Was ist Endpunkterkennung und -reaktion (EDR)?

Endpunkterkennung und -reaktion (EDR) ist eine Endpunktsicherheitslösung, die Echtzeitüberwachung und die Erfassung von Endpunktsicherheitsdaten mit einem automatisierten Mechanismus zur Reaktion auf Bedrohungen beinhaltet.

Der Begriff „EDR“ wurde von Gartner zur Beschreibung einer Klasse neuer Sicherheitssysteme vorgeschlagen, die verdächtige Aktivitäten auf Hosts und Endpunkten erkennen und untersuchen. Dies kann durch eine Lösung mit hohem Automatisierungsgrad erreicht werden, die Sicherheitsteams benachrichtigt und schnelle Reaktionen unterstützt.

EDR-Systeme bieten fünf grundlegende Funktionen:

  1. Aktive Endpunktüberwachung und Erfassung von Daten zu Aktivitäten, die auf eine Bedrohung hinweisen
  2. Analyse von erfassten Daten, um bekannte Bedrohungsmuster zu identifizieren
  3. Auslösen einer automatischen Reaktion auf alle identifizierten Bedrohungen, um sie entweder abzuwehren oder einzudämmen
  4. Automatische Benachrichtigung des Sicherheitspersonals bei Erkennen einer Bedrohung
  5. Analyse- und forensische Tools zum Untersuchen identifizierter Bedrohungen, die zu weiteren verdächtigen Aktivitäten führen könnten

Bedrohungsbekämpfung und Vorfallreaktion für hybride Bereitstellungen

Anwendungsbereiche für Enterprise EDR – Bedrohungsbekämpfung und Vorfallreaktion

Welche Vorteile bietet Endpunkterkennung und -reaktion?

Moderne Sicherheitsteams setzen heutzutage auf EDR-Systeme. EDR-Lösungen schützen den digitalen Perimeter auf vielfältige Weise vor bekannten und neuen Bedrohungen sowie Sicherheitsproblemen.

Zunächst einmal erfassen EDR-Systeme detaillierte Überwachungsdaten und bieten so eine vollständige Sicht auf potenzielle Angriffe. Die kontinuierliche Überwachung aller Endpunkte – online und offline – erleichtert sowohl Analysen als auch Vorfallreaktion. Dies ermöglicht umfassende Analysen und bietet Sicherheitsexperten wichtige Erkenntnisse zu Anomalien und Schwachstellen eines Unternehmensnetzwerks. So können sie sich besser gegen zukünftige Cyberangriffe wappnen. Das Erkennen aller Endpunktbedrohungen geht über den herkömmlichen Virenschutz hinaus. Da EDR-Systeme in Echtzeit auf eine Vielzahl von Bedrohungen reagieren, können Sicherheitsteams potenzielle Angriffe und Bedrohungen bereits während ihrer Entstehung in Echtzeit visualisieren.

Durch eine frühzeitige Abwehr von Angriffen wird verhindert, dass kritische Daten verloren gehen oder kompromittiert werden. Dank Echtzeitreaktion können Unternehmen auch verdächtiges oder unbefugtes Verhalten in Netzwerken aufdecken und Bedrohungsursachen ermitteln, bevor diese den Geschäftsbetrieb beeinträchtigen. Zudem lassen sich EDR-Systeme in andere Sicherheitstools integrieren, wodurch die Korrelation von Endpunkt-, Netzwerk- und SIEM-Daten unterstützt wird. Daraus lassen sich umfassende Erkenntnisse zu Praktiken und Techniken ableiten, mit denen böswillige Akteure versuchen, sich unerlaubten Zugang zu digitalen Ressourcen zu verschaffen.

Warum ist Endpunkterkennung und -reaktion so wichtig?

Die Bedrohungslandschaft verändert sich stetig: Täglich tauchen neue Viren, Malware und andere Cyberbedrohungen auf. Um diesen neuen Gefahren zu begegnen, werden Echtzeiterfassung und -erkennung möglicher Anomalien immer wichtiger.

Diese Herausforderungen werden durch zunehmend mobile Mitarbeiter weiter vergrößert. Bei Remote-Verbindungen, deren Zahl durch die COVID-19-Pandemie rasant zugenommen hat, nutzen Mitarbeiter häufig eigene Endgeräte für den Zugriff auf digitale Unternehmensressourcen. Diese BYOD-Geräte werden möglicherweise auch von Angehörigen und in gemeinsam genutzten Netzwerken verwendet und können daher ohne das Wissen von Mitarbeitern mit Malware infiziert werden.

Durch den Einsatz von EDR können Unternehmen diese Herausforderungen bewältigen, indem sie

  • ausführbare Dateien identifizieren und blockieren, über die schädliche Aktionen ausgeführt werden können,
  • verhindern, dass USB-Geräte für unbefugten Datenzugriff oder das Herunterladen vertraulicher oder geschützter Informationen verwendet werden,
  • dateilose Malware-Angriffe blockieren, die Endgeräte infizieren könnten,
  • die Ausführung von Skripts kontrollieren,
  • verhindern, dass schädliche E-Mail-Nutzdaten in ihren Anhängen detonieren,
  • sich vor Zero-Day-Angriffen schützen und verhindern, dass diese Schaden anrichten.

EDR kann auch zusammen mit Threat Intelligence-Services von Drittanbietern genutzt werden, um die Effektivität von Endpunktsicherheitslösungen zu verbessern. Durch die zusammengefassten Informationen können EDR-Systeme Zero-Day-Angriffe und andere mehrschichtige Exploits besser identifizieren. Viele EDR-Lösungen umfassen heutzutage maschinelles Lernen und künstliche Intelligenz (ML/KI), um Prozesse weiter zu automatisieren. Dabei „lernen“ sie das grundlegende Verhalten in Unternehmen und nutzen diese Informationen, um Untersuchungsergebnisse nach der Erkennung von Angriffen zu interpretieren.

Wie funktioniert Endpunkterkennung und -reaktion?

EDR überwacht den Datenverkehr in Netzwerken und auf Endgeräten und erfasst Informationen in Bezug auf Sicherheitsprobleme in einer zentralen Datenbank zur späteren Analyse. Zudem können Bedrohungsereignisse leichter gemeldet und untersucht werden.

Nicht alle EDR-Lösungen sind gleich – die Bandbreite der von ihnen durchgeführten Aktivitäten kann von Anbieter zu Anbieter variieren. Zu den wichtigsten Komponenten einer typischen EDR-Lösung gehört Folgendes:

  • Agents für Datenerfassung: Diese auf Endpunkten installierten Agents überwachen aktive Prozesse, Netzwerk- und Geräteverbindungen, das Aktivitätsvolumen sowie Datenübertragungen und erfassen entsprechend Informationen.
  • Zentrales Hub:  Dieses integrierte Hub erfasst, korreliert und analysiert Endpunktdaten. Das zentrale Hub koordiniert auch Warnmeldungen und Reaktionen auf unmittelbare Bedrohungen.
  • Automatisierte Reaktion: Ein EDR-System verwendet meist vorkonfigurierte Regeln, die erkennen, wenn erfasste Daten auf eine bekannte Bedrohung hinweisen. Es löst eine automatische Reaktion aus und alarmiert beispielsweise das Sicherheitspersonal oder meldet Anwender vom System ab.
  • Forensik und Analyse: EDR-Systeme können forensische Tools beinhalten, die Bedrohungen aufspüren oder eine nachträgliche Analyse durchführen. Echtzeitanalysen unterstützen eine schnelle Erkennung von Bedrohungen, die nicht mit den vorhandenen vorkonfigurierten Regeln übereinstimmen.

Worin unterscheiden sich EDR und Virenschutz?

EDR-Lösungen sind gewissermaßen eine Gruppe herkömmlicher Virenschutzprogramme, deren Funktionsumfang im Vergleich zu neueren EDR-Lösungen begrenzt ist. Damit sind Virenschutzprogramme Teil einer EDR-Lösung.

Virenschutzprogramme führen grundlegende Funktionen wie das Scannen, Erkennen und Entfernen von Viren aus, während EDR-Lösungen darüber hinaus zahlreiche weitere Funktionen beinhalten. Neben Virenschutz kann eine EDR-Lösung verschiedene Funktionen enthalten, z.B. für Überwachung oder das Erstellen von Positiv- und Negativlisten. Diese bieten einen umfassenderen Schutz vor bekannten und neuen Bedrohungen.

Da sich der digitale Netzwerkperimeter massiv ausgeweitet hat, ist herkömmlicher Virenschutz nicht mehr ausreichend, um die Vielzahl an verschiedenen Geräten für den Zugriff auf Unternehmensressourcen zu schützen. EDR-Systeme eignen sich besser zum Schutz vor komplexen Cyberangriffen und automatisierte EDR-Reaktionen verhindern eine Überlastung von IT-Teams bei der Abwehr von Attacken auf ihr Unternehmen.

Dies wird aufgrund der rasanten Entwicklung der Bedrohungslandschaft immer wichtiger. Böswillige Akteure verbessern ihre Angriffsmethoden und nutzen komplexe Bedrohungen, um Zugang zu Netzwerken zu erhalten. Einfache signaturbasierte Virenschutzprogramme können Zero-Day- oder mehrschichtige Bedrohungen daher nicht rechtzeitig erkennen. EDR-Systeme hingegen können alle Arten von Endpunktbedrohungen erkennen und in Echtzeit darauf reagieren.

Zugehörige Lösungen und Produkte

VMware Carbon Black EDR

On-Premises-basierte Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR)