Was ist Endpunkterkennung und -reaktion (EDR)?

 

Endpunkterkennung und -reaktion (EDR) ist eine Lösung für die Sicherheit von Endgeräten, die Echtzeitüberwachung und die Erfassung von Endpunktsicherheitsdaten mit einem automatisierten Mechanismus zur Reaktion auf Bedrohungen beinhaltet.

 

Der Begriff „EDR“ wurde von Gartner zur Beschreibung einer Klasse neuer Sicherheitssysteme vorgeschlagen, die verdächtige Aktivitäten auf Hosts und Endpunkten erkennen und untersuchen. Dies kann durch eine Lösung mit hohem Automatisierungsgrad erreicht werden, die Sicherheitsteams benachrichtigt und schnelle Reaktionen ermöglicht.

Endpunkterkennung und -reaktion

Modernisieren Sie Ihren Endpunktschutz und bewältigen Sie die Herausforderungen Ihrer Legacy-Systeme

Jetzt herunterladen 

EDR-Systeme bieten fünf grundlegende Funktionen:

  1. Aktive Überwachung von Endpunkten und Erfassung von Daten zu Aktivitäten, die auf eine Bedrohung hinweisen
  2. Analyse der erfassten Daten, um bekannte Bedrohungsmuster zu identifizieren
  3. Auslösung einer automatischen Reaktion auf alle identifizierten Bedrohungen, um sie entweder abzuwehren oder einzudämmen
  4. Automatische Benachrichtigung des Sicherheitspersonals bei Erkennen einer Bedrohung
  5. Untersuchung der identifizierten Bedrohungen, die zu weiteren verdächtigen Aktivitäten führen könnten, mithilfe von Analyse- und forensischen Tools

 

Warum ist EDR so wichtig?

Die Bedrohungslandschaft verändert sich laufend: Täglich tauchen neue Viren, Malware und andere Cyberbedrohungen auf. Um diesen neuen Gefahren zu begegnen, wird die Erfassung und Erkennung möglicher Anomalien in Echtzeit immer wichtiger.

 

Diese Herausforderungen werden durch zunehmend mobile Mitarbeiter weiter verstärkt. Bei Remote-Verbindungen, deren Zahl durch die COVID-19-Pandemie rasant zugenommen hat, nutzen Mitarbeiter häufig eigene Endgeräte für den Zugriff auf die digitalen Ressourcen des Unternehmens. Diese BYOD-Geräte werden möglicherweise auch von den Angehörigen des Mitarbeiters genutzt oder in Netzwerken eingesetzt, auf die auch andere Zugriff haben, und können daher ohne Wissen des Mitarbeiters mit Malware infiziert werden.

 

Durch den Einsatz von EDR können Unternehmen diese Herausforderungen mindern, indem sie

  • ausführbare Dateien identifizieren und blockieren, über die schädliche Aktionen ausgeführt werden können,
  • verhindern, dass USB-Geräte für unbefugten Datenzugriff oder das Herunterladen vertraulicher oder geschützter Informationen verwendet werden,
  • dateilose Malware-Angriffstechniken blockieren, die Endgeräte infizieren könnten,
  • die Ausführung von Skripten kontrollieren,
  • verhindern, dass schädliche E-Mail-Nutzdaten ihre Anhänge detonieren,
  • vor Zero-Day-Angriffen schützen und verhindern, dass diese Schaden anrichten.

EDR kann auch zusammen mit Threat Intelligence-Services von Drittanbietern genutzt werden, um die Effektivität von Lösungen für die Sicherheit von Endgeräten zu verbessern, da EDR-Funktionen auf der Grundlage der kollektiven Intelligenz Zero-Day-Angriffe und andere mehrschichtige Exploits besser erkennen können. In viele EDR-Lösungen sind heute maschinelles Lernen und künstliche Intelligenz (ML/KI) integriert, um den Prozess weiter zu automatisieren, indem sie das grundlegende Verhalten des Unternehmens „lernen“ und anhand dieser Informationen nach der Erkennung eines Angriffs die Untersuchungsergebnisse interpretieren.

 

 

Wie funktioniert EDR?

EDR überwacht den Datenverkehr im Netzwerk und auf Endgeräten und erfasst dabei Informationen, die sich auf Sicherheitsprobleme beziehen könnten, in einer zentralen Datenbank. Dies ermöglicht die spätere Analyse und erleichtert das Melden und Untersuchen von Bedrohungsereignissen.

Nicht alle EDR-Lösungen sind gleich – die Bandbreite der von ihnen durchgeführten Aktivitäten kann von Anbieter zu Anbieter variieren. Zu den wichtigsten Komponenten einer typischen EDR-Lösung gehören:

  • Datenerfassungs-Agents: Diese auf Endpunkten installierten Agents überwachen aktive Prozesse, Netzwerk- und Geräteverbindungen, das Aktivitätsvolumen sowie Datenübertragungen und erfassen entsprechend Informationen.
  • Zentraler Hub:  Dieser integrierte Hub erfasst, korreliert und analysiert Endpunktdaten. Der zentrale Hub koordiniert auch Warnungen und Reaktionen auf unmittelbare Bedrohungen.
  • Automatisierung der Reaktion: Ein EDR-System verwendet meist vorkonfigurierte Regeln, die erkennen, wenn erfasste Daten auf eine bekannte Bedrohung hinweisen. Das System löst eine automatische Reaktion aus und alarmiert z.B. das Sicherheitspersonal oder meldet einen Anwender vom System ab.
  • Forensik und Analyse: EDR-Systeme können forensische Tools beinhalten, die die Ursache von Bedrohungen ermitteln oder eine nachträgliche Analyse durchführen. Echtzeitanalysen helfen bei einer schnellen Erkennung von Bedrohungen, die nicht mit den vorhandenen vorkonfigurierten Regeln übereinstimmen.

 

Worin unterscheiden sich EDR-Lösungen und Antivirenprogramme?

EDR-Lösungen sind gewissermaßen eine Gruppe herkömmlicher Antivirenprogramme, deren Funktionsumfang im Vergleich zu neueren EDR-Lösungen begrenzt ist. Damit sind Antivirenprogramme Teil einer EDR-Lösung.

 

Antivirenprogramme führen grundlegende Funktionen wie das Scannen, Erkennen und Entfernen von Viren aus, während EDR-Lösungen darüber hinaus zahlreiche weitere Funktionen beinhalten. Neben Funktionen für den Virenschutz kann eine EDR-Lösung verschiedene Funktionen unter anderem zum Überwachen und Erstellen von White- und Blacklists enthalten, die umfassenden Schutz vor bekannten und neuen Bedrohungen bieten.

Da sich der Perimeter digitaler Netzwerke massiv ausgeweitet hat und heute von überall auf das Netzwerk zugegriffen werden kann, können herkömmliche Antivirenprogramme nicht mehr die Vielzahl der verschiedenen Geräte schützen, die für den Zugriff auf Unternehmensressourcen verwendet werden. EDR-Systeme eignen sich besser zum Schutz vor komplexen Cyberangriffen und automatisierte EDR-Reaktionen sorgen dafür, dass die Maßnahmen zum Schutz des Unternehmens vor Angriffen das IT-Team nicht überlasten.

 

Dies wird aufgrund der rasanten Entwicklung der Bedrohungslandschaft immer wichtiger. Da böswillige Akteure ihre Angriffsmethoden verbessern und komplexe Bedrohungen nutzen, um Zugang zu Netzwerken zu erlangen, kann ein einfaches signaturbasiertes Antivirenprogramm Zero-Day- oder mehrschichtige Bedrohungen nicht rechtzeitig erkennen. EDR-Systeme hingegen können alle Arten von Endpunktbedrohungen erkennen und in Echtzeit darauf reagieren.

 

 

Welche Vorteile bietet EDR?

Moderne Sicherheitsteams setzen heute auf EDR-Systeme. EDR-Lösungen schützen den digitalen Perimeter auf verschiedene Weise vor bekannten und neuen Bedrohungen und Sicherheitsproblemen.

 

Zunächst einmal gewähren EDR-Systeme durch das Erfassen detaillierter Überwachungsdaten eine vollständige Sicht auf potenzielle Angriffe. Die kontinuierliche Überwachung aller Endpunkte – online und offline – erleichtert die Analyse und Reaktion auf Vorfälle. Dies ermöglicht eine umfassende Analyse und liefert Sicherheitsexperten Erkenntnisse zu den Anomalien und Schwachstellen des Unternehmensnetzwerks. So können sie sich besser gegen zukünftige Cyberangriffe wappnen. Das Erkennen aller Endpunktbedrohungen geht über den herkömmlichen Virenschutz hinaus. Dank der Fähigkeit von EDR-Systemen, in Echtzeit auf eine Vielzahl von Bedrohungen zu reagieren, können Sicherheitsteams potenzielle Angriffe und Bedrohungen bereits während ihrer Entstehung in Echtzeit visualisieren.

 

So lässt sich Datenverlust durch eine frühzeitige Abwehr von Angriffen verhindern, bevor kritische Daten verloren gehen oder kompromittiert werden. Dank der Echtzeitreaktion kann ein Unternehmen auch verdächtiges oder unbefugtes Verhalten im Netzwerk aufdecken und die Ursache einer Bedrohung ermitteln, bevor diese den Geschäftsbetrieb beeinträchtigt. Darüber hinaus lassen sich EDR-Systeme in andere Sicherheitstools integrieren, was die Korrelation von Endpunkt-, Netzwerk- und SIEM-Daten ermöglicht. Daraus lassen sich umfassende Erkenntnisse zu den Praktiken und Techniken ableiten, mit denen böswillige Akteure versuchen, sich unerlaubten Zugriff auf digitale Ressourcen zu verschaffen.

Zugehörige Produkte, Lösungen und Ressourcen zu VMware Endpoint Detection and Response (EDR)

VMware Carbon Black Cloud™ Endpoint

Transformieren Sie Ihre Sicherheit mit cloudnativem Endpunktschutz, den Sie an Ihre Anforderungen anpassen können. Konsolidieren Sie unterschiedliche Funktionen für die Sicherheit von Endpunkten, um schneller reagieren zu können.

Anywhere Workspace-Lösungen

Lassen Sie Ihre Mitarbeiter von überall aus arbeiten und bieten Sie ihnen dabei eine sichere und reibungslose Erfahrung.

Enterprise EDR: Bedrohungsbekämpfung und Reaktion auf Vorfälle

Für Sicherheitsteams in Unternehmen ist es oft schwierig, auf die benötigten Endpunktdaten zuzugreifen, um abnormales Verhalten zu untersuchen und proaktiv zu bekämpfen.

Verbesserte Zusammenarbeit zwischen IT- und Sicherheitsteams

Für Sicherheits- und IT-Teams hat eine verbesserte Zusammenarbeit im kommenden Jahr höchste Priorität.