Funktionsweise von Endpoint Detection and Response

EDR – Bedeutung und Definition

Endpoint Detection and Response (EDR) bezeichnet eine Kategorie von Tools, die Computer-Workstations und andere Endpoints kontinuierlich auf Hinweise auf eine mögliche Bedrohung überwachen. Ziel der EDR ist es, Sicherheitsverletzungen in Echtzeit zu erkennen und auf potentielle Bedrohungen umgehend zu reagieren. Endpoint Detection and Response – manchmal auch Endpoint Threat Detection and Response (ETDR) genannt – besteht aus einer Reihe von Tools, die je nach Implementierung im Detail variieren können.

Der Begriff wurde erstmals 2013 von Gartner geprägt und bezeichnete eine damals neue Kategorie von Cybersicherheitssoftware.

Wie funktioniert EDR?

Bei EDR liegt der Fokus auf den Endpoints, also auf jedem beliebigen Computersystem in einem Netzwerkwerk, wie zum Beispiel Endbenutzer-Workstations oder Server. EDR-Sicherheitslösungen schaffen Transparenz in Echtzeit und bieten proaktive Erkennung und Reaktion. Dabei bedienen sie sich einer Vielzahl von Methoden, wie zum Beispiel:

Datenerfassung am Endpoint:

Daten werden auf Endpoint-Ebene generiert, einschließlich Kommunikation, Prozessausführung und Benutzeranmeldungen. Diese Daten werden anonymisiert.

Übermittlung der Daten an die EDR-Plattform:

Die anonymisierten Daten von allen Endpoints werden an eine zentrale Stelle gesendet, in der Regel eine Cloud-basierte EDR-Plattform. Je nach Anforderung kann die Plattform auch lokal oder als Hybrid Cloud bereitgestellt werden.

Dantenanalyse:

Für die Daten- und Verhaltensanalyse nutzt die Lösung lernfähige Systeme. Dabei wird eine Metrik für normale Aktivitäten erstellt, um auf dieser Grundlage Anomalien zu erkennen, die auf verdächtige Aktivitäten zurückzuführen sein könnten. Einige EDR-Lösungen nutzen Threat Intelligence-Daten, um beobachtetes Verhalten im Kontext von realen Beispielen für Cyberangriffe betrachten zu können. Die Technologie vergleicht Aktivitäten im Netzwerk und an den Endpoints mit diesen Beispielen, um Hinweise auf Angriffe zu finden.

Aufzeigen von verdächtigen Aktivitäten und Einleiten von Maßnahmen:

Die Lösung markiert verdächtige Aktivitäten und informiert Sicherheitsteams und andere relevante Akteure. Darüber hinaus werden automatisierte Gegenmaßnahmen eingeleitet, die zuvor in entsprechenden Triggern definiert wurden. Ein Beispiel hierfür ist die vorübergehende Isolierung eines Endpoints, um die Ausbreitung von Malware im Netzwerk zu verhindern. 

Speicherung von Daten zur weiteren Verwendung: 

EDR-Lösungen speichern die Daten für künftige Untersuchungen und proaktives Threat Hunting. Für die Untersuchung von langwierigen Angriffen oder zuvor unerkannten Angriffen werden diese Daten dann von Analysten und Tools wieder abgerufen.

EDR kommt immer häufiger zum Einsatz – zum einen infolge der Zunahme an Endpoints im Netzwerk und zum anderen aufgrund der zunehmende Raffinesse von Cyberangriffen, die Endpoints gern als leichten Einstiegspunkt ins Visier nehmen, um ein Netzwerk zu unterwandern.

Was eine EDR-Lösung bieten sollte

Der Funktionsumfang von EDR-Systemen variiert von Anbieter zu Anbieter. Bevor Sie sich für eine EDR-Lösung für Ihr Unternehmen entscheiden, sollten Sie daher genau prüfen, wie gut sich die Funktionen in Ihr bestehendes Gesamtsystem integrieren lassen. Die ideale EDR-Lösung ist eine, die bei minimalem Aufwand und minimalen Investitionen den größtmöglichen Schutz bietet – ein Mehrwert für Ihr Sicherheitsteam, ohne die Ressourcen zu erschöpfen. Wir haben hier für Sie ein paar Schlüsselfunktionen zusammengestellt, auf die Sie achten sollten:

Endpoint-Transparenz:

Transparenz über alle Endpoints hinweg bietet Ihnen die Möglichkeit, potentielle Bedrohungen in Echtzeit zu erkennen, damit Sie sie sofort stoppen können.

Bedrohungsdatenbank:

Für ein effektives EDR-System sind umfangreiche Daten erforderlich, die an den Endpoints gesammelt und mit Kontext angereichert werden, damit die Analyse Hinweise auf mögliche Angriffe liefern kann.

Verhaltensbasierter Schutz:

EDR nutzt Verhaltensanalysen, um nach Angriffsindikatoren (IOAs) zu suchen, und informiert die relevanten Akteure über verdächtige Aktivitäten, bevor ein Angriff seine volle Wirkung entfalten kann.

Daten aus Bedrohungsanalysen:

EDR-Lösungen mit Threat Intelligence-Systemen stellen zusätzliche Kontextdaten bereit, z. B. Informationen über den mutmaßlichen Angreifer.

Schnelle Gegenmaßnahmen:

Ein schnell reagierendes EDR-System kann einen Angriff im Keim ersticken, ohne dass der Unternehmensbetrieb gestört wird.

Cloud-basierte Lösung:

Mit einer Cloud-basierten Endpoint Detection & Response-Lösung wird gewährleistet, dass die Such-, Analyse- und Untersuchungsfunktionen präzise und in Echtzeit ausgeführt werden können, ohne den Betrieb der Endpoints zu beeinträchtigen.

Die genauen Details und Funktionsumfänge eines EDR-Systems können je nach Implementierung variieren. Eine EDR-Implementierung kann Folgendes beinhalten:

• Ein für einen bestimmten Zweck entwickeltes Tool;
• Eine kleine Komponente in einem umfassenderen Tool zur Sicherheitsüberwachung; oder
• Eine lose Zusammenstellung von Tools, die miteinander kombiniert werden.

Da die Angreifer ihre Methoden ständig weiterentwickeln, kommen herkömmliche Sicherheitssysteme schnell an ihre Grenzen. Cybersicherheitsexperten betrachten EDR als eine Form des fortschrittlichen Bedrohungsschutzes.

Warum EDR für Unternehmen wichtig ist

Die meisten Unternehmen sind einem breiten Spektrum von Cyberangriffen ausgesetzt. Diese reichen von einfachen, opportunistischen Angriffen, wie dem Versenden eines E-Mail-Anhangs mit bekannter Ransomware, bis hin zu ausgeklügelten Angriffen, bei denen die Bedrohungsakteure bekannte Schwachstellen oder Angriffsmethoden nutzen und versuchen, ihre Aktivitäten durch Umgehungstechniken zu verschleiern, z. B. indem sie Malware in Speicherbereichen ausführen.

Aus diesem Grund sollte die Endpoint-Sicherheit als wesentlicher Bestandteil einer jeden Cybersicherheitsstrategie betrachtet werden. Auch wenn Netzwerk-basierte Schutzmechanismen einen Großteil der Cyberangriffe wirksam abwehren können, so gibt es doch einige, die durch das Raster fallen, und andere, wie z. B. Malware auf Wechseldatenträgern, die diese Abwehrmaßnahmen vollständig umgehen können. Mit einer Endpoint-basierten Sicherheitslösung kann ein Unternehmen auf Nummer sicher gehen und seine Chancen erhöhen, diese Bedrohungen zu erkennen und erfolgreich abzuwehren.

Durch den weltweit anhaltenden Trend zum Homeoffice hat auch der Endpoint-Schutz an Bedeutung zugenommen. Mitarbeiter, die von zu Hause aus arbeiten, sind unter Umständen weniger gut vor Cyberbedrohungen geschützt als ihre Kollegen vor Ort. Außerdem ist die Gefahr größer, dass sie private Geräte ohne die neuesten Updates und Sicherheits-Patches nutzen. Mitarbeiter im Homeoffice sind in Bezug auf die Cybersicherheit möglicherweise nachlässiger als sie es im herkömmlichen Büroalltag wären.

Aus all diesen Gründen sind Unternehmen und ihre Mitarbeiter zusätzlichen Cybersicherheitsrisiken ausgesetzt. Ein starker Endpoint-Schutz ist daher unerlässlich, weil er Mitarbeiter vor Bedrohungen schützt und Kriminelle daran hindert, über einen Homeoffice-Rechner das Unternehmensnetzwerk anzugreifen.

Die Beseitigung der Folgen einer Sicherheitsverletzung kann langwierig und teuer werden, und das ist vielleicht das wichtigste Argument für EDR. Ohne eine EDR-Lösung brauchen Unternehmen unter Umständen Wochen, um zu entscheiden, welche Maßnahmen zu ergreifen sind. Und oft fällt ihnen nichts besseres ein, als neue Images von den Rechnern zu ziehen, was den laufenden Betrieb stört, die Produktivität senkt und finanzielle Verluste nach sich zieht.

EDR versus Antiviren-Software

EDR ist kein Virenschutz, auch wenn es über Antiviren-Funktionen verfügt oder Daten aus einem Antiviren-Produkt verwendet. Eine Antiviren-Software schützt vor bekannten Cyberbedrohungen, während ein EDR-Programm neue Exploits während der Ausführung identifizieren und verdächtige Aktivitäten eines Angreifers während eines aktiven Vorfalls erkennen kann. Außerdem gehört EDR-Software zur neuesten Generation von Cybersicherheitsprodukten.

Best Practices im Umgang mit EDR

Folgende Best Practices sollten Sie berücksichtigen, wenn Sie EDR in Ihrem Unternehmen implementieren:

Nutzer nicht aus dem Blick verlieren

Das größte Risiko für jedes System geht von den Nutzern aus. Sie können ihm vorsätzlich oder versehentlich erheblichen Schaden zufügen. Klären Sie Ihre Nutzer über Cyberbedrohungen und riskantes Verhalten auf, um ihr Sicherheitsbewusstsein zu schärfen und die Risiken durch Taktiken wie Phishing oder Social Engineering einzudämmen. Regelmäßige Schulungen oder simulierte Bedrohungsszenarien schärfen das Bewusstsein der Nutzer für Cybersicherheitsthemen und sorgen im Falle eines Falles für kürzere Reaktionszeiten.

Wenn eine EDR-Lösung das Nutzererlebnis trübt, werden Nutzer versuchen die EDR-Funktionen zu umgehen. Zum Beispiel, indem sie Sicherheitsfunktionen abschalten, um freie Bahn zu haben. Wenn eine Lösung jedoch zu flexibel auf Nutzeranfragen reagiert, ist sie vermutlich auch für Angreifer leicht zu manipulieren. Hier kann Offenheit helfen, damit der Endbenutzer versteht, warum diese Lösungen eingeführt wurden. Wann immer eine Interaktionen mit dem Benutzer stattfindet, sollte die Kommunikation eindeutig und direkt sein. Das System sollte keine unnötigen Systeminformationen preisgeben, wie z. B. personenbezogene Daten oder IP-Architekturen.

Integration mit anderen Tools

EDR-Lösungen sind für den Schutz von Endpoints konzipiert, bieten jedoch keinen umfassenden Schutz für sämtliche digitalen Ressourcen in Ihrem Unternehmen. Neben anderen Tools wie Virenschutz, Patch Management, Firewalls, Verschlüsselung und DNS-Schutz deckt EDR nur einen Teilbereich Ihrer Gesamtstrategie zur Informationssicherheit ab.

Netzwerksegmentierung

Einige EDR-Lösungen isolieren zwar die Endpoints, wenn sie Gegenmaßnahmen einleiten, das ersetzt jedoch keine Netzwerksegmentierung. Zum Beispiel:

• In einem segmentierten Netzwerk können Sie Endpoints auf bestimmte Dienste und Repositorys beschränken. Damit lässt sich das Risiko von Datenverlusten sowie der Schaden eingrenzen, den ein erfolgreicher Angriff anrichten kann.
• Ethernet Switch Paths (ESPs) bieten ebenfalls zusätzlichen Schutz für das Netzwerk. Mit ESPs können Sie die Struktur des Netzwerks verbergen und Angreifer daran hindern, in andere Netzwerksegmente zu wechseln.

Vorbeugende Maßnahmen

Bei der Bekämpfung von Bedrohungen sollte es nicht nur um unmittelbare Gegenmaßnahmen, sondern auch um Vorbeugung gehen. Allein indem Sie Ihre Systeme stets auf dem neuesten Stand halten und mit umfassenden Protokollen und Abhängigkeitslisten patchen, können Sie schon die Zahl der Bedrohungen reduzieren, vor denen Sie sich schützen müssen.

Überprüfen Sie regelmäßig Ihre Systeme, um sicherzustellen, dass Tools und Protokolle noch korrekt konfiguriert sind und angewendet werden. Testen Sie regelmäßig die Funktionalität von Systemen und Tools mithilfe von Bedrohungsmodellen und Penetrationstests.

Im Idealfall verfügt Ihr Unternehmen über einen umfassenden Incident Response-Plan, der festlegt, wer im Falle eines Angriffs wie aktiv wird. Ein Plan hilft Ihnen, die Vorfallsreaktion zu beschleunigen, und bietet Ihnen im Nachgang eine Struktur für die Analyse der Vorfallsdaten.

Verfügbare Ressourcen nutzen

Wenn Sie Tools von Drittanbietern verwenden, nutzen Sie die von Ihrem EDR-Anbieter bereitgestellten Schulungsressourcen. Viele Anbieter informieren ihre Kunden in Schulungen oder Webinaren über die neuesten Funktionen und Best Practices. Einige bieten kostenlos oder für kleines Geld Kurse zu einer Vielzahl von Sicherheitsthemen an.

In Community-Foren und Information Sharing and Analysis Organizations (ISAOs) finden Sie nützliche Tools und Ressourcen. Zu den bekanntesten Quellen für Hinweise und Neuigkeiten aus dem Bereich der Cybersicherheit gehören die National Vulnerability Database (NVD) und das Open Web Application Security Project (OWASP).

EDR versus XDR

Herkömmliche EDR-Tools nehmen ausschließlich Endpoint-Daten in den Fokus und weisen auf mögliche Bedrohungen in diesem Bereich hin. Im Zuge der wachsenden Herausforderungen für Sicherheitsteams – Überlastung durch zu viele Ereignismmeldungen, Tools mit sehr engem Fokus, mangelnde Integration, Zeit- und Fachkräftemangel – haben sich auch die EDR-Lösungen weiterentwickelt.

XDR oder Extended Detection and Response ist ein neuerer Ansatz zur Erkennung und Abwehr von Endpoint-Bedrohungen. Das "X" steht für "Extended“ (erweitert) und bezieht sich darauf, dass die Untersuchung von Bedrohungen in isolierten Bereichen nicht mehr ausreicht und daher auf eine beliebige Datenquelle, wie Netzwerk-, Cloud-, Drittanbieter- und Endpunktdaten, ausgeweitet werden muss XDR-Systeme nutzen eine Kombination aus Analysen, Heuristiken und Automatisierung, um aus diesen Quellen Erkenntnisse zu ziehen, und können so ein höheres Maß an Sicherheit gewährleisten als isoliert agierende Sicherheitstools. Damit lassen sich in allen Sicherheitsbereichen vereinfachte Untersuchungen durchführen, wodurch sich die Zeit für Erkennung, Untersuchung und Reaktion reduziert.

Weitere Produkte:

• Kaspersky Endpoint Detection and Response Expert
• Kaspersky Endpoint Detection and Response Optimum
• Kaspersky Endpoint Security for Business

Weitere Artikel:

• Was ist Endpoint-Sicherheit?
• Einfluss des Zero-Trust-Prinzips auf die Cybersicherheit
• Was ist Datendiebstahl und wie kann man ihn verhindern?
• Wie Sie Ihre Privatsphäre schützen, wenn die Grenzen zwischen beruflicher und privater Internetnutzung schwinden