 Mil­lio­nen US-Dol­lar errei­chen. Der Inci­dent-Respon­se-Anbie­ter Cove­wa­re mel­det Aus­fall­zei­ten und Unter­bre­chun­gen, die durch den durch­schnitt­li­chen Ran­som­wa­re-Vor­fall ver­ur­sacht wer­den und 7,3 Tage dau­ern. Für vie­le klei­ne Unter­neh­men sind die Aus­wir­kun­gen ver­hee­rend.

Bes­se­re Sicht­bar­keit zur Erken­nung akti­ver Ein­dring­lin­ge
Der wah­re Wert von EDR besteht dar­in, dass es MSPs ermög­licht, ihre Wet­ten abzu­si­chern, davon aus­zu­ge­hen, dass Kom­pro­mis­se unver­meid­lich sind, und zuver­sicht­li­cher zu sein, wenn sie wis­sen, dass sie es wis­sen und schnell reagie­ren kön­nen, wenn ein Angriff durch­kommt.
Schnel­le Reak­ti­on zur Neu­tra­li­sie­rung von Bedro­hun­gen, bevor sie Scha­den anrich­ten kön­nen
Auto­ma­ti­sier­te Reak­ti­ons-Work­flows kön­nen sicher­stel­len, dass Bedro­hun­gen auto­ma­tisch iso­liert wer­den und dass betrof­fe­ne Res­sour­cen zurück­ge­setzt und in einen Zustand vor der Kom­pro­mit­tie­rung wie­der­her­ge­stellt wer­den.

Ver­bes­ser­ter Schutz vor den sich ent­wi­ckeln­den Bedro­hun­gen von heu­te
Die Mehr­heit der heu­ti­gen EDR-Lösun­gen wur­de durch Prä­ven­ti­ons­funk­tio­nen der „nächs­ten Genera­ti­on“ ergänzt – ein­schließ­lich durch maschi­nel­les Ler­nen unter­stütz­ter Datei­ana­ly­se, Ver­hal­tens­er­ken­nung und Explo­it-Min­de­rung – die es ihnen ermög­li­chen, neue und getarn­te Mal­wa­re zusätz­lich zu „datei­lo­sen“ Skrip­ten zu blo­ckie­ren oder spei­cher­ba­sier­te Bedro­hun­gen.

Pro­ak­ti­ve statt reak­ti­ve Sicher­heit
Anstatt ein­fach auf War­nun­gen zu war­ten, ermög­li­chen EDR-Tools Sicher­heits­dienst­leis­tern, pro­ak­ti­ve Suchen nach Bedro­hun­gen durch­zu­füh­ren, um mög­li­cher­wei­se vor­han­de­ne, aber unent­deck­te Bedro­hun­gen auszumerzen.

LinkedIn
Facebook
Instagram
Newsletter