Endpoint Detection & Response (EDR)


Inhaltsübersicht

Definition und Entstehung von EDR

Leistungen von EDR

Komponenten und Funktionen

Endpoint Security – die beste Waffe im SOC Arsenal

Neue Arten von Endpunkten

Definition und Entstehung von EDR

Endpoint Detection & Response (EDR) ist ein von Gartner 2013 geprägter Begriff. Endpoint Detection & Response sind die wertvollsten Teile in Ihrem Sicherheitspuzzle – als Weiterentwicklung von Anti-Virus (AV) and Endpoint Protection Platform (EPP), bietet ein EDR-System den integrierten, mehrschichtigen Ansatz zur Endgerätesicherheit. EDR wurde entwickelt, um Daten aus den Netzwerk Teilnehmern zu sammeln und analysieren, um Angriffe auf die Endpunkte aktiv zu neutralisieren.

EDR identifiziert und entfernt Bedrohungen proaktiv und verhindert, dass sie Schaden anrichten. Zudem werden Endpunkte in den Zustand vor der Infektion zurückversetzt. Sobald ein Angriff gestoppt ist, kann dieser zum Ursprung zurückverfolgt werden, um zu verhindern, dass sich ähnliche Probleme wiederholen.

Mittels kontinuierlicher Echtzeitüberwachung, Endpunktdatenanalyse und regelbasierter, automatisierter Reaktion werden Attacken bei den ersten Anzeichen einer Erkennung und oft vor dem menschlichen Sicherheitspersonal gestoppt.

Leistungen von EDR

Die folgenden Eigenschaften sind “must-haves” für eine gute EDR-Lösung:

Darüber hinaus bieten EDR-Lösungen auch Komponenten zum Schutz vor Insider-Bedrohungen, Daten-Exfiltration durch Verschlüsselung, integrierte Firewall zum Blockieren bösartiger Netzwerkangriffe, etc.


Komponenten und Funktionen

Ein EDR Service bietet eine Fülle von Funktionen, die in der Regel auf einem Cloud-Management System mit direkter Integration von lokal installierten Softwareagenten basiert.
Die Kernkomponenten und deren Funktionalitäten sind an dieser Stelle kurz erklärt:

Endpunkt-Datenerfassungsagenten

Ein auf den Endpunkten installierter Software-Agent ermöglicht es, diese zu überwachen und Daten über sie zu sammeln bezüglich aktive Prozesse, Registry Einträge, Datenübertragung, Konfigurationen, Dateien und Verbindungen. Anschliessend werden diese Daten in einer zentralen Management-Datenbank gespeichert. Diese Informationen können kontextbezogen angereichert werden, um Sicherheitsteams bei der Identifizierung von Unregelmäßigkeiten oder anomalen Trends zu unterstützen, die auf Anzeichen eines Angriffs hindeuten.

Datenanalyse und Bedrohungsjagd

Ein EDR-Tool kann sowohl Echtzeit-Analyse- als auch Forensik-Informationen bereitstellen. Die Analyse-Engine sucht nach Mustern und ermöglicht eine schnelle Analyse von Bedrohungen, die möglicherweise nicht den vorkonfigurierten Regeln der Software entsprechen. Sie bieten eine Kombination aus aktuellen Situationsdaten und historischen Daten, um die Aktionen von Sicherheitsteams zu leiten und Wiederholungen zu verhindern. Sie ermöglichen es dem Sicherheitspersonal auch, nach Bedrohungen (z. B. Malware) zu suchen, die möglicherweise unentdeckt auf Endpunkten lauern.

Sichtbarkeit in Echtzeit

Endpoint Detection & Response Tools bieten Transparenz in Echtzeit, dass Sicherheitsteams die Aktivitäten von Angreifern sehen, wenn sie versuchen, den Endpunkt zu durchbrechen, und Massnahmen ergreifen können, um sie sofort zu stoppen.

Automatisierte Reaktion auf Vorfälle und Behebung

EDR bietet automatisierte regelbasierte Reaktion auf jede erkannte Bedrohung. Diese vor konfigurierten Regeln erkennen, wenn eingehende Daten auf eine Bedrohung hinweisen und lösen eine automatische Reaktion aus, um sie abzuschwächen oder abzuwehren. Als Reaktion könnte eine automatische Warnung an einen Sicherheitsadministrator gesendet oder der verdächtige Benutzer vom Netzwerk abgemeldet werden.



Verhaltensschutz

Effektive EDR Tools verfolgen einen «user behavior» orientierten Ansatz und überwachen AI unterstützt typische Benutzeraktivitäten, um nach Indicators of Attack (IoA) zu suchen. Anomale Aktivitäten werden dann vor einer Kompromittierung oder Verletzung gekennzeichnet.

Vorfall-Triage

Eine EDR-Lösung kann verdächtige Ereignisse automatisch korrelieren und validieren. Dies ermöglicht es Sicherheitsteams, Untersuchungen zu priorisieren und ihre Bemühungen auf die Vorfälle oder Bedrohungen zu konzentrieren, die wirklich wichtig sind, wodurch wertvolle Zeit und Ressourcen bei der Verhinderung der Verfolgung von False-Flags eingespart werden. Es reduziert auch die „Warnmüdigkeit“, was sowohl der Moral als auch der Arbeitsqualität im SOC hilft.



Bedrohungsinformationen

Integrierte Threat-Intelligence Funktionen bieten zusätzlichen Kontext und Details zu aktuellen Bedrohungen und Gegnern sowie deren Eigenschaften. Dies stärkt die Fähigkeit des EDR, Angriffe zu erkennen, darauf zu reagieren und sie zu neutralisieren.



Integration des MITRE ATT&CK Frameworks

Die MITRE Wissensdatenbank baut auf umfangreichen Studien zahlreicher realer Cyberangriffe auf. Diese kollektive Bedrohungsintelligenz hilft bei der Identifizierung von Mustern und Merkmalen, die bei verschiedenen Exploit-Typen konstant sind. Diese gemeinsamen Verhaltensweisen können dann von EDR-Lösungen verwendet werden, um Risiken effektiv zu identifizieren, die auf andere Weise hätten geändert werden können. Diese neuen Technologien für automatisierte Analyse und Reaktion können IT-Teams dabei unterstützen, mit den komplexen und vielfältigen Bedrohungen von heute fertig zu werden.

Endpoint Security – die beste Waffe im SOC Arsenal

Die Endpoint Security ist ein wesentlicher Bestandteil des modernen Cybersecurity Managements. Endpoint Attacken gehören zu den am weitesten verbreiteten Angriffsformen. Eine Studie des Ponemon Institute hat egeben, dass 68 % der Unternehmen einen oder mehrere Endpunktangriffe erlitten haben, die ihre Daten und/oder IT-Infrastruktur erfolgreich kompromittiert haben.

Die schwächsten Glieder in Ihrem Unternehmensnetzwerk sind Ihre Endpunkte. Via diese Geräte werden durch Nachlässigkeit oder böswillige Angriffe unerlaubte Zugriffe auf Ihr Netzwerk ausgeführt. Dies macht die Endgeräte für die Sicherheit Ihres Unternehmens absolut entscheidend.

Inseya_Endpoint Security_EDR

Hier sind einige weitere Gründe, warum Endgerätesicherheit wichtig ist:

EDR Lösungen erlauben zudem, mit kontextualisierten Informationen einen besseren Einblick in die IT-Umgebung zu erhalten. Dies reduziert die administrative Belastung erheblich und hilft, blinde Flecken und schlummernde Bedrohungen aufzuspüren.

Neue Arten von Endpunkten

Jedes Gerät, das mit einem Netzwerk verbunden ist, ist ein Endpunkt. Die EDR Lösungen müssen sich laufend an die dramatische Entwicklung und Artenvielfalt anpassen und weiterentwickeln. Einige dieser neuen Einstiegspunkte sind:

Der Inseya CareFree Service

Zusätzlich zu der wichtigen Integration von Endpoint Detection & Response Lösung von SentinelOne integriert Inseya auch den Vigilance SOC Betrieb direkt in die Kunden-Tenants. Dabei übernimmt Vigilance die SOC Funktion für den Kunden transparent für sämtliche Events und Eskalationen, und speist diese direkt in den Inseya IR (Incident & Response) Prozess ein. Der Kunde profitiert damit vom weltweit aufgestellten, im follow-the-sun Betrieb 7×24 agierenden Vigilance Betrieb, der wertvolle IOCs von Millionen Endpunkten direkt verwerten und damit ein unerreichtes Benutzererlebnis sicherstellt. Gerade gegen «zero day» Attacken sowie «high critical» Incidents wie Log4j etc., hat sich diese Architektur als hoch-wirksameren Schutz bewährt.


Inseya verfügt als SentinelOne MSSP Partner über hervorragend ausgebildete und zertifizierte Engineers, um Kundenprojekte erfolgreich zu implementieren und zu betreuen. Die Account Management und Customer Success Teams stellen jederzeit sicher, dass die Kunden transparent und professionell betreut sind. Wohin und wie Sie sich auch entwickeln, wir werden über die erforderlichen Expertenressourcen verfügen und Sie in der Herausforderung, der sich jede XDR Transformationsinitiative stellen muss, begleiten und unterstützen.

Inseya unterstützt Sie auf Ihrem Weg der digitalen Transformation, indem die gesamtheitliche Planung und schrittweise Umsetzung mit dem Kunden erarbeitet wird. Nebst den technischen Aspekten wird viel Wert auf Usability, Prozesse und Kommunikation sowie der Einbezug aller Stakeholder gelegt.

Weitere Informationen zum Thema:

Dieser Wissensdatenbankeintrag ist inspiriert durch den Artikel von:
A Guide to Endpoint Detection and Response (EDR) Jan 17, 2023

Haben Sie Fragen zu Cybersicherheit? Schreiben Sie uns an!