Was ist EDR?
October 02, 2022
Endpoint Threat Detection and Response, normalerweise abgekürzt, um der Abkürzung „EDR“ zu entsprechen, ist ein neuer Blick auf Anti-Malware-Software. Allerdings es geht nicht darum, allen möglichen Anforderungen gerecht zu werden, wie es „klassische“ Anti-Malware-Apps vorgeben. EDR ist, wie Sie der Abkürzung entnehmen können, ein System, das eher Endpunkte als einzelne Computer schützen muss. Die größten Schwächen von separaten Sicherheitssystemen für jeden Computer im Unternehmen waren das Fehlen gemeinsamer Maßnahmen für jedes angegriffene Gerät, die mangelnde Kontrolle über alle möglichen Angriffsflächen und das Fehlen von Journaling. Aber lassen Sie uns alles Schritt für Schritt überprüfen.
Was ist Endpoint Detection and Response?
Es ist großartig, den Unterschied zwischen den Produkten zu definieren. Damit ist jedoch noch nicht geklärt, was die Grundidee von EDR-Lösungen ist und wie das funktioniert. Endpoint-Sicherheitslösungen werden normalerweise entwickelt, um kontinuierliche Scans des Endpunkts und aller anderen Elemente des Netzwerks (Domänencontroller und Benutzercomputer, die sich mit dem Endpunkt verbinden) durchzuführen, um die mögliche Bedrohung zu erkennen und eine wettbewerbsfähige Reaktion zu erzielen . Die ständige Überwachung von Ereignissen erfordert viele zusätzliche Module zur „klassischen“ Anti-Malware-Engine und die ständige Kontrolle eines Sicherheitsspezialisten. Einige der Anbieter bieten ihre EDR-Produkte sogar als Software-as-a-Service an.
EDR-Lösungen erkennen die Bedrohung, die durch ihr Verhalten dargestellt wird. Neben den grundlegenden heuristischen Regeln setzt das Programm auch auf neuronale Netze. Die Quellen können sich jedoch von den üblichen "aktuellen Prozessen" unterscheiden - Endpoint Protection-Lösung setzt mehrere andere Möglichkeiten voraus, um Informationen über Ereignisse zu erhalten. Dann überprüft es das erkannte Element mit einer „klassischen“ datenbankgestützten Methode. Wenn es eine passende Signatur findet, wird die Bedrohung sofort entfernt, da es sich um einen Virus handelt. Wenn nicht, wird es einfach blockiert, wodurch ein Mensch das Recht erhält, die Entfernung zu verwalten. Eine solche Kuppel über allen Elementen eines Unternehmenssystems ermöglicht es, selbst mit menschlichen Bedrohungen fertig zu werden - wie Insider oder sogar Advanced Persistent Threats.
Um das Sicherheitsmanagement effektiver zu gestalten, unterteilen die meisten Lösungen das geschützte Netzwerk in kleine Teile, sogenannte Knoten. Dadurch ist es möglich, die individuellen Sicherheitseinschränkungen/Privilegien auf eine bestimmte Maschine oder sogar die gewählte Anwendung anzuwenden. Darüber hinaus macht es die Aufteilung des gesamten Netzwerks in solche Teile viel einfacher, die Ereignisprotokolle zu analysieren – es ist viel einfacher herauszufinden, was die Angriffsfläche war und wie der Angreifer gehandelt hat.
Antivirus vs. EDR
Im vorherigen Abschnitt konnten Sie drei Hauptprobleme „klassischer“ Anti-Malware-Software sehen, die sie beim Schutz von Unternehmen nicht so nützlich machen. Sie sind wahr, aber es gibt ein viel ernsteres Problem, das sie noch schwerer zu vergleichen macht. Endpoint Detection and Response-Lösungen sollen eine fesselnde Sache sein, die das gesamte Unternehmensnetzwerk schützt. Es ist machbar, eine Lösung zu finden und einzurichten, die der Abdeckung entspricht und auf dem regulären Antivirus basiert, aber ihre Effizienz wird wahrscheinlich fraglich sein. Wie die Praxis zeigt, ist es ziemlich schwierig, dem alten Hund ein paar neue Tricks beizubringen. Deshalb müssen diese Tricks von etwas ausgeführt werden, das ursprünglich für diesen Zweck entworfen wurde.
Warum ist EDR besser als normales Antivirenprogramm?
Antivirus
- Kann Solitaire-Computer effektiv schützen;
- Unterstützt Windows oder macOS (manchmal beides gleichzeitig);
- Die primäre Steuerungsmethode ist die GUI auf jedem Computer. Einige von ihnen sind fernsteuerbar. Dafür ist normalerweise eine spezielle App-Version erforderlich;
- On-Demand-Scans, datenbankgestützte Erkennung. Heuristiken werden im proaktiven Schutzmodus angewendet;
- Die Protokollierung ist primitiv und basiert auf den Ereignissen, die während der Scans und des proaktiven Schutzes aufgetreten sind.
Endpoint Detection and Response
- Gut zum Schutz des gesamten Netzwerks, einschließlich Server und Domänencontroller;
- Unterstützt alle möglichen *NIX-Betriebssysteme zusammen mit Windows;
- Die zentralisierte Fernsteuerung ist eine primäre Art der Verwaltung. An den Systemelementen dürfen nur lokale Anpassungen vorgenommen werden;
- Primärer Weg der Malware-Erkennung sind heuristische Regeln. Die Lösung überwacht ständig den Endpunkt und alle zugehörigen Elemente.
- Protokolliert alle Ereignisse, die im geschützten Netzwerk beobachtet werden, unabhängig vom Zeitpunkt.
Sehen wir uns nun die Bedeutung der oben genannten Probleme an. Die Trennung von Sicherheitssystemen für jedes System ist entscheidend für die Einrichtung eines zuverlässigen Malware-Schutzes. Clustering ist gut im Netzwerkdesign, aber nicht in Strukturen, die Homogenität erfordern. Und Malware-Schutz ist genau das Richtige. Unterschiedliche Systeme mit jeweils unterschiedlichen Schutzeinstellungen verringern die Schutzeffizienz um ein Vielfaches. Natürlich ist es möglich, alle Systeme ähnlich einzurichten. Aber diese Ähnlichkeit wird nicht lange anhalten, wenn jemand diesen Computer mindestens einmal pro Woche verwendet.
Fehlendes gemeinsames Handeln während des Angriffs hängt mit dem vorherigen Absatz zusammen. Cyberangriffe auf Unternehmen zielen selten auf einen einzelnen Computer – sie greifen meist das gesamte Netzwerk an. Und das erfordert, dass alle Elemente dieses Netzwerks gleichzeitig und identisch reagieren. Ein solches Problem ist weniger kritisch, da sogar einige EDR-Systeme in einigen Situationen die asymmetrische Reaktion annehmen. Aber es ist wichtig, über eine solche Fähigkeit zu verfügen – und verstreute Sicherheitslösungen bieten keine.
Journaling ist eine sehr unterschätzte Sache, die in Standard-Anti-Malware-Software in keiner brauchbaren Form zu finden ist. Scan-/Schutzprotokolle geben Ihnen immer noch nicht genügend Informationen, um die aktuelle Situation oder den vergangenen Cybervorfall zu analysieren. Die Informationen darüber, wie es passiert, Sekunde für Sekunde, Schritt für Schritt, helfen den Cybersicherheitsspezialisten, die notwendigen Anpassungen vorzunehmen, um einen besseren Schutz zu gewährleisten.
Schlüsselprinzipien von Endpoint Detection and Response
Wie jedes Produkt für große Unternehmen beruht EDR unabhängig vom Anbieter auf mehreren Schlüsselprinzipien. Dies ist wie eine Liste von Grundregeln, die eingehalten werden müssen, um Ihr Produkt als EDR-Lösung zu bezeichnen. Diese Prinzipien können auch als minimale Anforderungen an das Softwareprodukt interpretiert werden, das vorgibt, ein unternehmensweites Anti-Malware-Programm zu sein.
Koordinierte Reaktion aller Angriffsflächen. Wie oben erwähnt, ist es wichtig, während des Angriffs auf alle Systemelemente gleichzeitig zu reagieren. Das EDR-System muss diese Funktion standardmäßig oder nach der spezifischen Einrichtung bereitstellen.
Cloud-basierte Verwaltung des Systems. EDR-Lösungen müssen aus der Ferne steuerbar sein, um dem Angriff entgegenzuwirken und die Situation von jedem Ort und zu jeder Zeit zu analysieren. Wie Statistiken besagen, zielen die meisten Cyberangriffe auf nach Stunden passieren - wenn angeblich niemand das Firmennetzwerk im Auge behält.
Höchste Schutzraten. Wozu braucht man ein teures und schwer einzurichtendes Sicherheitssystem, wenn es modernen Bedrohungen nicht entgegenwirken kann? Das ist eine rhetorische Frage. Der Schutz in Endpoint-Security-Lösungen muss auf heuristischen und datenbankgestützten Erkennungsmechanismen und möglicherweise auf neuronalen Netzen beruhen. Organisationen wie AV-Comparatives testen die verfügbaren Lösungen regelmäßig und veröffentlichen daher für jedes EDR-System eine eigene Bewertung.
Auf welche Bedrohungen zielt EDR ab?
Endpunkt-Erkennungssysteme sind in der Lage, jede Bedrohung zu erkennen und zu entfernen - für das, wofür Sie Geld bezahlen. Von der einfachsten Adware bis hin zu verschleierter Spyware oder Backdoor-Malware kann es all diese Dinge stoppen. Es unterscheidet sich jedoch erheblich im Verständnis, dass der Angriff stattfindet. Unternehmen werden selten angegriffen, um Adware oder einen anderen "leichten" Virus einzuschleusen - sie erhalten normalerweise Ransomware oder andere böse Dinge. Und die Art und Weise, wie EDR dies stoppt, unterscheidet sich von der rein datenbankgestützten Erkennung oder dem heuristischen Scannen.
Sie können bereits anhand der wichtigsten Prinzipien des EDR-Systems erahnen, was gemeint ist. Solche Sicherheitssysteme sollen den Angriff in der Anfangsphase stoppen – zum Beispiel RDP-Passwörter brute force oder die Ausführung von Browser-Exploits. Zu diesem Zweck verfügen Endpunkterkennungssysteme über ein Journal aller Ereignisse im System. Darüber hinaus ermöglicht das Journaling den EDR-Systemen, den gefährlichsten Bedrohungen - beispielsweise sogenannten Advanced Persistent Threats - effektiv entgegenzuwirken. Andere langlebige Dinge, wie Backdoors und Spyware, die normalerweise versuchen, sich so lange wie möglich im System zu halten, werden ebenfalls effizient besiegt.
Lohnt sich EDR?
Diese Frage hängt von zu vielen Faktoren ab, um eine einzige Antwort zu geben. EDR ist konstruktionsbedingt teurer und komplexer als normale Antivirensoftware. Gleichzeitig ist es viel effektiver gegen reale Bedrohungen. Adware und Browser-Hijacker sind eher wie eine einfache Erkältung, während Ransomware oder Spyware-Angriffe so ernst wie eine Lungenentzündung sind. Aber dieser Vergleich trifft nicht immer zu.
Wenn Sie ein kleines Unternehmen haben, beispielsweise eine Bäckereikette in Ihrer Stadt/Ihrem Landkreis, ist das Preis/Gewinnverhältnis beim Kauf des EDR für Sie zu niedrig. Sie müssen nicht so viele Computer und Server mit einer High-End-Lösung schützen, und Ihre Daten und Aktivitäten sind für Cyberkriminelle nicht von Interesse. Zu hoffen, dass Sie nicht geschlagen werden, bedeutet nicht, dass Sie niemals geschlagen werden. Aber dennoch ist Objektivierung Ihrer Bedürfnisse eine wesentliche Sache, wenn es um große Ausgaben geht.
Auch kleine Unternehmen können ins Visier von Betrügern geraten. Buchhaltungs- und Clearingfirmen, die möglicherweise mit regionalen Banken und kleinen Maklerfirmen zusammenarbeiten, haben vertrauliche Informationen, die ihren Speicher durchlaufen. Das Gleiche gilt für Kliniken, lokale Regierungsbehörden und Bankfilialen. Einige Ransomware-Gruppen einigten sich darauf, Angriffe auf Unternehmen mit kritischer Infrastruktur, Regierungsbehörden, medizinische Einrichtungen und Bildungseinrichtungen zu vermeiden. Aber das bedeutet nie, dass Sie zu 100 % sicher sind – selbst einige der größten Gruppen haben sich entschieden, diese Regeln für „ethisches Hacken“.