EDR nennt sich der aktuelle Trend in der IT-Sicherheit, der von manchen als die Zukunft der Cybersicherheit angesehen wird. Was genau steckt dahinter, für wen eignet sich dieser Ansatz und was kann er? Zeit für den Tabidus Verband einen Blick darauf zu werfen und aufzuklären.

Endpoint Detection and Response (EDR) ist derzeit in aller Munde. Fast alle Sicherheitsanbieter haben bereits EDR-Lösungen in ihr Produktportfolio aufgenommen, eine Vielzahl neuer Anbieter stellen nun „Threat Detection Plattformen“ zur Verfügung und viele Unternehmen überlegen sich ihre Sicherheitsstrategie dahingehend zu erweitern. Was steckt jedoch hinter EDR und ist es wirklich die Zukunft der Cybersicherheit?

PROAKTIV ODER REAKTIV?

Um zu verstehen was EDR ist, muss uns zuerst der Unterschied zwischen „proaktiver“ und „reaktiver“ Sicherheit klar sein. Betrachten wir diese beiden Konzepte anhand eines alltäglichen Beispiels: Sie besitzen ein Auto und möchten sicherstellen, dass sie mit diesem keine Autopanne haben. Der proaktive Ansatz dazu, ist alle Serviceintervalle einzuhalten, notwendige Reparaturen durchzuführen, die Reifen regelmäßig zu tauschen usw. Bei dem reaktiven Ansatz gehen sie davon aus, dass sie früher oder später eine Autopanne haben werden und schließen für den Fall der Fälle einen Vertrag mit einem Pannenservice ab, der ihnen dann hilft.

Mit IT-Sicherheit verhält es sich ähnlich. Der proaktive Ansatz umfasst alle Maßnahmen um Sicherheitsvorfälle zu verhindern und diese werden unter dem Begriff „EPP“ (Endpoint Protection Platform) zusammengefasst. Dazu zählen alle Techniken von Anti-Malware, sowie Firewalls, DLP, Verschlüsselung, Application Whitelisting usw. Der reaktive Ansatz, der helfen soll, wenn es zu einem Sicherheitsvorfall gekommen ist, wird als EDR bezeichnet. An dieser Stelle merken wir an, dass es auch einige Anbieter auf dem Markt gibt, die in ihren Lösungen eine Kombination aus EPP- und EDR-Funktionalität bereitstellen.

WAS IST ENPOINT DETECTION AND RESPONSE?

EDR ist ein Verfahren mit dem festgestellt werden kann, ob es zu einem Vorfall gekommen ist, der durch die Sicherheitssysteme nicht verhindert wurde. Dazu gehört festzustellen wie der Vorfall begonnen hat, welche Benutzer und Computer davon betroffen sind und das Einleiten von Aktionen, um den Vorfall zu beenden.

WIE FUNKTIONIERT ENDPOINT DETECTION AND RESPONSE?

Die grundlegende Arbeitsweise einer EDR-Lösung ist immer gleich. Auf jedem Endgerät wird eine Softwarekomponente installiert die Informationen einsammelt (Dateizugriffe, Prozessinformationen, Netzwerkdaten, Benutzerereignisse usw.) und diese an die Cloud des Anbieters oder einen lokalen Server hochlädt. Die dort zusammengetragenen Daten werden von dem Anbieter aufbereitet, analysiert, in Relation gebracht und übersichtlich dargestellt. Danach fängt die Arbeit der Sicherheitsanalysten an. Deren Aufgabe ist es diese Informationen zu durchsuchen, zu bewerten und tatsächlich gefährliche Situationen ausfindig zu machen. Abhängig vom jeweiligen Anbieter stehen dem Analysten dann verschiedene Aktionen zur Verfügung (Terminieren eines Prozesses, isolieren der Endgeräte, blockieren von Dateizugriffen usw.), um die unerwünschten Vorgänge zu stoppen. Diese Befehle können von der lokalen Softwarekomponente wiederum empfangen und umgesetzt werden.

WOVOR SCHÜTZT ENDPOINT DETECTION AND RESPONSE?

Es kann verschiedene Gründe geben, warum das eingesetzte Sicherheitssystem eine Bedrohung nicht verhindern kann. Zu den naheliegendsten gehören, wenn nicht alle Endgeräte mit dem Sicherheitssystem ausgestattet sind, dieses technische Probleme hat oder der Anbieter die erforderliche Erkennungsrate nicht besitzt. Zum anderen existieren Bedrohungsszenarien, die von einem proaktiven Ansatz nicht erkannt werden können. Dazu zählen böswillige Handlungen von Mitarbeitern (Insider Threat) oder Angriffe die ohne technische Komponente durchgeführt werden (Social Engineering). EDR kann in diesen Fällen helfen die Gefahrensituation zu bemerken und einzudämmen. Jedoch ist dieser Ansatz nur so gut wie die Analysten die mit dem System arbeiten und in jedem Fall kein Ersatz für proaktive Sicherheit.

FÜR WEN EIGNET SICH ENDPOINT DETECTION AND RESPONSE?

Wie die beschriebene Arbeitsweise von EDR erkennen lässt, handelt es sich dabei um keine rein technische Lösung. Für den Betrieb ist spezielles Personal notwendig (Sicherheitsanalysten), welches die gemeldeten Verdachtsmomente permanent überprüft und bei Bedarf schnell Gegenmaßnahmen einleiten kann. Das ist ein großer Unterschied im Vergleich zum Betrieb von EPP-Lösungen, die den Schutz vollautomatisiert bereitstellen. Eine EDR-Lösung kommt daher nur für jene Unternehmen in Frage, die in der Lage sind die Grundvoraussetzung für dessen Betrieb zu schaffen. Dafür stehen einem Unternehmen zwei Wege offen: Entweder die Errichtung eines eigenen SOC’s (Security Operating Center) oder einen externen Dienstanbieter (Managed Service Provider) engagieren, der den Betrieb stellvertretend übernimmt.

WIE STEHT DER VERBAND DAZU?

Als neutraler Verband steht Tabidus allen Ansätzen offen gegenüber. Da der EDR-Ansatz jedoch sehr betriebsaufwändig ist, folglich nicht von allen Unternehmen genutzt werden kann und erst bei einem laufenden Angriff Wirkung zeigt, priorisieren wir diesen nicht. Wir sehen EDR aber durchaus als zusätzliches Werkzeug für jene Unternehmen, die über das entsprechende Know-How und Personal für den Betrieb verfügen und sich für Notfälle rüsten wollen. Unser primäres Ziel ist jedoch, dass es bei Unternehmen erst gar nicht zu einer Gefahrensituation kommt, jedes Unternehmen diesen Schutz anwenden können soll und favorisieren daher den proaktiven Schutz. Dieses Ziel kann jedoch nicht von einem einzelnen Anbieter alleine erreicht werden, sondern nur durch die Vereinigung unterschiedlichster Anbieter und Technologien.

EDR nennt sich der aktuelle Trend in der IT-Sicherheit, der von manchen als die Zukunft der Cybersicherheit angesehen wird. Was genau steckt dahinter, für wen eignet sich dieser Ansatz und was kann er? Zeit für den Tabidus Verband einen Blick darauf zu werfen und aufzuklären.

Endpoint Detection and Response (EDR) ist derzeit in aller Munde. Fast alle Sicherheitsanbieter haben bereits EDR-Lösungen in ihr Produktportfolio aufgenommen, eine Vielzahl neuer Anbieter stellen nun „Threat Detection Plattformen“ zur Verfügung und viele Unternehmen überlegen sich ihre Sicherheitsstrategie dahingehend zu erweitern. Was steckt jedoch hinter EDR und ist es wirklich die Zukunft der Cybersicherheit?

PROAKTIV ODER REAKTIV?

Um zu verstehen was EDR ist, muss uns zuerst der Unterschied zwischen „proaktiver“ und „reaktiver“ Sicherheit klar sein. Betrachten wir diese beiden Konzepte anhand eines alltäglichen Beispiels: Sie besitzen ein Auto und möchten sicherstellen, dass sie mit diesem keine Autopanne haben. Der proaktive Ansatz dazu, ist alle Serviceintervalle einzuhalten, notwendige Reparaturen durchzuführen, die Reifen regelmäßig zu tauschen usw. Bei dem reaktiven Ansatz gehen sie davon aus, dass sie früher oder später eine Autopanne haben werden und schließen für den Fall der Fälle einen Vertrag mit einem Pannenservice ab, der ihnen dann hilft.

Mit IT-Sicherheit verhält es sich ähnlich. Der proaktive Ansatz umfasst alle Maßnahmen um Sicherheitsvorfälle zu verhindern und diese werden unter dem Begriff „EPP“ (Endpoint Protection Platform) zusammengefasst. Dazu zählen alle Techniken von Anti-Malware, sowie Firewalls, DLP, Verschlüsselung, Application Whitelisting usw. Der reaktive Ansatz, der helfen soll, wenn es zu einem Sicherheitsvorfall gekommen ist, wird als EDR bezeichnet. An dieser Stelle merken wir an, dass es auch einige Anbieter auf dem Markt gibt, die in ihren Lösungen eine Kombination aus EPP- und EDR-Funktionalität bereitstellen.

WAS IST ENPOINT DETECTION AND RESPONSE?

EDR ist ein Verfahren mit dem festgestellt werden kann, ob es zu einem Vorfall gekommen ist, der durch die Sicherheitssysteme nicht verhindert wurde. Dazu gehört festzustellen wie der Vorfall begonnen hat, welche Benutzer und Computer davon betroffen sind und das Einleiten von Aktionen, um den Vorfall zu beenden.

WIE FUNKTIONIERT ENDPOINT DETECTION AND RESPONSE?

Die grundlegende Arbeitsweise einer EDR-Lösung ist immer gleich. Auf jedem Endgerät wird eine Softwarekomponente installiert die Informationen einsammelt (Dateizugriffe, Prozessinformationen, Netzwerkdaten, Benutzerereignisse usw.) und diese an die Cloud des Anbieters oder einen lokalen Server hochlädt. Die dort zusammengetragenen Daten werden von dem Anbieter aufbereitet, analysiert, in Relation gebracht und übersichtlich dargestellt. Danach fängt die Arbeit der Sicherheitsanalysten an. Deren Aufgabe ist es diese Informationen zu durchsuchen, zu bewerten und tatsächlich gefährliche Situationen ausfindig zu machen. Abhängig vom jeweiligen Anbieter stehen dem Analysten dann verschiedene Aktionen zur Verfügung (Terminieren eines Prozesses, isolieren der Endgeräte, blockieren von Dateizugriffen usw.), um die unerwünschten Vorgänge zu stoppen. Diese Befehle können von der lokalen Softwarekomponente wiederum empfangen und umgesetzt werden.

WOVOR SCHÜTZT ENDPOINT DETECTION AND RESPONSE?

Es kann verschiedene Gründe geben, warum das eingesetzte Sicherheitssystem eine Bedrohung nicht verhindern kann. Zu den naheliegendsten gehören, wenn nicht alle Endgeräte mit dem Sicherheitssystem ausgestattet sind, dieses technische Probleme hat oder der Anbieter die erforderliche Erkennungsrate nicht besitzt. Zum anderen existieren Bedrohungsszenarien, die von einem proaktiven Ansatz nicht erkannt werden können. Dazu zählen böswillige Handlungen von Mitarbeitern (Insider Threat) oder Angriffe die ohne technische Komponente durchgeführt werden (Social Engineering). EDR kann in diesen Fällen helfen die Gefahrensituation zu bemerken und einzudämmen. Jedoch ist dieser Ansatz nur so gut wie die Analysten die mit dem System arbeiten und in jedem Fall kein Ersatz für proaktive Sicherheit.

FÜR WEN EIGNET SICH ENDPOINT DETECTION AND RESPONSE?

Wie die beschriebene Arbeitsweise von EDR erkennen lässt, handelt es sich dabei um keine rein technische Lösung. Für den Betrieb ist spezielles Personal notwendig (Sicherheitsanalysten), welches die gemeldeten Verdachtsmomente permanent überprüft und bei Bedarf schnell Gegenmaßnahmen einleiten kann. Das ist ein großer Unterschied im Vergleich zum Betrieb von EPP-Lösungen, die den Schutz vollautomatisiert bereitstellen. Eine EDR-Lösung kommt daher nur für jene Unternehmen in Frage, die in der Lage sind die Grundvoraussetzung für dessen Betrieb zu schaffen. Dafür stehen einem Unternehmen zwei Wege offen: Entweder die Errichtung eines eigenen SOC’s (Security Operating Center) oder einen externen Dienstanbieter (Managed Service Provider) engagieren, der den Betrieb stellvertretend übernimmt.

WIE STEHT DER VERBAND DAZU?

Als neutraler Verband steht Tabidus allen Ansätzen offen gegenüber. Da der EDR-Ansatz jedoch sehr betriebsaufwändig ist, folglich nicht von allen Unternehmen genutzt werden kann und erst bei einem laufenden Angriff Wirkung zeigt, priorisieren wir diesen nicht. Wir sehen EDR aber durchaus als zusätzliches Werkzeug für jene Unternehmen, die über das entsprechende Know-How und Personal für den Betrieb verfügen und sich für Notfälle rüsten wollen. Unser primäres Ziel ist jedoch, dass es bei Unternehmen erst gar nicht zu einer Gefahrensituation kommt, jedes Unternehmen diesen Schutz anwenden können soll und favorisieren daher den proaktiven Schutz. Dieses Ziel kann jedoch nicht von einem einzelnen Anbieter alleine erreicht werden, sondern nur durch die Vereinigung unterschiedlichster Anbieter und Technologien.