Endpoint Detection and Response (EDR) ist eine Software, die Echtzeitanalysen und KI-gestützte Automatisierung nutzt, um die Endbenutzer, Endgeräte und IT-Ressourcen eines Unternehmens vor Cyberbedrohungen zu schützen, die Antivirensoftware und andere herkömmliche Endgerätesicherheitstools überwinden.
EDR erfasst kontinuierlich Daten von allen Endgeräten im Netzwerk - Desktop- und Laptop-Computer, Server, mobile Geräte, IoT-Geräte (Internet der Dinge) und mehr. Es analysiert diese Daten in Echtzeit nach Hinweisen auf bekannte oder vermutete Cyber-Bedrohungen und kann automatisch reagieren, um Schäden durch erkannte Bedrohungen zu verhindern oder zu minimieren.
Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Erkenntnisse, um das Risiko einer Datenschutzverletzung besser zu managen.
Registrieren Sie sich für den X-Force Threat Intelligence Index
EDR wurde 2013 erstmals von Gartner ausgezeichnet und erfreut sich heute einer breiten Akzeptanz in Unternehmen, und das aus gutem Grund.
Studien gehen davon aus, dass bis zu 90 % der erfolgreichen Cyberangriffe und 70 % der erfolgreichen Datenschutzverletzungen von Endgeräten ausgehen. Virenschutz, Anti-Malware, Firewalls und andere herkömmliche Sicherheitslösungen für Endgeräte haben sich zwar im Laufe der Zeit weiterentwickelt, sind aber immer noch darauf beschränkt, bekannte, dateibasierte oder signaturbasierte Bedrohungen für Endgeräte zu erkennen. Sie sind z. B. weit weniger effektiv, wenn es darum geht, Social Engineering-Angriffe zu stoppen, wie Phishing-Nachrichten, die Opfer dazu verleiten, sensible Daten preiszugeben oder gefälschte Websites mit bösartigem Code zu besuchen. (Phishing ist die häufigste Verbreitungsmethode für Ransomware.) Und sie sind machtlos gegen eine wachsende Zahl von „dateilosen“ Cyberangriffen, die ausschließlich im Arbeitsspeicher des Computers operieren, um das Scannen von Dateien oder Signaturen gänzlich zu vermeiden.
Vor allem aber können herkömmliche Sicherheitstools für Endgeräte fortgeschrittene Bedrohungen, die sich an ihnen vorbeischleichen, nicht erkennen oder neutralisieren. Auf diese Weise können diese Bedrohungen monatelang im Netzwerk lauern, Daten erfassen und Schwachstellen identifizieren, um einen Angriff mit Ransomware, einen Zero-Day-Exploit oder einen anderen groß angelegten Cyberangriff zu starten.
EDR setzt dort an, wo diese herkömmlichen Endgeräte-Sicherheitslösungen aufhören. Seine Analysefunktionen zur Erkennung von Bedrohungen und seine automatischen Reaktionsmöglichkeiten können – oft ohne menschliches Eingreifen – potenzielle Bedrohungen, die in das Netzwerk eindringen, identifizieren und eindämmen, bevor sie ernsthaften Schaden anrichten können. EDR bietet auch Tools, mit denen Sicherheitsteams vermutete und entstehende Bedrohungen selbständig entdecken, untersuchen und abwehren können.
Zwar gibt es Unterschiede zwischen den Anbietern, aber EDR-Lösungen kombinieren in der Regel fünf Kernfunktionen: Kontinuierliche Erfassung von Endgerätedaten, Analyse und Erkennung von Bedrohungen in Echtzeit, automatische Reaktion auf Bedrohungen, Isolierung und Beseitigung von Bedrohungen sowie Unterstützung bei der Bedrohungssuche.
EDR erfasst kontinuierlich Daten – Daten zu Prozessen, Leistung, Konfigurationsänderungen, Netzwerkverbindungen, Datei- und Daten-Downloads oder -Übertragungen, Endbenutzern oder Geräteverhalten – von jedem Endgerät im Netzwerk. Die Daten werden in einer zentralen Datenbank oder einem Data Lake gespeichert, der normalerweise in der Cloud gehostet wird.
Die meisten EDR-Sicherheitslösungen erfassen diese Daten, indem sie ein leichtgewichtiges Datenerfassungstool oder einen Agenten auf jedem Endgerät installieren; einige verlassen sich stattdessen auf Funktionen im Betriebssystem des Endgeräts.
EDR verwendet fortschrittliche Analysen und Algorithmen des Maschinellen Lernens, um Muster, die auf bekannte Bedrohungen oder verdächtige Aktivitäten hindeuten, in Echtzeit zu erkennen, während sie sich entwickeln.
Im Allgemeinen sucht EDR nach zwei Arten von Indikatoren: Indikatoren für eine Kompromittierung (Indicators of Compromise, IOCs), d. h. Aktionen oder Ereignisse, die auf einen potenziellen Angriff oder eine Sicherheitsverletzung hindeuten, und Indikatoren für einen Angriff (Indicators of Attack, IOAs), d. h. Aktionen oder Ereignisse, die mit bekannten Cyber-Bedrohungen oder Cyberkriminellen in Verbindung gebracht werden.
Um diese Indikatoren zu identifizieren, korreliert EDR seine eigenen Endgerätedaten in Echtzeit mit Daten von Threat-Intelligence-Services, die kontinuierlich aktualisierte Informationen über neue und aktuelle Cyberbedrohungen liefern – die Taktiken, die sie anwenden, die Schwachstellen an Endgeräten oder IT-Infrastrukturen, die sie ausnutzen, und vieles mehr. Threat-Intelligence-Services können proprietär (vom EDR-Anbieter betrieben), von Drittanbietern oder Community-basiert sein. Darüber hinaus bilden viele EDR-Lösungen auch Daten in Mitre ATT&CK ab, einer frei zugänglichen globalen Wissensdatenbank über die Taktiken und Techniken von Hackern, zu der die US-Regierung beiträgt.
EDR-Analysen und -Algorithmen können auch eigene Nachforschungen anstellen und Echtzeitdaten mit historischen Daten und etablierten Basisdaten vergleichen, um verdächtige Aktivitäten, abweichende Endbenutzeraktivitäten und alles, was auf einen Cybersicherheitsvorfall oder eine Bedrohung hinweisen könnte, zu identifizieren. Außerdem können sie die „Signale“, also die legitimen Bedrohungen, vom „Rauschen“ der Falschmeldungen trennen, sodass sich die Sicherheitsanalysten auf die wirklich wichtigen Vorfälle konzentrieren können.
Viele Unternehmen integrieren EDR mit einer SIEM-Lösung (Security Information and Event Management), die sicherheitsrelevante Daten auf allen Ebenen der IT-Infrastruktur erfasst – nicht nur Endgeräte, sondern auch Anwendungen, Datenbanken, Webbrowser, Netzwerkhardware und mehr. SIEM-Daten können EDR-Analysen mit zusätzlichem Kontext zur Identifizierung, Priorisierung, Untersuchung und Beseitigung von Bedrohungen erweitern.
EDR fasst wichtige Daten und Analyseergebnisse in einer zentralen Verwaltungskonsole zusammen, die gleichzeitig als Benutzeroberfläche (User Interface, UI) für die Lösung dient. Von der Konsole aus erhalten die Mitglieder des Sicherheitsteams einen vollständigen Überblick über alle Endgeräte und Sicherheitsprobleme im gesamten Unternehmen und können Untersuchungen, Reaktionen auf Bedrohungen und Abhilfemaßnahmen für alle Endgeräte einleiten.
Die Automatisierung ist das, was die „Reaktion“ – eigentlich die schnelle Reaktion – in EDR ausmacht. Auf der Grundlage von vordefinierten Regeln, die vom Sicherheitsteam festgelegt wurden – oder die im Laufe der Zeit von maschinellen Lernalgorithmen 'gelernt' wurden – können EDR-Lösungen automatisch:
EDR kann Aktivitäten zur Untersuchung und Sanierung von Bedrohungen automatisieren (siehe unten). Und es kann in SOAR-Systeme (Security Orchestration, Automation and Response) integriert werden, um Security Response Playbooks (Sequenzen zur Reaktion auf Vorfälle) zu automatisieren, die andere Sicherheitstools einbeziehen.
All diese Automatisierung hilft den Sicherheitsteams, schneller auf Vorfälle und Bedrohungen zu reagieren, um den Schaden, den sie im Netzwerk anrichten können, zu minimieren. Und es hilft den Sicherheitsteams, mit dem vorhandenen Personal so effizient wie möglich zu arbeiten.
Sobald eine Bedrohung isoliert ist, bietet EDR Funktionen, die Sicherheitsanalysten zur weiteren Untersuchung der Bedrohung nutzen können. So helfen forensische Analysen den Sicherheitsanalysten, die Ursache einer Bedrohung zu ermitteln, die verschiedenen betroffenen Dateien zu identifizieren und die Schwachstelle oder Schwachstellen zu identifizieren, die der Angreifer ausgenutzt hat, um in das Netzwerk einzudringen, sich Zugriff auf Zugangsdaten zu verschaffen oder andere bösartige Aktivitäten durchzuführen.
Mit diesen Informationen ausgestattet können Analysten Sanierungsmaßnahmen nutzen, um die Bedrohung zu beseitigen. Die Sanierung kann Folgendes umfassen:
Die Bedrohungsjagd (auch Cyberthreat Hunting genannt) ist eine proaktive Sicherheitsübung, bei der ein Sicherheitsanalyst das Netzwerk nach noch unbekannten Bedrohungen oder bekannten Bedrohungen durchsucht, die noch nicht von den automatisierten Cybersicherheits-Tools des Unternehmens erkannt oder beseitigt wurden. Denken Sie daran, dass hochentwickelte Bedrohungen monatelang lauern können, bevor sie entdeckt werden. Sie erfassen Systeminformationen und Benutzer-Zugangsdaten, um sich auf einen groß angelegten Angriff vorzubereiten. Eine effektive und rechtzeitige Bedrohungsjagd kann die Zeit verkürzen, die für die Erkennung und Beseitigung dieser Bedrohungen benötigt wird, und den Schaden durch den Angriff begrenzen oder verhindern.
Bedrohungsjäger verwenden eine Vielzahl von Taktiken und Techniken, von denen sich die meisten auf dieselben Datenquellen, Analysen und Automatisierungsfunktionen stützen, die auch EDR für die Erkennung von Bedrohungen, die Reaktion darauf und die Sanierung von Problemen nutzt. Ein Analyst, der auf der Suche nach Bedrohungen ist, könnte zum Beispiel nach einer bestimmten Datei, einer Konfigurationsänderung oder einem anderen Artefakt auf der Grundlage forensischer Analysen oder MITRE ATT&CK-Daten suchen, die die Methoden eines bestimmten Angreifers beschreiben.
Zur Unterstützung der Bedrohungsjagd stellt EDR den Sicherheitsanalysten diese Funktionen über eine Benutzeroberfläche oder programmgesteuert zur Verfügung, so dass sie Ad-hoc-Suchen, Datenabfragen, Korrelationen zu Threat-Intelligence und andere Untersuchungen durchführen können. EDR-Tools, die speziell für die Bedrohungsjagd entwickelt wurden, reichen von einfachen Skriptsprachen (zur Automatisierung gängiger Aufgaben) bis hin zu Tools für die Abfrage natürlicher Sprache.
Eine EPP (Endpoint Protection Platform) ist eine integrierte Sicherheitsplattform, die Antiviren- (NGAV) und Anti-Malware-Software der nächsten Generation mit Web-Kontroll-/Web-Filter-Software, Firewalls, E-Mail-Gateways und anderen herkömmlichen Technologien zur Endpoint Security kombiniert.
Auch hier sind EPP-Technologien in erster Linie darauf ausgerichtet, bekannte Bedrohungen oder Bedrohungen, die sich auf eine bekannte Weise verhalten, an den Endgeräten zu verhindern. EDR ist in der Lage, unbekannte oder potenzielle Bedrohungen zu identifizieren und einzudämmen, die an den herkömmlichen Sicherheitstechnologien für Endgeräte vorbeischlüpfen. Dennoch haben sich viele EPPs weiterentwickelt und umfassen nun auch EDR-Funktionen wie erweiterte Analysen zur Erkennung von Bedrohungen und zur Analyse des Benutzerverhaltens.
Wie EDR sind auch XDR (Extended Detection and Response) und MDR (Managed Detection and Response) analytische und KI-gestützte Lösungen zur Erkennung von Unternehmensbedrohungen. Sie unterscheiden sich von EDR durch den Umfang des Schutzes, den sie bieten, und die Art und Weise, wie sie bereitgestellt werden.
XDR integriert Sicherheitstools in die gesamte hybride Infrastruktur eines Unternehmens – nicht nur Endgeräte, sondern auch Netzwerke, E-Mail, Anwendungen, Cloud-Workloads und mehr –, sodass diese Tools zusammenarbeiten und bei der Prävention, Erkennung und Reaktion auf Cyberbedrohungen koordiniert werden können. Wie EDR integriert auch XDR SIEM, SOAR und andere Cybersicherheitstechnologien für Unternehmen. XDR ist eine noch junge, aber sich schnell entwickelnde Technologie, die das Potenzial hat, überlastete Security Operations Center (SOCs) viel effizienter und effektiver zu machen, indem sie Sicherheitskontrollpunkte, Telemetrie, Analyse und Betrieb in einem einzigen, zentralen Unternehmenssystem vereint.
MDR ist ein ausgelagerter Cybersicherheitsservice, der ein Unternehmen vor Bedrohungen schützt, die an seinen eigenen Cybersicherheitsmaßnahmen vorbei gelangen. MDR-Anbieter bieten in der Regel rund um die Uhr die Überwachung, Erkennung und Sanierung von Bedrohungen durch ein Team hochqualifizierter Sicherheitsanalysten an, die remote mit cloudbasierten EDR- oder XDR-Technologien arbeiten. MDR kann eine attraktive Lösung für ein Unternehmen sein, das Sicherheitsexpertise benötigt, die über das vorhandene Personal hinausgeht, oder Sicherheitstechnologie, die das Budget übersteigt.
Nutzen Sie offene Cloud und KI, um alle Ihre Geräte mit einer UEM-Lösung zu schützen und zu verwalten.
Zukunftsfähiges Endpunktmanagement zum Schutz Ihrer Endnutzer und deren Geräten vor aktuellen Cybersicherheits-Bedrohungen.
Analysieren Sie in dieser kostenlosen 3-stündigen Design-Thinking-Session, an der Sie virtuell oder persönlich teilnehmen können, Ihre Cybersicherheits-Landschaft und priorisieren Sie Ihre nächsten Initiativen gemeinsam mit erfahrenen IBM Security Architects und Consultants.
Was ist nötig, um eine branchenführende EDR-Lösung zu entwickeln? Erfahren Sie, welche Fragen Sie stellen und worauf Sie bei der Evaluierung dieser Schlüsselelemente einer modernen EDR-Lösung achten sollten.
Einer der größten Flughäfen der Welt schützt seine kritische Infrastruktur mit der NanoOS-Technologie von IBM Security ReaQta, verhaltensbasierten Engines und leistungsstarken Funktionen zur Bedrohungsjagd.