Was ist Endpoint Detection and Response (EDR)?

EDR erfasst kontinuierlich Daten – Daten zu Prozessen, Leistung, Konfigurationsänderungen, Netzwerkverbindungen, Datei- und Daten-Downloads oder -Übertragungen, Endbenutzern oder Geräteverhalten – von jedem Endgerät im Netzwerk. Die Daten werden in einer zentralen Datenbank oder einem Data Lake gespeichert, der normalerweise in der Cloud gehostet wird. 

Die meisten EDR-Sicherheitslösungen erfassen diese Daten, indem sie ein leichtgewichtiges Datenerfassungstool oder einen Agenten auf jedem Endgerät installieren; einige verlassen sich stattdessen auf Funktionen im Betriebssystem des Endgeräts.

EDR verwendet fortschrittliche Analysen und Algorithmen des Maschinellen Lernens, um Muster, die auf bekannte Bedrohungen oder verdächtige Aktivitäten hindeuten, in Echtzeit zu erkennen, während sie sich entwickeln. 

Im Allgemeinen sucht EDR nach zwei Arten von Indikatoren: Indikatoren für eine Kompromittierung (Indicators of Compromise, IOCs), d. h. Aktionen oder Ereignisse, die auf einen potenziellen Angriff oder eine Sicherheitsverletzung hindeuten, und Indikatoren für einen Angriff (Indicators of Attack, IOAs), d. h. Aktionen oder Ereignisse, die mit bekannten Cyber-Bedrohungen oder Cyberkriminellen in Verbindung gebracht werden. 

Um diese Indikatoren zu identifizieren, korreliert EDR seine eigenen Endgerätedaten in Echtzeit mit Daten von Threat-Intelligence-Services, die kontinuierlich aktualisierte Informationen über neue und aktuelle Cyberbedrohungen liefern – die Taktiken, die sie anwenden, die Schwachstellen an Endgeräten oder IT-Infrastrukturen, die sie ausnutzen, und vieles mehr. Threat-Intelligence-Services können proprietär (vom EDR-Anbieter betrieben), von Drittanbietern oder Community-basiert sein. Darüber hinaus bilden viele EDR-Lösungen auch Daten in Mitre ATT&CK ab, einer frei zugänglichen globalen Wissensdatenbank über die Taktiken und Techniken von Hackern, zu der die US-Regierung beiträgt.

EDR-Analysen und -Algorithmen können auch eigene Nachforschungen anstellen und Echtzeitdaten mit historischen Daten und etablierten Basisdaten vergleichen, um verdächtige Aktivitäten, abweichende Endbenutzeraktivitäten und alles, was auf einen Cybersicherheitsvorfall oder eine Bedrohung hinweisen könnte, zu identifizieren. Außerdem können sie die „Signale“, also die legitimen Bedrohungen, vom „Rauschen“ der Falschmeldungen trennen, sodass sich die Sicherheitsanalysten auf die wirklich wichtigen Vorfälle konzentrieren können.

Viele Unternehmen integrieren EDR mit einer SIEM-Lösung (Security Information and Event Management), die sicherheitsrelevante Daten auf allen Ebenen der IT-Infrastruktur erfasst – nicht nur Endgeräte, sondern auch Anwendungen, Datenbanken, Webbrowser, Netzwerkhardware und mehr. SIEM-Daten können EDR-Analysen mit zusätzlichem Kontext zur Identifizierung, Priorisierung, Untersuchung und Beseitigung von Bedrohungen erweitern.

EDR fasst wichtige Daten und Analyseergebnisse in einer zentralen Verwaltungskonsole zusammen, die gleichzeitig als Benutzeroberfläche (User Interface, UI) für die Lösung dient. Von der Konsole aus erhalten die Mitglieder des Sicherheitsteams einen vollständigen Überblick über alle Endgeräte und Sicherheitsprobleme im gesamten Unternehmen und können Untersuchungen, Reaktionen auf Bedrohungen und Abhilfemaßnahmen für alle Endgeräte einleiten.

Die Automatisierung ist das, was die „Reaktion“ – eigentlich die schnelle Reaktion – in EDR ausmacht. Auf der Grundlage von vordefinierten Regeln, die vom Sicherheitsteam festgelegt wurden – oder die im Laufe der Zeit von maschinellen Lernalgorithmen 'gelernt' wurden – können EDR-Lösungen automatisch:

• Sicherheitsanalysten auf bestimmte Bedrohungen oder verdächtige Aktivitäten aufmerksam machen
• Alarme nach Schweregrad einstufen oder priorisieren
• Einen Rückverfolgungsbericht („Track Back“) erstellen, der alle Stationen eines Vorfalls oder einer Bedrohung im Netzwerk bis hin zur Ursache zurückverfolgt
• Ein Endgerät trennen oder einen Endbenutzer vom Netzwerk abmelden
• System- oder Endgeräteprozesse anhalten
• Verhindern, dass ein Endgerät eine bösartige oder verdächtige Datei oder einen E-Mail-Anhang ausführt („detoniert“)
• Antivirus- oder Anti-Malware-Software veranlassen, andere Endgeräte im Netzwerk auf die gleiche Bedrohung zu scannen

EDR kann Aktivitäten zur Untersuchung und Sanierung von Bedrohungen automatisieren (siehe unten). Und es kann in SOAR-Systeme (Security Orchestration, Automation and Response) integriert werden, um Security Response Playbooks (Sequenzen zur Reaktion auf Vorfälle) zu automatisieren, die andere Sicherheitstools einbeziehen.

All diese Automatisierung hilft den Sicherheitsteams, schneller auf Vorfälle und Bedrohungen zu reagieren, um den Schaden, den sie im Netzwerk anrichten können, zu minimieren. Und es hilft den Sicherheitsteams, mit dem vorhandenen Personal so effizient wie möglich zu arbeiten.

Sobald eine Bedrohung isoliert ist, bietet EDR Funktionen, die Sicherheitsanalysten zur weiteren Untersuchung der Bedrohung nutzen können. So helfen forensische Analysen den Sicherheitsanalysten, die Ursache einer Bedrohung zu ermitteln, die verschiedenen betroffenen Dateien zu identifizieren und die Schwachstelle oder Schwachstellen zu identifizieren, die der Angreifer ausgenutzt hat, um in das Netzwerk einzudringen, sich Zugriff auf Zugangsdaten zu verschaffen oder andere bösartige Aktivitäten durchzuführen.

Mit diesen Informationen ausgestattet können Analysten Sanierungsmaßnahmen nutzen, um die Bedrohung zu beseitigen. Die Sanierung kann Folgendes umfassen:

• Beseitigung von bösartigen Dateien und Löschen dieser Dateien von Endgeräten
  
• Wiederherstellung beschädigter Konfigurationen, Registry-Einstellungen, Daten und Anwendungsdateien
• Anwendung von Updates oder Patches zur Beseitigung von Sicherheitslücken
• Aktualisierung der Erkennungsregeln, um eine Wiederholung zu verhindern

Die Bedrohungsjagd (auch Cyberthreat Hunting genannt) ist eine proaktive Sicherheitsübung, bei der ein Sicherheitsanalyst das Netzwerk nach noch unbekannten Bedrohungen oder bekannten Bedrohungen durchsucht, die noch nicht von den automatisierten Cybersicherheits-Tools des Unternehmens erkannt oder beseitigt wurden. Denken Sie daran, dass hochentwickelte Bedrohungen monatelang lauern können, bevor sie entdeckt werden. Sie erfassen Systeminformationen und Benutzer-Zugangsdaten, um sich auf einen groß angelegten Angriff vorzubereiten. Eine effektive und rechtzeitige Bedrohungsjagd kann die Zeit verkürzen, die für die Erkennung und Beseitigung dieser Bedrohungen benötigt wird, und den Schaden durch den Angriff begrenzen oder verhindern.

Bedrohungsjäger verwenden eine Vielzahl von Taktiken und Techniken, von denen sich die meisten auf dieselben Datenquellen, Analysen und Automatisierungsfunktionen stützen, die auch EDR für die Erkennung von Bedrohungen, die Reaktion darauf und die Sanierung von Problemen nutzt. Ein Analyst, der auf der Suche nach Bedrohungen ist, könnte zum Beispiel nach einer bestimmten Datei, einer Konfigurationsänderung oder einem anderen Artefakt auf der Grundlage forensischer Analysen oder MITRE ATT&CK-Daten suchen, die die Methoden eines bestimmten Angreifers beschreiben.

Zur Unterstützung der Bedrohungsjagd stellt EDR den Sicherheitsanalysten diese Funktionen über eine Benutzeroberfläche oder programmgesteuert zur Verfügung, so dass sie Ad-hoc-Suchen, Datenabfragen, Korrelationen zu Threat-Intelligence und andere Untersuchungen durchführen können. EDR-Tools, die speziell für die Bedrohungsjagd entwickelt wurden, reichen von einfachen Skriptsprachen (zur Automatisierung gängiger Aufgaben) bis hin zu Tools für die Abfrage natürlicher Sprache.