Was ist EDR und wie passt es in Ihre Sicherheitsstrategie?

Wie EDR in Ihre Sicherheitsstrategie passt

Bereits 2013 hatte Anton Chuvakin von Gartner eine Reihe neuer Sicherheitslösungen benannt, mit denen verdächtige Aktivitäten auf Endpoints aufgespürt werden können.

Nach dem, was er „einen langen qualvollen Prozess nannte, der viele Gespräche mit Anbietern, Unternehmen und anderen Analysten beinhaltete“, kam Chuvakin auf diesen Satz: Erkennung und Reaktion von Endpointbedrohungen.

Seitdem wurde dieser Spitzname auf „Endpoint Detection and Response“ oder EDR abgekürzt. Mit zunehmendem Namen wurde der Markt jedoch größer. Tatsächlich prognostiziert Gartner jetzt, dass der globale EDR-Raum mit einer durchschnittlichen jährlichen Rate von 45,3 Prozent wachsen wird Bis 2020 wird es einen Wert von satten 1,5 Milliarden US-Dollar haben.

Lassen Sie uns in diesem Sinne einen Schritt zurücktreten und den Platz von EDR in Ihrer gesamten Cybersicherheitsstrategie sowie die Lücken bewerten, die es einfach nicht schließen kann.

Die Rolle von EDR in der Cybersicherheit

Während andere Sicherheitslösungen verwendet werden, um Bedrohungen zu verhindern, dreht sich bei EDR alles um Sichtbarkeit. Mit einem effektiven EDR-Tool können Sie sich darauf konzentrieren, verdächtige Aktivitäten auf Endpoints zu erkennen und zu untersuchen, damit Sie schneller auf Angriffe reagieren können.

EDR installiert einen Lightweight Agent auf jedem Endpoints. Der Agent überwacht dann Ereignisse, um nach Aktivitäten zu suchen, die möglicherweise böswillig sind oder mit einem bekannten Angriffsindikator übereinstimmen. EDR sendet Telemetrie an ein zentrales Managementsystem, das vor dem Senden einer Warnung automatisch Analysen und Korrelationen durchführt.

Von dort aus muss ein Analyst die Warnung untersuchen, um Details zum Angriff zu ermitteln, oder alternativ feststellen, ob es sich bei dem Angriff um einen Fehlalarm handelt. Basierend auf diesen Informationen entwickelt der Analyst eine angemessene Antwort.

Im Gegensatz zu EPP-Tools (Endpoint Protection), die sich darauf konzentrieren, Angriffe zu stoppen, sollte EDR als eine Lösung angesehen werden, mit der Sie Ihre Reaktion nach einem Verstoß effektiver verwalten können. Tatsache ist, dass keine Sicherheitsmethode 100% effektiv ist; Es geht nicht darum, ob Ihre Verteidigung verletzt wird, sondern wann. Mit EDR können Sie Zeiten erkennen, in denen Sie früher verletzt wurden, um mögliche Schäden zu mindern.

Die Vorteile von EDR umfassen:

• Sichtbarkeit: EDR bietet Echtzeit-Sichtbarkeit Ihrer Endpoints, damit Sie böswillige Aktivitäten schnell erkennen können

• Verhaltensschutz: Im Gegensatz zu Tools, die nur bekannte Bedrohungen überwachen, kann EDR Ihnen helfen, verdächtige Aktivitäten zu erkennen, die auf einen unbekannten Bedrohungstyp hinweisen können

• Einblick: EDR kann dazu beitragen, mehr Kontext für einen Angriff bereitzustellen, sodass Sie Ihre Reaktion anpassen können

• Korrekturgeschwindigkeit: EDR kann Ihnen dabei helfen, Ihre Untersuchung zu beschleunigen, damit Sie den Schaden, den ein Verstoß Ihrem Unternehmen zufügt, begrenzen können.

EDR ist nicht so einfach wie Sie denken

Während EPP-Tools nur bekannte Bedrohungen identifizieren und blockieren können, erkennt EDR abnormale Aktivitäten auf Endpoints – vorausgesetzt, auf diesen Geräten werden EDR-Agenten ausgeführt -, wodurch Sie eine bessere Chance haben, unbekannte Malware-Stämme bei Zero-Day-Angriffen zu erkennen.

Der Gartner-Analyst Avivah Litan sieht jedoch einen Rückschlag bei seiner Einführung: seine Komplexität.

„Die EDR-Funktionalität muss allgemeiner, proaktiver und einfacher zu bedienen und zu bedienen sein, bevor die Produktakzeptanz ihr volles Potenzial entfalten kann“, schrieb Litan.

Dies ist besonders problematisch für kleine und mittlere Unternehmen (KMU), denen häufig die interne Sicherheitskompetenz für die Verwaltung von EDR fehlt. Bevor KMU EDR richtig einsetzen können, benötigen sie Sicherheitsingenieure, die wissen, wie sie ihr volles Potenzial ausschöpfen können.

Nicht der einzige Spieler in Ihrem Team

EDR ist ein Teamplayer mit einer Schlüsselrolle bei der Erkennung anomaler Aktivitäten auf einem Endpoint. Es ist jedoch völlig blind für bestimmte Indikatoren eines Netzwerkkompromisses. Angenommen, ein Kennwort für eine Datenbank wurde gestohlen, sodass sich ein Hacker anmelden und persönliche Informationen aus der Ferne filtern kann. Derzeit kann EDR nichts tun.

Dies ist besorgniserregend, wenn man bedenkt, dass die Anwendungsschicht eine zunehmende Anzahl von Angriffen verursacht, wobei Hacker durch SQL-Injektionen, Zero-Day-Schwachstellen und andere Formen von webbasierten Angriffen eindringen. Diese gehen über den Rahmen von EDR hinaus.

Die richtige EDR-Lösung finden

Es gibt viele EDR-Lösungen auf dem Markt, jede mit ihren eigenen Stärken und Schwächen. 

Bei der Prüfung von Optionen ist es wichtig, die Einschränkungen von EDR zu kennen.

EDR funktioniert nur für Endpoints, auf denen ein EDR-Agent ausgeführt wird. Dies bedeutet, dass Sie andere Tools zur Überwachung Ihres Netzwerks und Ihrer Cloud-Dienste benötigen. Dies bedeutet auch, dass viele Ihrer Endpoints nicht abgedeckt werden, z. B. Drucker, Appliances, Netzwerkgeräte und nicht unterstützte Endpoints wie Mobiltelefone, Anbietersysteme, IoT-Geräte oder unerwünschte virtuelle Maschinen.

Dies macht einen eigenständigen EDR-Dienst am besten für Unternehmen geeignet, die bereits über eine starke Cloud- und Netzwerksicherheit verfügen, jedoch einen verbesserten Endpointschutz benötigen.

Aufgrund der Komplexität von EDR ist es jedoch möglicherweise keine geeignete Lösung für ein Unternehmen, das keine dedizierten Sicherheitsexperten für Mitarbeiter hat, die Warnungen schnell überprüfen und auf Bedrohungen reagieren können.

Betrachten Sie verwaltete Erkennungs- und Reaktionslösungen

Eine MDR-Lösung (Managed Detection and Response) geht über Endpoints hinaus und bietet eine mehrdimensionale Überwachung von Endpoint-, Netzwerk- und Cloud-Workloads. Mit dieser ganzheitlichen Übersicht können Sie Bedrohungen besser identifizieren und darauf reagieren, unabhängig davon, woher sie stammen.

Ein Security Operations Center (SOC) als Service wie das von Arctic Wolf bietet eine 24-Stunden-Überwachung aller Ihrer Ressourcen. Es verfügt über erfahrene Sicherheitsteams, die Ihr Unternehmen kennen und benutzerdefinierte Warnungen und Berichte bereitstellen können. Auf der anderen Seite kann eine EDR-Lösung nicht alles überwachen, was Sie benötigen, und kann nicht das Fachwissen bereitstellen, das erforderlich ist, um eine Antwort zu leiten, sobald ein Verstoß festgestellt wurde.

Es ist auch wichtig, Ihre regulatorischen und Data Governance-Anforderungen zu berücksichtigen. Wenn Ihr Unternehmen eine Protokollaufbewahrung benötigt, wird EDR Ihre Anforderungen wahrscheinlich nicht erfüllen. MDR kann jedoch alle Ihre Protokolldaten aus vorhandenen Netzwerken, Systemen und Anwendungen speichern, sodass Sie die Einhaltung gesetzlicher Anforderungen wie PCI-DSS, HIPAA und FFIEC nachweisen können.

Mit anderen Worten, EDR kann es nicht alleine schaffen.

Was Sie benötigen, ist eine 360-Grad-Sichtbarkeit über Endpoints sowie über Ihre Netzwerk- und Cloud-Umgebung hinweg – zusammen mit dem erforderlichen Sicherheitskompetenz, um Ihre Reaktion zu steuern.