Endpoint Detection and Response, kurz EDR, ist eine Software, die entwickelt wurde, um die Endbenutzer, Endgeräte und IT-Ressourcen eines Unternehmens automatisch vor Cyberbedrohungen zu schützen, die an Antivirensoftware und anderen herkömmlichen Endpunktsicherheitstools vorbeikommen.
EDR sammelt kontinuierlich Daten von allen Endpunkten im Netzwerk – von Desktop- und Laptop-Computern, Servern, Mobilgeräten, IoT-Geräten (Internet of Things) und mehr. Es analysiert diese Daten in Echtzeit auf Hinweise auf bekannte oder vermutete Cyberbedrohungen und kann automatisch reagieren, um Schäden durch identifizierte Bedrohungen zu verhindern oder zu minimieren.
EDR wurde erstmals 2013 von Gartner anerkannt und erfreut sich heute aus gutem Grund einer breiten Akzeptanz in Unternehmen.
Studien schätzen, dass bis zu 90 % der erfolgreichen Cyberangriffe und 70 % der erfolgreichen Datenschutzverletzungen von Endgeräten ausgehen. Während sich Antivirus-, Anti-Malware-, Firewall- und andere herkömmliche Endpunktsicherheitslösungen im Laufe der Zeit weiterentwickelt haben, sind sie immer noch darauf beschränkt, bekannte, dateibasierte oder signaturbasierte Endpunktbedrohungen zu erkennen . Sie sind beispielsweise viel weniger effektiv beim Stoppen von Social-Engineering-Angriffen wie Phishing-Nachrichten, die Opfer dazu verleiten, vertrauliche Daten preiszugeben oder gefälschte Websites mit bösartigem Code zu besuchen. (Phishing ist die häufigste Übermittlungsmethode für Ransomware.) Und sie sind machtlos gegen eine wachsende Zahl von „dateilosen" Cyberangriffen, die ausschließlich im Computerspeicher operieren, um das Scannen von Dateien oder Signaturen insgesamt zu vermeiden.
Am wichtigsten ist, dass herkömmliche Endpunktsicherheitstools fortschrittliche Bedrohungen, die sich an ihnen vorbeischleichen, nicht erkennen oder neutralisieren können. Dadurch können diese Bedrohungen monatelang im Netzwerk lauern und herumstreunen, Daten sammeln und Schwachstellen identifizieren, um einen Ransomware-Angriff, einen Zero-Day-Exploit oder einen anderen groß angelegten Cyberangriff vorzubereiten.
EDR setzt dort an, wo diese herkömmlichen Endpunktsicherheitslösungen aufhören. Seine Bedrohungserkennungsanalysen und automatisierten Reaktionsfunktionen können – oft ohne menschliches Eingreifen – potenzielle Bedrohungen identifizieren und eindämmen, die in den Netzwerkperimeter eindringen, bevor sie ernsthaften Schaden anrichten können. EDR bietet auch Tools, mit denen Sicherheitsteams vermutete und neu auftretende Bedrohungen selbst entdecken, untersuchen und verhindern können.
Obwohl es Unterschiede zwischen den Anbietern gibt, vereinen EDR-Lösungen in der Regel fünf Kernfunktionen: Kontinuierliche Endpunktdatenerfassung, Echtzeitanalyse und Bedrohungserkennung, automatisierte Reaktion auf Bedrohungen, Isolierung und Behebung von Bedrohungen sowie Unterstützung für die Bedrohungssuche.
EDR sammelt kontinuierlich Daten – Daten zu Prozessen, Leistung, Konfigurationsänderungen, Netzwerkverbindungen, Datei- und Datendownloads oder -übertragungen, Endbenutzer- oder Geräteverhalten – von jedem Endgerät im Netzwerk. Die Daten werden in einer zentralen Datenbank oder einem Data Lake gespeichert, der normalerweise in der Cloud gehostet wird.
Die meisten EDR-Sicherheitslösungen erfassen diese Daten, indem sie auf jedem Endgerät ein einfaches Datenerfassungstool oder einen Agenten installieren. Einige verlassen sich stattdessen auf Funktionen im Betriebssystem des Endpunkts.
EDR verwendet erweiterte Analyse und Algorithmen für maschinelles Lernen, um Muster zu identifizieren, die auf bekannte Bedrohungen oder verdächtige Aktivitäten in Echtzeit hinweisen, während sie sich entfalten.
Im Allgemeinen sucht EDR nach zwei Arten von Indikatoren: Indikatoren für Kompromittierung (IOCs), bei denen es sich um Aktionen oder Ereignisse handelt, die mit einem potenziellen Angriff oder Verstoß übereinstimmen; und Indikatoren für Angriffe (IOAs), bei denen es sich um Aktionen oder Ereignisse im Zusammenhang mit bekannten Cyberbedrohungen oder Cyberkriminellen handelt.
Um diese Indikatoren zu identifizieren, korreliert EDR seine eigenen Endpunktdaten in Echtzeit mit Daten von Threat Intelligence Services, die kontinuierlich aktualisierte Informationen über neue und aktuelle Cyberbedrohungen liefern – die von ihnen verwendeten Taktiken, die Schwachstellen der Endpunkte oder IT-Infrastruktur, die sie ausnutzen, und mehr. Threat Intelligence Services können proprietär (vom EDR-Anbieter betrieben), von Drittanbietern oder Community-basiert sein. Darüber hinaus ordnen viele EDR-Lösungen Daten auch Mitre ATT&CK zu, einer frei zugänglichen globalen Wissensdatenbank über Cyberbedrohungstaktiken und -techniken von Hackern, zu der die US-Regierung einen Beitrag leistet.
EDR-Analysen und -Algorithmen können auch ihre eigenen Ermittlungen durchführen, indem sie Echtzeitdaten mit historischen Daten und etablierten Basislinien vergleichen, um verdächtige Aktivitäten, abweichende Endbenutzeraktivitäten und alles, was auf einen Cybersicherheitsvorfall oder eine Bedrohung hindeuten könnte, zu identifizieren. Sie können auch die „Signale" oder legitimen Bedrohungen vom „Rauschen" der Fehlalarme trennen, sodass sich Sicherheitsanalysten auf die wirklich wichtigen Vorfälle konzentrieren können.
Viele Unternehmen integrieren EDR mit einer SIEM-Lösung (Security Information and Event Management), die sicherheitsrelevante Informationen über alle Ebenen der IT-Infrastruktur sammelt – nicht nur Endpunkte, sondern auch Anwendungen, Datenbanken, Web-Browser, Netzwerkhardware und mehr. SIEM-Daten können EDR-Analysen mit zusätzlichem Kontext zum Identifizieren, Priorisieren, Untersuchen und Beheben von Bedrohungen anreichern.
EDR fasst wichtige Daten und Analyseergebnisse in einer zentralen Verwaltungskonsole zusammen, die auch als Benutzeroberfläche (UI) der Lösung dient. Von der Konsole aus erhalten die Mitglieder des Sicherheitsteams einen vollständigen Einblick in alle Endpunkte und Endpunktsicherheitsprobleme im gesamten Unternehmen und können Untersuchungen, Bedrohungsreaktionen und Abhilfemaßnahmen für alle Endpunkte einleiten.
Automatisierung ist das, was die „Reaktion" – wirklich die schnelle Reaktion – in EDR bringt. Basierend auf vordefinierten Regeln, die vom Sicherheitsteam festgelegt oder im Laufe der Zeit durch Algorithmen für maschinelles Lernen „gelernt" wurden, können EDR-Lösungen automatisch
- Sicherheitsanalysten vor bestimmten Bedrohungen oder verdächtigen Aktivitäten warnen
- Warnungen nach Schweregrad sortieren oder priorisieren
- Einen Rückverfolgungsbericht generieren, der jeden Stopp eines Vorfalls oder einer Bedrohung im Netzwerk nachverfolgt, bis hin zur eigentlichen Ursache
- Ein Endgerät vom Netzwerk trennen oder einen Endbenutzer vom Netzwerk abmelden
- System- oder Endpunktprozesse anhalten
- Verhindern, dass ein Endpunkt eine schädliche oder verdächtige Datei oder einen E-Mail-Anhang ausführt (auslöst)
- Antiviren- oder Anti-Malware-Software auslösen, um andere Endpunkte im Netzwerk auf dieselbe Bedrohung zu scannen
EDR kann Aktivitäten zur Bedrohungsuntersuchung und -beseitigung automatisieren (siehe unten). Und es kann in SOAR-Systeme (Security Orchestration, Automation and Response) integriert werden, um Playbooks für Sicherheitsreaktionen (Vorfallsreaktionssequenzen) zu automatisieren, die andere Sicherheitstools einbeziehen.
All diese Automatisierung hilft Sicherheitsteams, schneller auf Vorfälle und Bedrohungen zu reagieren, um den Schaden, den sie dem Netzwerk zufügen können, zu minimieren. Und sie hilft Sicherheitsteams, mit dem ihnen zur Verfügung stehenden Personal so effizient wie möglich zu arbeiten.
Sobald eine Bedrohung isoliert ist, bietet EDR Funktionen, mit denen Sicherheitsanalysten die Bedrohung weiter untersuchen können. Beispielsweise helfen forensische Analysen Sicherheitsanalysten dabei, die Ursache einer Bedrohung zu lokalisieren, die verschiedenen betroffenen Dateien zu ermitteln und die Schwachstelle oder Schwachstellen zu identifizieren, die der Angreifer ausgenutzt hat, um in das Netzwerk einzudringen und sich im Netzwerk zu bewegen, Zugriff auf Authentifizierungsdaten zu erhalten oder andere böswillige Aktivitäten durchzuführen.
Ausgestattet mit diesen Informationen können Analysten Tools zur Behebung verwenden, um die Bedrohung zu beseitigen. Behebung könnte Folgendes beinhalten
- Zerstörung bösartiger Dateien und Löschung von Endgeräten
- Wiederherstellung beschädigter Konfigurationen, Registrierungseinstellungen, Daten und Anwendungsdateien
- Anwendung von Updates oder Patches, um Schwachstellen zu beseitigen
- Aktualisierung von Erkennungsregeln, um ein erneutes Auftreten zu verhindern
Threat Hunting (auch Cyberthreat Hunting genannt) ist eine proaktive Sicherheitsmaßnahme, bei der ein Sicherheitsanalyst das Netzwerk nach noch unbekannten Bedrohungen oder bekannten Bedrohungen durchsucht, die noch von den automatisierten Cybersicherheitstools des Unternehmens erkannt oder behoben werden müssen. Denken Sie daran, dass fortschrittliche Bedrohungen monatelang lauern können, bevor sie entdeckt werden, und Systeminformationen und Benutzeranmeldeinformationen sammeln, um sich auf einen groß angelegten Angriff vorzubereiten. Eine effektive und rechtzeitige Bedrohungssuche kann die Zeit verkürzen, die zum Erkennen und Beheben dieser Bedrohungen benötigt wird, und den durch den Angriff verursachten Schaden begrenzen oder verhindern.
Sicherheitsspezialisten für Cyberbedrohungen verwenden eine Vielzahl von Taktiken und Techniken, von denen die meisten auf denselben Datenquellen, Analyse- und Automatisierungsfunktionen beruhen, die EDR für die Erkennung, Beantwortung und Behebung von Bedrohungen verwendet. Beispielsweise möchte ein Analyst auf der Suche nach Bedrohungen basierend auf forensischen Analysen oder MITRE ATT&CK-Daten, die die Methoden eines bestimmten Angreifers beschreiben, nach einer bestimmten Datei, Konfigurationsänderung oder einem anderen Artefakt suchen.
Zur Unterstützung der Bedrohungssuche stellt EDR diese Funktionen Sicherheitsanalysten über UI-gesteuerte oder programmatische Mittel zur Verfügung, damit sie Ad-hoc-Suchdatenabfragen, Korrelationen zu Bedrohungsinformationen und andere Untersuchungen durchführen können. EDR-Tools, die speziell für die Bedrohungssuche vorgesehen sind, umfassen alles von einfachen Scriptsprachen (zur Automatisierung allgemeiner Aufgaben) bis hin zu Abfragetools in natürlicher Sprache.
Eine EPP- oder Endpoint-Protection-Plattform ist eine integrierte Sicherheitsplattform, die Antivirus- (NGAV) und Anti-Malware-Software der nächsten Generation mit Webkontroll-/Webfiltersoftware, Firewalls, E-Mail-Gateways und anderen traditionellen Endpunktsicherheitstechnologien kombiniert.
Auch hier konzentrieren sich EPP-Technologien in erster Linie darauf, bekannte Bedrohungen oder Bedrohungen, die sich auf bekannte Weise verhalten, an den Endpunkten zu verhindern. EDR ist in der Lage, unbekannte oder potenzielle Bedrohungen zu identifizieren und einzudämmen, die herkömmliche Endpunktsicherheitstechnologien überwinden. Dennoch haben sich viele EPPs dahingehend weiterentwickelt, dass sie EDR-Funktionen wie erweiterte Bedrohungserkennungsanalysen und Benutzerverhaltensanalysen enthalten.
Wie EDR sind XDR (Extended Detection and Response) und MDR (Managed Detection and Response) analyse- und KI-gesteuerte Bedrohungserkennungslösungen für Unternehmen. Sie unterscheiden sich von EDR im Schutzumfang, den sie bieten, und in der Art und Weise, wie sie bereitgestellt werden.
XDR integriert Sicherheitstools in die gesamte hybride Infrastruktur eines Unternehmens – nicht nur Endpunkte, sondern auch Netzwerke, E-Mail, Anwendungen, Cloud-Workloads und mehr –, damit diese Tools bei der Prävention und Erkennung von Cyberbedrohungen und der Reaktion darauf zusammenarbeiten und koordinieren können. Wie EDR integriert XDR SIEM, SOAR und andere Cybersicherheitstechnologien für Unternehmen. XDR ist eine noch junge, sich aber schnell weiterentwickelnde Technologie und hat das Potenzial, überlastete Security Operations Center (SOC) viel effizienter und effektiver zu machen, indem Sicherheitskontrollpunkte, Telemetrie, Analysen und Operationen in einem einzigen, zentralen Unternehmenssystem vereint werden.
MDR ist ein ausgelagerter Cybersicherheitsservice, der ein Unternehmen vor Bedrohungen schützt, die seine eigenen Cybersicherheitsoperationen umgehen. MDR-Anbieter bieten in der Regel rund um die Uhr Services für Bedrohungsüberwachung, -erkennung und -behebung von einem Team hochqualifizierter Sicherheitsanalysten, die über Fernzugriff mit cloudbasierten EDR- oder XDR-Technologien arbeiten. MDR kann eine attraktive Lösung für ein Unternehmen sein, das Sicherheitsfachwissen benötigt, das über das hinausgeht, was das Personal zu bieten hat, oder Sicherheitstechnologie, die sein Budget übersteigt.
KI-gestützte, automatisierte Endpunktsicherheit zur Erkennung und Beseitigung von Bedrohungen nahezu in Echtzeit.
KI-gestützte, verwaltete Präventions-, Erkennungs- und Reaktionsservices für eine schnellere Bedrohungsabwehr über Endpunkte hinweg.
Modernes Endpunktmanagement zum Schutz Ihrer Endanwender und deren Geräte vor den neuesten Cybersecurity-Bedrohungen.
Nutzen Sie einen offenen Cloud- und KI-Ansatz zur Sicherung und Verwaltung beliebiger Geräte mit einer UEM-Lösung.
Netzerkennungs-und Antwortlösungen unterstützen Sicherheitsteams, indem sie Netzaktivität in Echtzeit analysieren.
Verbinden Sie jeden Benutzer mit der IBM Security Verify IAM-Lösung mit der richtigen Zugriffsebene.
Orchestrieren Sie Ihre Incident Response, um die Organisation im Falle eines Cyberangriffs zu vereinheitlichen.
Entdecken Sie Sicherheitslösungen für jeden Benutzer, jedes Gerät und jede Verbindung.
Zentralisierte Transparenz und intelligente Sicherheitsanalysen, um Ihre kritischen Cybersicherheitsbedrohungen zu erkennen, zu untersuchen und darauf zu reagieren.