Endpoint Detection and Response (EDR)

Warum Unternehmen intelligente EDR-Lösungen benötigen

Warum Unternehmen intelligente EDR-Lösungen benötigen

Worauf es bei einer EDR-Lösung ankommt

In diesem Artikel wird beleuchtet, warum Unternehmen in der heutigen Bedrohungslandschaft EDR benötigen, warum es für viele schwierig ist, EDR zu verwenden und wie Sophos diese Herausforderungen angeht.

Alex Gardner von Sophos erklärt: Um die Notwendigkeit von Endpoint Detection and Response (EDR) zu verstehen, wollen wir zunächst die Cybersicherheitsumgebung erläutern. Unsere eigenen Cyber Security-Experten in den SophosLabs verarbeiten täglich 500.000 noch nie dagewesene Malware-Proben, um einen Eindruck der Skalierbarkeit zu vermitteln. Im Jahr 2018 berichtete das National Institute of Standards and Technology (NIST), dass 16.451 Software-Schwachstellen entdeckt wurden . Die Herausforderung für die Verteidiger wächst stetig und führt zu dem Wunsch nach einer besseren Sichtbarkeit und besseren Erkennungsmöglichkeiten.

Unternehmen müssen sich täglich mit mehreren Bedrohungen auseinandersetzen, die in ihre Umgebung eindringen wollen. Natürlich werden viele dieser Bedrohungen durch eine starke Cybersicherheitsabwehr sofort gestoppt. Aber diejenigen, die ausweichen, ungewöhnlich oder unklar sind, können durchrutschen, und hier kommt EDR ins Spiel. EDR entstand aus der Notwendigkeit heraus, vorhandene Endpoint Protection-Tools zu ergänzen. Um dies verständlicher zu machen, verwenden wir ein visuelles Beispiel:

1. Gutartig

Hierbei handelt es sich um nicht böswillige Programme, die in den allermeisten Unternehmen wie Microsoft Word, Outlook oder Google Chrome zum täglichen Leben gehören. Wir wollen sie nicht stören, da dies das Daily Business insgesamt stören würde.

2. Grauzone oder "die Lücke"

Dieser Bereich betrifft Objekte, die offensichtlich nicht gut oder schlecht sind. Daher wissen wir nicht, ob sie gesperrt werden können oder sollten, ohne eine weitere manuelle Untersuchung durchzuführen. EDR wurde entwickelt, um diese Lücke zu untersuchen. Sind diese Elemente tatsächlich böswillig und erfordern sie bestimmte Maßnahmen, wie das Isolieren betroffener Geräte oder das Durchführen einer Bereinigung? Handelt es sich um potenziell unerwünschte Anwendungen (PUAs)? Oder etwas Gutes, das ignoriert werden kann?

Mit der Entwicklung von Bedrohungen werden viele immer unauffälliger und verwenden bestimmte Methoden, um Antivirenlösungen zu täuschen. Mit EDR können Unternehmen nach verdächtigen Indikatoren für Kompromisse (Indicators of Compromise, IOC) suchen und diese versteckten Bedrohungen erkennen.

3. Bösartig

Schädliche Dateien sollten durch starke Endpunkt- und Serververteidigungen sofort gestoppt werden. Diese werden als böswillig eingestuft und erfordern keine menschliche Interaktion. Leider scheitern hier einige traditionelle EDR-Tools und lassen Malware durch, die hätte abgefangen werden müssen. Dies liegt daran, dass ihre Stärken eher in der Erkennung nach einem Ereignis als im präventiven Schutz liegen.

Worauf es bei einer EDR-Lösung ankommt

EDR-Tools können in Bezug auf Benutzerfreundlichkeit und Granularität der Analyse stark variieren. Die wichtigsten Fragen, die bei der Bewertung einer EDR-Lösung gestellt werden müssen, sind:

  • Benötigen Sie zusätzliche Ressourcen oder können Sie mit Ihrem derzeitigen Team einen Nutzen daraus ziehen?
  • Hilft es Ihnen, Ihre Zeit zu priorisieren, indem es Ihnen die verdächtigsten Elemente anzeigt?
  • Können Sie sehen, wie eine potenzielle Bedrohung entstanden ist und wie sie sich ausgewirkt hat?
  • Erhalten Sie Informationen zu verdächtigen Elementen, z. B. von Spezialisten für maschinelles Lernen oder Cyber Security?
  • Ist es einfach, Maßnahmen zu ergreifen, wenn Sie eine Entscheidung getroffen haben? Zum Beispiel eine Bedrohung blockieren oder ein Gerät isolieren?

Sophos hat ein White Paper zur Verfügung gestellt in dem Sie die 5 wichtigsten Gründe , sowie weitere detaillierte Informationen für eine sinnvolle und effektive Nutzung einer EDR-Lösung erhalten. Sophos bietet bereits in seiner Intercept X-Lösung leistungsstarke und unkomplizierte EDR-Funktionen mit an.