Endpoint Detection and Response (EDR)

EDR ist eine spezifische Sicherheitsl√∂sung, die nicht getrennte Computer, sondern das gesamte Netzwerk innerhalb des Unternehmens sch√ľtzt.

Was ist Endpoint Detection and Response? EDR-Definition | Gridinsoft

Was ist EDR?

October 02, 2022

Endpoint Detection and Response Applications, oder EDR, ist ein relativ neues Konzept von Anti-Malware-Software. Die genaue Definition dieser Art von Sicherheitstool erschien 2013.

Endpoint Threat Detection and Response, normalerweise abgek√ľrzt, um der Abk√ľrzung ‚ÄěEDR‚Äú zu entsprechen, ist ein neuer Blick auf Anti-Malware-Software. Allerdings es geht nicht darum, allen m√∂glichen Anforderungen gerecht zu werden, wie es ‚Äěklassische‚Äú Anti-Malware-Apps vorgeben. EDR ist, wie Sie der Abk√ľrzung entnehmen k√∂nnen, ein System, das eher Endpunkte als einzelne Computer sch√ľtzen muss. Die gr√∂√üten Schw√§chen von separaten Sicherheitssystemen f√ľr jeden Computer im Unternehmen waren das Fehlen gemeinsamer Ma√ünahmen f√ľr jedes angegriffene Ger√§t, die mangelnde Kontrolle √ľber alle m√∂glichen Angriffsfl√§chen und das Fehlen von Journaling. Aber lassen Sie uns alles Schritt f√ľr Schritt √ľberpr√ľfen.

Was ist Endpoint Detection and Response?

Es ist gro√üartig, den Unterschied zwischen den Produkten zu definieren. Damit ist jedoch noch nicht gekl√§rt, was die Grundidee von EDR-L√∂sungen ist und wie das funktioniert. Endpoint-Sicherheitsl√∂sungen werden normalerweise entwickelt, um kontinuierliche Scans des Endpunkts und aller anderen Elemente des Netzwerks (Dom√§nencontroller und Benutzercomputer, die sich mit dem Endpunkt verbinden) durchzuf√ľhren, um die m√∂gliche Bedrohung zu erkennen und eine wettbewerbsf√§hige Reaktion zu erzielen . Die st√§ndige √úberwachung von Ereignissen erfordert viele zus√§tzliche Module zur ‚Äěklassischen‚Äú Anti-Malware-Engine und die st√§ndige Kontrolle eines Sicherheitsspezialisten. Einige der Anbieter bieten ihre EDR-Produkte sogar als Software-as-a-Service an.

Was ist EDR
Schl√ľsselprinzipien des Endpoint Detection and Response-Systems

EDR-L√∂sungen erkennen die Bedrohung, die durch ihr Verhalten dargestellt wird. Neben den grundlegenden heuristischen Regeln setzt das Programm auch auf neuronale Netze. Die Quellen k√∂nnen sich jedoch von den √ľblichen "aktuellen Prozessen" unterscheiden - Endpoint Protection-L√∂sung setzt mehrere andere M√∂glichkeiten voraus, um Informationen √ľber Ereignisse zu erhalten. Dann √ľberpr√ľft es das erkannte Element mit einer ‚Äěklassischen‚Äú datenbankgest√ľtzten Methode. Wenn es eine passende Signatur findet, wird die Bedrohung sofort entfernt, da es sich um einen Virus handelt. Wenn nicht, wird es einfach blockiert, wodurch ein Mensch das Recht erh√§lt, die Entfernung zu verwalten. Eine solche Kuppel √ľber allen Elementen eines Unternehmenssystems erm√∂glicht es, selbst mit menschlichen Bedrohungen fertig zu werden - wie Insider oder sogar Advanced Persistent Threats.

Um das Sicherheitsmanagement effektiver zu gestalten, unterteilen die meisten L√∂sungen das gesch√ľtzte Netzwerk in kleine Teile, sogenannte Knoten. Dadurch ist es m√∂glich, die individuellen Sicherheitseinschr√§nkungen/Privilegien auf eine bestimmte Maschine oder sogar die gew√§hlte Anwendung anzuwenden. Dar√ľber hinaus macht es die Aufteilung des gesamten Netzwerks in solche Teile viel einfacher, die Ereignisprotokolle zu analysieren ‚Äď es ist viel einfacher herauszufinden, was die Angriffsfl√§che war und wie der Angreifer gehandelt hat.

Antivirus vs. EDR

Im vorherigen Abschnitt konnten Sie drei Hauptprobleme ‚Äěklassischer‚Äú Anti-Malware-Software sehen, die sie beim Schutz von Unternehmen nicht so n√ľtzlich machen. Sie sind wahr, aber es gibt ein viel ernsteres Problem, das sie noch schwerer zu vergleichen macht. Endpoint Detection and Response-L√∂sungen sollen eine fesselnde Sache sein, die das gesamte Unternehmensnetzwerk sch√ľtzt. Es ist machbar, eine L√∂sung zu finden und einzurichten, die der Abdeckung entspricht und auf dem regul√§ren Antivirus basiert, aber ihre Effizienz wird wahrscheinlich fraglich sein. Wie die Praxis zeigt, ist es ziemlich schwierig, dem alten Hund ein paar neue Tricks beizubringen. Deshalb m√ľssen diese Tricks von etwas ausgef√ľhrt werden, das urspr√ľnglich f√ľr diesen Zweck entworfen wurde.

Warum ist EDR besser als normales Antivirenprogramm?

Antivirus

  • Kann Solitaire-Computer effektiv sch√ľtzen;
  • Unterst√ľtzt Windows oder macOS (manchmal beides gleichzeitig);
  • Die prim√§re Steuerungsmethode ist die GUI auf jedem Computer. Einige von ihnen sind fernsteuerbar. Daf√ľr ist normalerweise eine spezielle App-Version erforderlich;
  • On-Demand-Scans, datenbankgest√ľtzte Erkennung. Heuristiken werden im proaktiven Schutzmodus angewendet;
  • Die Protokollierung ist primitiv und basiert auf den Ereignissen, die w√§hrend der Scans und des proaktiven Schutzes aufgetreten sind.

Endpoint Detection and Response

  • Gut zum Schutz des gesamten Netzwerks, einschlie√ülich Server und Dom√§nencontroller;
  • Unterst√ľtzt alle m√∂glichen *NIX-Betriebssysteme zusammen mit Windows;
  • Die zentralisierte Fernsteuerung ist eine prim√§re Art der Verwaltung. An den Systemelementen d√ľrfen nur lokale Anpassungen vorgenommen werden;
  • Prim√§rer Weg der Malware-Erkennung sind heuristische Regeln. Die L√∂sung √ľberwacht st√§ndig den Endpunkt und alle zugeh√∂rigen Elemente.
  • Protokolliert alle Ereignisse, die im gesch√ľtzten Netzwerk beobachtet werden, unabh√§ngig vom Zeitpunkt.

Sehen wir uns nun die Bedeutung der oben genannten Probleme an. Die Trennung von Sicherheitssystemen f√ľr jedes System ist entscheidend f√ľr die Einrichtung eines zuverl√§ssigen Malware-Schutzes. Clustering ist gut im Netzwerkdesign, aber nicht in Strukturen, die Homogenit√§t erfordern. Und Malware-Schutz ist genau das Richtige. Unterschiedliche Systeme mit jeweils unterschiedlichen Schutzeinstellungen verringern die Schutzeffizienz um ein Vielfaches. Nat√ľrlich ist es m√∂glich, alle Systeme √§hnlich einzurichten. Aber diese √Ąhnlichkeit wird nicht lange anhalten, wenn jemand diesen Computer mindestens einmal pro Woche verwendet.

Fehlendes gemeinsames Handeln w√§hrend des Angriffs h√§ngt mit dem vorherigen Absatz zusammen. Cyberangriffe auf Unternehmen zielen selten auf einen einzelnen Computer ‚Äď sie greifen meist das gesamte Netzwerk an. Und das erfordert, dass alle Elemente dieses Netzwerks gleichzeitig und identisch reagieren. Ein solches Problem ist weniger kritisch, da sogar einige EDR-Systeme in einigen Situationen die asymmetrische Reaktion annehmen. Aber es ist wichtig, √ľber eine solche F√§higkeit zu verf√ľgen ‚Äď und verstreute Sicherheitsl√∂sungen bieten keine.

Journaling ist eine sehr untersch√§tzte Sache, die in Standard-Anti-Malware-Software in keiner brauchbaren Form zu finden ist. Scan-/Schutzprotokolle geben Ihnen immer noch nicht gen√ľgend Informationen, um die aktuelle Situation oder den vergangenen Cybervorfall zu analysieren. Die Informationen dar√ľber, wie es passiert, Sekunde f√ľr Sekunde, Schritt f√ľr Schritt, helfen den Cybersicherheitsspezialisten, die notwendigen Anpassungen vorzunehmen, um einen besseren Schutz zu gew√§hrleisten.

Schl√ľsselprinzipien von Endpoint Detection and Response

Wie jedes Produkt f√ľr gro√üe Unternehmen beruht EDR unabh√§ngig vom Anbieter auf mehreren Schl√ľsselprinzipien. Dies ist wie eine Liste von Grundregeln, die eingehalten werden m√ľssen, um Ihr Produkt als EDR-L√∂sung zu bezeichnen. Diese Prinzipien k√∂nnen auch als minimale Anforderungen an das Softwareprodukt interpretiert werden, das vorgibt, ein unternehmensweites Anti-Malware-Programm zu sein.

Koordinierte Reaktion aller Angriffsflächen. Wie oben erwähnt, ist es wichtig, während des Angriffs auf alle Systemelemente gleichzeitig zu reagieren. Das EDR-System muss diese Funktion standardmäßig oder nach der spezifischen Einrichtung bereitstellen.

EDR-Prinzipien vereinfacht
EDR-Schutzschema

Cloud-basierte Verwaltung des Systems. EDR-L√∂sungen m√ľssen aus der Ferne steuerbar sein, um dem Angriff entgegenzuwirken und die Situation von jedem Ort und zu jeder Zeit zu analysieren. Wie Statistiken besagen, zielen die meisten Cyberangriffe auf nach Stunden passieren - wenn angeblich niemand das Firmennetzwerk im Auge beh√§lt.

H√∂chste Schutzraten. Wozu braucht man ein teures und schwer einzurichtendes Sicherheitssystem, wenn es modernen Bedrohungen nicht entgegenwirken kann? Das ist eine rhetorische Frage. Der Schutz in Endpoint-Security-L√∂sungen muss auf heuristischen und datenbankgest√ľtzten Erkennungsmechanismen und m√∂glicherweise auf neuronalen Netzen beruhen. Organisationen wie AV-Comparatives testen die verf√ľgbaren L√∂sungen regelm√§√üig und ver√∂ffentlichen daher f√ľr jedes EDR-System eine eigene Bewertung.

Auf welche Bedrohungen zielt EDR ab?

Endpunkt-Erkennungssysteme sind in der Lage, jede Bedrohung zu erkennen und zu entfernen - f√ľr das, wof√ľr Sie Geld bezahlen. Von der einfachsten Adware bis hin zu verschleierter Spyware oder Backdoor-Malware kann es all diese Dinge stoppen. Es unterscheidet sich jedoch erheblich im Verst√§ndnis, dass der Angriff stattfindet. Unternehmen werden selten angegriffen, um Adware oder einen anderen "leichten" Virus einzuschleusen - sie erhalten normalerweise Ransomware oder andere b√∂se Dinge. Und die Art und Weise, wie EDR dies stoppt, unterscheidet sich von der rein datenbankgest√ľtzten Erkennung oder dem heuristischen Scannen.

Sie k√∂nnen bereits anhand der wichtigsten Prinzipien des EDR-Systems erahnen, was gemeint ist. Solche Sicherheitssysteme sollen den Angriff in der Anfangsphase stoppen ‚Äď zum Beispiel RDP-Passw√∂rter brute force oder die Ausf√ľhrung von Browser-Exploits. Zu diesem Zweck verf√ľgen Endpunkterkennungssysteme √ľber ein Journal aller Ereignisse im System. Dar√ľber hinaus erm√∂glicht das Journaling den EDR-Systemen, den gef√§hrlichsten Bedrohungen - beispielsweise sogenannten Advanced Persistent Threats - effektiv entgegenzuwirken. Andere langlebige Dinge, wie Backdoors und Spyware, die normalerweise versuchen, sich so lange wie m√∂glich im System zu halten, werden ebenfalls effizient besiegt.

Lohnt sich EDR?

Diese Frage h√§ngt von zu vielen Faktoren ab, um eine einzige Antwort zu geben. EDR ist konstruktionsbedingt teurer und komplexer als normale Antivirensoftware. Gleichzeitig ist es viel effektiver gegen reale Bedrohungen. Adware und Browser-Hijacker sind eher wie eine einfache Erk√§ltung, w√§hrend Ransomware oder Spyware-Angriffe so ernst wie eine Lungenentz√ľndung sind. Aber dieser Vergleich trifft nicht immer zu.

Wenn Sie ein kleines Unternehmen haben, beispielsweise eine B√§ckereikette in Ihrer Stadt/Ihrem Landkreis, ist das Preis/Gewinnverh√§ltnis beim Kauf des EDR f√ľr Sie zu niedrig. Sie m√ľssen nicht so viele Computer und Server mit einer High-End-L√∂sung sch√ľtzen, und Ihre Daten und Aktivit√§ten sind f√ľr Cyberkriminelle nicht von Interesse. Zu hoffen, dass Sie nicht geschlagen werden, bedeutet nicht, dass Sie niemals geschlagen werden. Aber dennoch ist Objektivierung Ihrer Bed√ľrfnisse eine wesentliche Sache, wenn es um gro√üe Ausgaben geht.

Auch kleine Unternehmen k√∂nnen ins Visier von Betr√ľgern geraten. Buchhaltungs- und Clearingfirmen, die m√∂glicherweise mit regionalen Banken und kleinen Maklerfirmen zusammenarbeiten, haben vertrauliche Informationen, die ihren Speicher durchlaufen. Das Gleiche gilt f√ľr Kliniken, lokale Regierungsbeh√∂rden und Bankfilialen. Einige Ransomware-Gruppen einigten sich darauf, Angriffe auf Unternehmen mit kritischer Infrastruktur, Regierungsbeh√∂rden, medizinische Einrichtungen und Bildungseinrichtungen zu vermeiden. Aber das bedeutet nie, dass Sie zu 100¬†% sicher sind ‚Äď selbst einige der gr√∂√üten Gruppen haben sich entschieden, diese Regeln f√ľr ‚Äěethisches Hacken‚Äú.