Was ist EDR?

Jeder Endpunkt ist ein möglicher Zugangspunkt zum Netzwerk eines Unternehmens. Herkömmliche Antivirus-Lösungen sind wirkungsvoll, um Bedrohungen auf einzelnen oder einer kleinen Anzahl von Geräten abzuwehren. Sie bieten jedoch häufig nicht die erforderliche Sichtbarkeit, um Anzeichen für Kompromittierungen so früh wie möglich zu erkennen und darauf zu reagieren.

Hier kommt Endpunkterkennung und -reaktion oder kurz EDR (Endpoint Detection and Response) ins Spiel. Mit EDR-Tools können Unternehmen die jeweilige Umgebung kontinuierlich beobachten und aussagekräftige Telemetriedaten sammeln, anhand derer sich Vorfälle sichten und untersuchen lassen – und das unabhängig von der Anzahl der Endpunkte.

In diesem Artikel erklären wir Ihnen, was genau EDR ist und wie es sich in Ihre Cybersicherheitsstrategie integrieren lässt.

Was ist EDR?

EDR ist eine relativ neue Kategorie der Cybersecurity-Tools. Sie ist darauf ausgelegt, Unternehmen mehr Sichtbarkeit hinsichtlich ihrer Endpunkte zu geben, mögliche Sicherheitsbedrohungen automatisch zu erkennen und die Reaktion auf Vorfälle zu beschleunigen.

Während sich viele andere Sicherheitskonzepte allein auf das Blockieren der Bedrohungen konzentrieren, verfolgt EDR einen ganzheitlichen Cybersecurity-Ansatz. Dazu werden an jedem Endpunkt große Mengen an Daten und Kontextinformationen gesammelt, um mögliche, bisher unbekannte Bedrohungen zu erkennen.

Während die erhöhte Sichtbarkeit ihr wesentlicher Vorteil ist, verfügen alle EDR-Lösungen zudem über Funktionen, um in Echtzeit auf Ereignisse zu reagieren. Viele EDR-Tools, so auch Emsisoft EDR, setzen Verhaltensanalyse und maschinelles Lernen ein, um verdächtige Verhaltensmuster zu erkennen und Bedrohungen einzudämmen oder zu bereinigen, bevor sie größeren Schaden anrichten können.

Trotz dieser automatisierten Funktionen ist eine manuelle Analyse der Warnmeldungen durch Experten erforderlich, um aus den computergenerierten Daten eine Bedeutung abzuleiten. Kleinere Unternehmen, die möglicherweise nicht über eigene Sicherheitsanalysten verfügen, können die Dienste sogenannter MSSP (Managed Security Service Provider) in Anspruch nehmen.

Wie funktioniert EDR?

Die jeweiligen EDR-Funktionen und wie das System umgesetzt ist, können sich abhängig vom Anbieter erheblich voneinander unterscheiden. Im Allgemeinen bieten die meisten EDR-Tools allerdings dieselben Hauptfunktionen:

• Endpunktdatensammlung: Von den Endpunkten in der Umgebung werden Telemetriedaten (z. B. Dateiänderungen, Prozess-, Registrierungs- oder Netzwerkaktivitäten usw.) gesammelt. Das geschieht in der Regel über einen auf den jeweiligen Endpunkten installierten Software-Agenten. Die Daten werden dann an eine zentralisierte Plattform übertragen, wo diese organisiert und analysiert werden können. Diese Plattform wiederum ist oftmals cloudbasiert, wobei in einigen Branchen möglicherweise eine Implementierung vor Ort erforderlich ist, um Konformität zu gewährleisten.
• Datenanalyse: Mithilfe maschinellen Lernens werden die an den Endpunkten gesammelten Rohdaten analysiert und ausgewertet. Viele EDR-Lösungen können diese Daten einsetzen, um zu „lernen“, wie reguläres Benutzerverhalten aussieht. Das wiederum hilft, Auffälligkeiten am Endpunkt hervorzuheben. Sicherheitspersonal kann mit EDR-Tools auch den Ausgangspunkt eines Vorfalls ergründen, indem es die Daten nach „wann“, „wo“, „wie“ und „wer“ der Bedrohung aufschlüsselt.
• MITRE ATT&CK: Viele EDR-Tools setzen den MITRE ATT&CK-Framework ein, eine weltweit zugängliche Datenbank von auf Beobachtungen basierenden Angriffstaktiken und -techniken, die eine Klassifizierung von potenziell schädlichen Ereignissen ermöglicht. Anhand dieser Informationen erhalten Sicherheitsanalytiker einen wertvollen Einblick in das Wie und Weshalb von tatsächlichen Angriffen, wodurch sich Lücken im Sicherheitskonzept des Unternehmens erkennen und schließen lassen.
• Automatische Reaktion: Für sämtliche Ereignisse oder Aktivitäten, die das EDR-Tool als verdächtig einstuft, wird automatisch eine Warnmeldung an das Sicherheitspersonal zur weiteren Untersuchung herausgegeben. Darüber hinaus verfügen einige EDR-Tools auch über Funktionen, um abhängig von dem erkannten Schweregrad basierend auf Regeln automatisch Aktionen direkt auszuführen, etwa das Entfernen oder Eindämmen von einfachen Bedrohungen. Auch wenn weiterhin menschliche Expertise zum Aufklären ausgefeilterer Angriffe erforderlich ist, sind automatische Reaktionen für Unternehmen entscheidend, um die Reaktionszeit bei Angriffen zu minimieren.
• Datenaufbewahrung: Das Sicherheitspersonal kann sich beim Untersuchen eines Vorfalls den Datenverlauf ansehen, um herauszufinden, wann der Angriff erfolgte. Die durch die EDR-Tools gewonnen Erkenntnisse können äußerst nützlich sein, um den Schutz des Unternehmens vor zukünftigen Angriffen zu stärken. Cloudbasierte EDR-Tools geben weitere Sicherheit: Selbst im schlimmsten Fall, etwa wenn Geräte vollständig zerstört wurden, können Administratoren immer noch den in der Cloud gespeicherten Ereignisverlauf analysieren, um den Zeitpunkt herauszufinden, wann die Angreifer das Sicherheitssystem außer Gefecht gesetzt haben. Auf die in der Cloud gespeicherten Daten haben Angreifer keinen Zugriff, da sie durch Zwei-Faktor-Authentisierung gesichert sind, die eine Eingabe an einem zweiten Gerät erfordern.

Wieso ist EDR wichtig?

Mit der zunehmenden Weiterentwicklung und Ausgereiftheit von Cyberbedrohungen hat sich EDR zu einem integralen Bestandteil der allgemeinen Sicherheitsstrategie entwickelt.

Vorbeugung allein ist keine Garantie für Schutz. Zwar ist auf den Umkreis ausgerichtete Verteidigung wirkungsvoll, um den Großteil der Cyberangriffe aufzuhalten, aber es gibt immer die Möglichkeit (so klein sie auch sein mag), dass etwas durch die Maschen rutscht und den Endpunkt kompromittiert. Und leider sind die Bedrohungen, die durchrutschen, meistens auch die gefährlichsten.

Wir haben in den letzten Jahren wiederholt gesehen, dass gut ausgestattete Ransomware-Gruppen erhebliche Zeit und Ressourcen für ihre von Menschen durchgeführten Angriffe aufwenden, um diese sorgfältig zu planen und herkömmliche Cybersicherheitslösungen zu umgehen. Nach der Kompromittierung eines Unternehmens, verbringen die Ransomware-Betreiber Tage oder gar Wochen im Netzwerk ihrer Opfer, um die Umgebung für eine größtmögliche Wirkung ihres Angriffs vorzubereiten. Diese zielgerichteten, detailliert ausgearbeiteten Angriffe sind häufig darauf ausgelegt, die Sicherheitslösungen und -teams eines Unternehmens zu unterlaufen, das keinen gründlichen Überblick über seine Endpunkte hat.

Unternehmen sollten immer davon ausgehen, dass Angreifer früher oder später einmal ihren Schutzwall durchdringen. Wenn das geschieht, ist EDR unerlässlich, um herauszufinden, was passiert ist, wie es dazu kommen konnte und, am wichtigsten, wie es sich beheben lässt.

Emsisoft EDR-Tool

Emsisoft ist derzeit damit beschäftigt, ein schlagkräftiges Paket an EDR-Tools zu entwickeln, um unseren Anwendern mehr Sichtbarkeit für ihre mit Emsisoft geschützten Geräte zu bieten. Emsisoft EDR verfügt über mehrere Schutzschichten, die ineinandergreifen, um verdächtiges Verhalten zu erkennen, Angriffe automatisch zu blockieren und Sicherheitsteams einen ausführlichen Einblick in mögliche Bedrohungen zu geben.

Zu den Schutzschichten von Emsisoft EDR gehören:

• On-Demand-Scanner
• Dateiwächter
• Internetschutz
• Browser Security
• Verhaltensanalyse
• MITRE ATT&CK
• Bedrohungssuche, osqery

Und das Beste daran: Emsisoft EDR ist für unsere Business- und Enterprise-Kunden kostenlos. Auf diese Weise können kleinere Unternehmen und MSPs, die für kleinere Unternehmen arbeiten, die Vorteile von EDR nutzen, ohne das Budget zu sprengen.

Kunden von Emsisoft Business Security erhalten eine abgespeckte Version von Emsisoft EDR als kostenfreies Add-on zu ihrem regulären Abo.

Kunden von Emsisoft Enterprise Security erhalten Emsisoft EDR mit Datenspeicherung als kostenfreies Add-on zu ihrem regulären Abo.

In den nächsten Wochen werden wir weitere Details zu Emsisoft EDR bekannt geben. Bleiben Sie gespannt …

Übersetzung: Doreen Schäfer