EDR wird „demokratisiert“

Angriffsabwehr für alle

1. Oktober 2020, 7:00 Uhr | Herbert Mayer/wg
Integrierte EDR-Lösungen sorgen für Prävention schon am Anfang der Angriffskette.
© Bild: Bitdefender

Golfspielen, Gourmetprodukte, Großbildfernseher: Was früher Luxus war, ist heute Massenphänomen. Diese Entwicklung gibt es auch bei Endpoint Detection and Response (EDR), also bei Lösungen, die darauf abzielen, Sicherheitsvorfälle bei Endgeräten aufzuspüren und Angriffe abzuwehren. EDR ist jetzt für kleine und mittlere Unternehmen verfügbar – und für große ein Muss.

EDR unterstützt IT- und Sicherheitsteams bei der Erkennung und Abwehr gezielter und komplexer Bedrohungen. EDR-Lösungen erweitern die Fähigkeiten der Endpoint-Sicherheitslösung, indem sie alle Informationen zu möglichen Bedrohungen zusammenstellen. Sie bieten Transparenz von und nach Angriffen. Des Weiteren sind sie unverzichtbar für Untersuchungen, die Ursachenanalyse, Bedrohungssuche und -behebung.

Der Einsatz von EDR war lange Organisationen vorbehalten, die erstens viel Geld in die Software investierten und die zweitens genug Personal hatten, um mit den Informationen wirklich etwas anfangen zu könen. Denn der allergrößte Teil der Meldungen der ersten EDR-Systeme waren Fehlalarme. Und die Sicherheitsanalysten konnten nicht unbedingt auf den ersten Blick die Spreu vom Weizen trennen: Die generierten Texte zu den Verdachtsfällen gaben nur begrenzt Aufschluss. Sie sagten möglicherweise nur, dass ein bestimmter Befehl von einer bestimmten Workstation unter einem bestimmten Benutzernamen ausgeführt wurde. Der Rest blieb akribische Detektivarbeit.

Im Gegensatz dazu sind heutige EDR-Lösungen bestrebt, durch Integration mit anderen Lösungen und Machine Learning die Fehlalarme auf ein Minimum zu reduzieren. Zudem geht es in modernen Systemen darum, aus allen Logs und Daten eine Angriffstechnik, zum Beispiel eine nicht-autorisierte Seitwärtsbewegung, abzuleiten („Technique Detection“).
Heutige EDR-Software stellt alle Schritte des Angriffsprozesses übersichtlich grafisch dar. So erhalten IT-Verantwortliche eine Zeitleiste der Ereignisse, die zu einem Angriff geführt haben, bis zurück zur ersten Phishing-Mail oder dem ersten Login mit gestohlenen Credentials.

Das Analystenhaus Forrester spricht in seinem neuesten EDR-Report [1] von einer „Demokratisierung“ von EDR. Diese neue Entwicklung treiben Lösungen, die erstens generell weniger kosten als jene, die bislang den Markt bestimmten, zweitens nicht an andere teure Produkte gekoppelt sind und drittens viel weniger Personalressourcen erfordern, um Bedrohungen hinterherzujagen. Die Analysten von Gartner [2] prognostizierten schon zuvor, dass bis Ende 2023 über die Hälfte aller Organisationen ältere Antivirus-Tools durch Kombinationen aus Endpoint Protection Platforms (EPP) und EDR ersetzen werden.

Angesichts der Vorschriften der DSGVO, die ausdrücklich die schnelle Erstellung eines detaillierten Berichts über festgestellte Datenschutzverletzungen verlangen, gibt es kaum noch Unternehmen, die auf EDR-Funktionalität verzichten können. Doch in kleineren und mittleren Unternehmen wird der Einsatz erst durch aktuelle Lösungen handhabbar, die man oft Next-Gen EDR oder Extended EDR (XDR) nennt. Wichtige Punkte für Sicherheitsverantwortliche in kleineren und mittleren Unternehmen bei der Auswahl sind erstens die Performance der Lösung, zweitens die Qualität der Endpunktanalyse, drittens die Prävention am Anfang der Angriffskette („Kill Chain“), viertens die Visualisierung und fünftens die Bedienerfreundlichkeit bei Analyse und Reaktion.

Betreibt man EDR als weitere Schicht der Sicherheitsarchitektur separat neben der Antivirenlösung, dem Anti-Exploit-Tool, Firewalls und sonstigen Agents auf den Hosts, so erhöht dies Komplexität und Verwaltungsaufwand. Zugleich kostet jeder Agent Rechenpower. Damit die Leistungseinbußen minimal bleiben, ist ein gemeinsamer Agent für Endpoint Security und EDR hilfreich.

In den heute üblichen virtuellen Umgebungen zahlt sich außerdem das zentrale Scannen aller virtuellen Endpunkte von einer eigenen virtuellen Maschine massiv aus: Es reduziert die Anzahl der Scanprozesse und schont auch die Prozessorleistung, sodass ein Unternehmen zum Beispiel deutlich mehr virtuelle Desktops pro Hypervisor betreiben kann. Zu guter Letzt ist die Integration von Endpoint Protection und EDR hilfreich, weil dann beide Lösungen „miteinander sprechen“ und Fehlalarme reduzieren.

Prävention

Die Formel professioneller Security-Gesamtlösungen lautet „Prevention, Investigation, Detection und Response“. Mehrschichtige Sicherheitslösungen – zum Beispiel mit integrierter verhaltensbasierter Erkennung, Sandboxing, Machine Learning und Prozessinspektion – leisten hervorragende Arbeit bei der Erkennung, Verhütung und Eindämmung von annähernd hundert Prozent aller Bedrohungen.Wenn eine integrierte Lösung am Anfang der Kill Chain präventiv viele Angriffe abwehrt oder sofort beendet, bevor ein Schaden entsteht, bleibt zur Detailuntersuchung per EDR nur noch ein Bruchteil der Gefahren übrig. Dies sind zum Beispiel neuartige Angriffe großer krimineller Organisationen oder staatlich unterstützter Player oder aber Insider-Angriffe und Identitätsdiebstähle. Durch diesen Ansatz bleibt eine wesentlich geringere Anzahl von Vorfällen, die eine manuelle Reaktion erfordern.

Ein wichtiger Fortschritt in neuen EDR-Lösungen ist die übersichtliche Visualisierung. Die Software muss erkannte Bedrohungen – gerade komplexe, mehrstufige Angriffe – mit allen kontextrelevanten Informationen darstellen, sodass die Administratoren die Auswirkungen einer Bedrohung in Sekundenschnelle beurteilen können. Eine gute Visualisierung ist die wichtigste Voraussetzung für eine schnelle Reaktionsfähigkeit. Administratoren können dann selbst schwer fassbare Bedrohungen beseitigen, indem sie zum Beispiel Schadcode löschen, Prozesse abbrechen oder verdächtige Vorgänge unter Quarantäne stellen und so die Ausbreitung eindämmen.

Laut der aktuellen Forrester-Wave-Studie zum Thema gehört dabei die Anwendung des Mitre Att&ck Frameworks zu den wichtigsten Aspekten. Die Herausforderung besteht darin, entlang der ganzen Kette von Ereignissen eines Angriffs, die das Mitre Att&ck Framework in 19 Schritten beschreibt, klare Informationen zu bieten. Hat ein EDR-System eine Angriffstechnik identifiziert, so lässt sich der Sicherheitsvorfall sehr viel schneller und leichter eindämmen. Wie gut das einzelnen Lösungen bei sehr komplexen Attacken gelingt, hat die Non-Profit Organisation Mitre im April in ihrem „Mitre Att&ck Evaluation Framework“ dargestellt [3].

Wenn es einen einheitlichen Software-Client für EPP und EDR gibt, der für alle Betriebssysteme und physische wie auch virtuelle Endpunkte funktioniert, hat das nicht nur Performance-Vorteile. Zusätzlich ermöglicht dies auch ein Management aus einem Guss. Sind dagegen eine Security- und eine EDR-Lösung auf dem Endpoint installiert, kommt zur „Alarmmüdigkeit“ nicht selten das Phänomen der Agenten- und Konsolenmüdigkeit hinzu: Angesichts der Fülle von Aufgaben gelingt es den IT-Mitarbeitern nut schwer, alle Agenten ausreichend zu prüfen und zu warten und den entsprechenden Management-Oberflächen genug Aufmerksamkeit zu schenken. Mit einem gemeinsamen Security-Agenten ist es möglich, alle für Sicherheits- und IT-Administratoren relevanten Informationen in einer einzigen zentralen Konsole anzuzeigen.

Anbieter zum Thema

zu Matchmaker+

  1. Angriffsabwehr für alle
  2. Schlüsselkomponente Relevanz

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu BitDefender GmbH

Weitere Artikel zu Bedrohungsabwehr

Weitere Artikel zu Diehl Aerospace GmbH Frankfurt

Weitere Artikel zu Gutmannsthal-Krizanits

Weitere Artikel zu Cryptome

Matchmaker+