{"id":29322,"date":"2022-10-04T15:54:56","date_gmt":"2022-10-04T13:54:56","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29322"},"modified":"2022-10-04T15:54:56","modified_gmt":"2022-10-04T13:54:56","slug":"introducing-kedr-optimum","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/introducing-kedr-optimum\/29322\/","title":{"rendered":"D\u00fcrfen wir vorstellen? Kaspersky EDR Optimum!"},"content":{"rendered":"

Im Bereich der Informationssicherheit ist es schwierig, Produkte und Dienstleistungen und ihre verschiedenen Merkmale und Funktionen in nur einem Wort zu beschreiben. Aber warum?<\/p>\n

Cybersicherheit ist nicht eindimensional, wie beispielsweise ein Schiff. Es gibt verschiedene Schiffsgr\u00f6\u00dfen, aber grob gefasst bleibt ein Schiff eben genau das: ein Schiff. Aber wie fasst man im Bereich der Informationssicherheit all das, was ein modernes Cybersicherheitssystem eines Unternehmens tut, auf einfache, (wenn m\u00f6glich) eing\u00e4ngige und ausreichend verst\u00e4ndliche Weise in m\u00f6glichst wenigen Worten zusammen? Und wie lassen sich Sicherheitssysteme voneinander unterscheiden? Es ist bereits schwierig, diese Unterschiede in einem vergleichsweise langen Absatz zu erkl\u00e4ren, aber alle L\u00f6sungsfunktionen im Namen eines Produkts oder einer Dienstleistung unterzubringen wird zur Mammutaufgabe.<\/p>\n

Vielleicht ist das der Grund, warum manche Menschen Kaspersky immer noch mit einer schlichten \u201eAntiviren-Software\u201c in Verbindung bringen. In Wirklichkeit ist die Erkennung und Neutralisierung von Malware auf der Grundlage einer Antiviren-Datenbank jedoch nur eine unserer Sicherheitstechnologien. Im Laufe eines Vierteljahrhunderts haben wir diese um viele weitere Gef\u00e4hrten erweitert. Der Begriff \u201eAntivirus\u201c ist heute deshalb eher metaphorisch zu verstehen.<\/p>\n

Aber was tun wir, wenn wir Nutzern komplexe, funktionsreiche Schutzma\u00dfnahmen f\u00fcr die IT-Infrastruktur eines Unternehmens erkl\u00e4ren m\u00fcssen? Meist taucht an diesem Punkt irgendeine seltsame Wortkombination auf. Dar\u00fcber hinaus k\u00f6nnen eingesetzte Akronyme, die urspr\u00fcnglich der Vereinfachung dienen sollten, zu zus\u00e4tzlicher Verwirrung f\u00fchren. Und jedes Jahr nimmt die Zahl der Begriffe und Akronyme zu, so dass es immer schwieriger wird, sich all diese zu merken und den \u00dcberblick zu behalten. Lassen Sie mich deshalb versuchen, komplexe, aber notwendige Bezeichnungen, Begriffe, Erkl\u00e4rungen und Abk\u00fcrzungen in einer einfachen Form darzustellen, um die \u201eKlarheit\u201c zu erreichen, die durch Akronyme und Abk\u00fcrzungen oftmals auf der Strecke bleibt.<\/p>\n

Von EPP zu XDR<\/h2>\n

Gut, zur\u00fcck zum Schiff, bzw. Antivirus.<\/p>\n

Heutzutage lautet die genauere Bezeichnung f\u00fcr diese Produktkategorie \u201eEndpoint Protection\u201c oder \u201eEndpoint Security\u201c. Wie bereits erw\u00e4hnt, werden Endger\u00e4te heutzutage nicht nur durch Antiviren-Software, sondern auch durch verschiedene Sicherheitsma\u00dfnahmen gesch\u00fctzt. Und verschiedene Endpointtechnologien erhalten manchmal neue Namen, die das Wort \u201ePlatform\u201c enthalten: Irgendwie klingt das passender und das Akronym EPP<\/a> (Endpoint Protection Platform) scheint dar\u00fcber hinaus in Mode gekommen zu sein.<\/p>\n

Endpoint Protection Platform ist ein Konzept, das auf die 1990er Jahre zur\u00fcckgeht. Es ist auch heute noch gefragt, aber es werden andere Methoden ben\u00f6tigt, um einen hochwertigen Schutz f\u00fcr verteilte Infrastrukturen zu gew\u00e4hrleisten. Daten m\u00fcssen im gesamten Netzwerk gesammelt und analysiert werden, um nicht nur einzelne Vorf\u00e4lle zu identifizieren, sondern die gesamte Angriffskette \u00fcber einen einzelnen Endpoint hinaus. Die Bedrohungen m\u00fcssen im gesamten Netz und nicht nur auf einem einzelnen Computer bek\u00e4mpft werden.<\/p>\n

Ein Jahrzehnt sp\u00e4ter, in den fr\u00fchen 2000er Jahren, erscheint die Produktklasse SIEM<\/a> \u2013 Security Information and Event Management. Dabei handelt es sich um ein Tool f\u00fcr die Sammlung und Analyse aller vergangener und gegenw\u00e4rtiger Infosec-Telemetrie von verschiedenen Ger\u00e4ten und Anwendungen: Ein gutes SIEM kann retrospektive Analysen durchf\u00fchren, Ereignisse aus der Vergangenheit vergleichen und Angriffe aufdecken, die viele Monate oder sogar Jahre zur\u00fcckliegen.<\/p>\n

Zu diesem Zeitpunkt (wir befinden uns immer noch in den fr\u00fchen 2000er Jahren) arbeiten wir bereits unter Ber\u00fccksichtigung des gesamten Netzwerks. Nur leider fehlt das \u201eP\u201c f\u00fcr \u201eProtection\u201c in der Produktkategorie SIEM. Der notwendige Schutz wird deshalb von der EPP (Endpoint Protection Platform) bereitgestellt. Die EPP ist jedoch f\u00fcr Netzwerkereignisse blind; so k\u00f6nnte sie beispielsweise leicht eine APT<\/a> (Advanced Persistent Threat) \u00fcbersehen.<\/p>\n

Anfang der 2010er Jahre entsteht daher Endpoint Detection and Response (EDR<\/a>) als eine weitere M\u00f6glichkeit, diese L\u00fccke zu schlie\u00dfen und beide Sicherheitsfunktionen abzudecken. Zum einen erm\u00f6glicht EDR die zentrale \u00dcberwachung der gesamten IT-Infrastruktur, indem beispielsweise Angriffsspuren von allen Hosts gesammelt werden. Andererseits unterst\u00fctzen EDR-Produkte die Untersuchung und Reaktion nicht nur via EPP-Erkennung, sondern auch mit fortschrittlicheren Technologien wie der Korrelationsanalyse<\/a> von Ereignissen, der Erkennung von Anomalien mit maschinellem Lernen<\/a>, der dynamischen Analyse verd\u00e4chtiger Objekte in einer Sandbox<\/a> und verschiedenen anderen Threat-Hunting-Tools<\/a> zur Unterst\u00fctzung der Analyse und Reaktion<\/a>.<\/p>\n

Und wenn wir bei K eigene EDR-L\u00f6sungen entwickeln, m\u00fcssen wir diesen nat\u00fcrlich auch unsere ganz pers\u00f6nliche Note verleihen und das Ganze als EDR Optimum<\/a>\u00a0bezeichnen.<\/p>\n

So weit, so gut. Doch der Perfektion sind keine Grenzen gesetzt.<\/p>\n

Spulen wir noch einmal vor, dieses Mal in die fr\u00fchen 2020er Jahre; zu diesem Zeitpunkt gewinnt ein neues Akronym \u2013 XDR<\/a> (eXtended Detection and Response<\/a>) \u2013 in der Cybersicherheitsbranche rasch an Popularit\u00e4t. Im Grunde handelt es sich um eine gedopte EDR-Version. Solche Systeme analysieren nicht nur Daten von Endpoints (Workstations), sondern auch von anderen Quellen (z. B. E-Mail-Gateways und Cloud-Ressourcen). Das ist mehr als sinnvoll, da Angriffe auf Infrastrukturen \u00fcber viele verschiedene Einstiegspunkte erfolgen k\u00f6nnen.<\/p>\n

XDR k\u00f6nnen ihr Wissen durch weitere Daten aus dem Internet noch weiter bereichern:<\/p>\n