Endpunkterkennung und -reaktion (EDR) ist eine Endpunktsicherheitslösung, die Echtzeitüberwachung und die Erfassung von Endpunktsicherheitsdaten mit einem automatisierten Mechanismus zur Reaktion auf Bedrohungen beinhaltet.
Der Begriff „EDR“ wurde von Gartner zur Beschreibung einer Klasse neuer Sicherheitssysteme vorgeschlagen, die verdächtige Aktivitäten auf Hosts und Endpunkten erkennen und untersuchen. Dies kann durch eine Lösung mit hohem Automatisierungsgrad erreicht werden, die Sicherheitsteams benachrichtigt und schnelle Reaktionen unterstützt.
EDR-Systeme bieten fünf grundlegende Funktionen:
Moderne Sicherheitsteams setzen heutzutage auf EDR-Systeme. EDR-Lösungen schützen den digitalen Perimeter auf vielfältige Weise vor bekannten und neuen Bedrohungen sowie Sicherheitsproblemen.
Zunächst einmal erfassen EDR-Systeme detaillierte Überwachungsdaten und bieten so eine vollständige Sicht auf potenzielle Angriffe. Die kontinuierliche Überwachung aller Endpunkte – online und offline – erleichtert sowohl Analysen als auch Vorfallreaktion. Dies ermöglicht umfassende Analysen und bietet Sicherheitsexperten wichtige Erkenntnisse zu Anomalien und Schwachstellen eines Unternehmensnetzwerks. So können sie sich besser gegen zukünftige Cyberangriffe wappnen. Das Erkennen aller Endpunktbedrohungen geht über den herkömmlichen Virenschutz hinaus. Da EDR-Systeme in Echtzeit auf eine Vielzahl von Bedrohungen reagieren, können Sicherheitsteams potenzielle Angriffe und Bedrohungen bereits während ihrer Entstehung in Echtzeit visualisieren.
Durch eine frühzeitige Abwehr von Angriffen wird verhindert, dass kritische Daten verloren gehen oder kompromittiert werden. Dank Echtzeitreaktion können Unternehmen auch verdächtiges oder unbefugtes Verhalten in Netzwerken aufdecken und Bedrohungsursachen ermitteln, bevor diese den Geschäftsbetrieb beeinträchtigen. Zudem lassen sich EDR-Systeme in andere Sicherheitstools integrieren, wodurch die Korrelation von Endpunkt-, Netzwerk- und SIEM-Daten unterstützt wird. Daraus lassen sich umfassende Erkenntnisse zu Praktiken und Techniken ableiten, mit denen böswillige Akteure versuchen, sich unerlaubten Zugang zu digitalen Ressourcen zu verschaffen.
Die Bedrohungslandschaft verändert sich stetig: Täglich tauchen neue Viren, Malware und andere Cyberbedrohungen auf. Um diesen neuen Gefahren zu begegnen, werden Echtzeiterfassung und -erkennung möglicher Anomalien immer wichtiger.
Diese Herausforderungen werden durch zunehmend mobile Mitarbeiter weiter vergrößert. Bei Remote-Verbindungen, deren Zahl durch die COVID-19-Pandemie rasant zugenommen hat, nutzen Mitarbeiter häufig eigene Endgeräte für den Zugriff auf digitale Unternehmensressourcen. Diese BYOD-Geräte werden möglicherweise auch von Angehörigen und in gemeinsam genutzten Netzwerken verwendet und können daher ohne das Wissen von Mitarbeitern mit Malware infiziert werden.
Durch den Einsatz von EDR können Unternehmen diese Herausforderungen bewältigen, indem sie
EDR kann auch zusammen mit Threat Intelligence-Services von Drittanbietern genutzt werden, um die Effektivität von Endpunktsicherheitslösungen zu verbessern. Durch die zusammengefassten Informationen können EDR-Systeme Zero-Day-Angriffe und andere mehrschichtige Exploits besser identifizieren. Viele EDR-Lösungen umfassen heutzutage maschinelles Lernen und künstliche Intelligenz (ML/KI), um Prozesse weiter zu automatisieren. Dabei „lernen“ sie das grundlegende Verhalten in Unternehmen und nutzen diese Informationen, um Untersuchungsergebnisse nach der Erkennung von Angriffen zu interpretieren.
EDR überwacht den Datenverkehr in Netzwerken und auf Endgeräten und erfasst Informationen in Bezug auf Sicherheitsprobleme in einer zentralen Datenbank zur späteren Analyse. Zudem können Bedrohungsereignisse leichter gemeldet und untersucht werden.
Nicht alle EDR-Lösungen sind gleich – die Bandbreite der von ihnen durchgeführten Aktivitäten kann von Anbieter zu Anbieter variieren. Zu den wichtigsten Komponenten einer typischen EDR-Lösung gehört Folgendes:
EDR-Lösungen sind gewissermaßen eine Gruppe herkömmlicher Virenschutzprogramme, deren Funktionsumfang im Vergleich zu neueren EDR-Lösungen begrenzt ist. Damit sind Virenschutzprogramme Teil einer EDR-Lösung.
Virenschutzprogramme führen grundlegende Funktionen wie das Scannen, Erkennen und Entfernen von Viren aus, während EDR-Lösungen darüber hinaus zahlreiche weitere Funktionen beinhalten. Neben Virenschutz kann eine EDR-Lösung verschiedene Funktionen enthalten, z.B. für Überwachung oder das Erstellen von Positiv- und Negativlisten. Diese bieten einen umfassenderen Schutz vor bekannten und neuen Bedrohungen.
Da sich der digitale Netzwerkperimeter massiv ausgeweitet hat, ist herkömmlicher Virenschutz nicht mehr ausreichend, um die Vielzahl an verschiedenen Geräten für den Zugriff auf Unternehmensressourcen zu schützen. EDR-Systeme eignen sich besser zum Schutz vor komplexen Cyberangriffen und automatisierte EDR-Reaktionen verhindern eine Überlastung von IT-Teams bei der Abwehr von Attacken auf ihr Unternehmen.
Dies wird aufgrund der rasanten Entwicklung der Bedrohungslandschaft immer wichtiger. Böswillige Akteure verbessern ihre Angriffsmethoden und nutzen komplexe Bedrohungen, um Zugang zu Netzwerken zu erhalten. Einfache signaturbasierte Virenschutzprogramme können Zero-Day- oder mehrschichtige Bedrohungen daher nicht rechtzeitig erkennen. EDR-Systeme hingegen können alle Arten von Endpunktbedrohungen erkennen und in Echtzeit darauf reagieren.
On-Premises-basierte Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR)