Endpoint Detection & Response (EDR) ist ein von Gartner 2013 geprägter Begriff. Endpoint Detection & Response sind die wertvollsten Teile in Ihrem Sicherheitspuzzle – als Weiterentwicklung von Anti-Virus (AV) and Endpoint Protection Platform (EPP), bietet ein EDR-System den integrierten, mehrschichtigen Ansatz zur Endgerätesicherheit. EDR wurde entwickelt, um Daten aus den Netzwerk Teilnehmern zu sammeln und analysieren, um Angriffe auf die Endpunkte aktiv zu neutralisieren.
EDR identifiziert und entfernt Bedrohungen proaktiv und verhindert, dass sie Schaden anrichten. Zudem werden Endpunkte in den Zustand vor der Infektion zurückversetzt. Sobald ein Angriff gestoppt ist, kann dieser zum Ursprung zurückverfolgt werden, um zu verhindern, dass sich ähnliche Probleme wiederholen.
Mittels kontinuierlicher Echtzeitüberwachung, Endpunktdatenanalyse und regelbasierter, automatisierter Reaktion werden Attacken bei den ersten Anzeichen einer Erkennung und oft vor dem menschlichen Sicherheitspersonal gestoppt.
Leistungen von EDR
Die folgenden Eigenschaften sind “must-haves” für eine gute EDR-Lösung:
Überwachen und Sammeln der Aktivitäten auf den Endpunkten
Analyse der Daten, um Schwachstellen und Bedrohungen zu identifizieren
AI basierte Reaktion auf Bedrohungen, um sie zu entfernen oder einzudämmen
Steuerung der Eskalationsprozesse von Bedrohungen und deren Entfernung
Threat Hunting und Validierung der Alarme
Nachverfolgung der Bedrohungsquelle, um eine Wiederholung zu verhindern
Darüber hinaus bieten EDR-Lösungen auch Komponenten zum Schutz vor Insider-Bedrohungen, Daten-Exfiltration durch Verschlüsselung, integrierte Firewall zum Blockieren bösartiger Netzwerkangriffe, etc.
30 Min. Austausch mit unserem Head of Sales
Komponenten und Funktionen
Ein EDR Service bietet eine Fülle von Funktionen, die in der Regel auf einem Cloud-Management System mit direkter Integration von lokal installierten Softwareagenten basiert. Die Kernkomponenten und deren Funktionalitäten sind an dieser Stelle kurz erklärt:
Endpunkt-Datenerfassungsagenten
Ein auf den Endpunkten installierter Software-Agent ermöglicht es, diese zu überwachen und Daten über sie zu sammeln bezüglich aktive Prozesse, Registry Einträge, Datenübertragung, Konfigurationen, Dateien und Verbindungen. Anschliessend werden diese Daten in einer zentralen Management-Datenbank gespeichert. Diese Informationen können kontextbezogen angereichert werden, um Sicherheitsteams bei der Identifizierung von Unregelmäßigkeiten oder anomalen Trends zu unterstützen, die auf Anzeichen eines Angriffs hindeuten.
Datenanalyse und Bedrohungsjagd
Ein EDR-Tool kann sowohl Echtzeit-Analyse- als auch Forensik-Informationen bereitstellen. Die Analyse-Engine sucht nach Mustern und ermöglicht eine schnelle Analyse von Bedrohungen, die möglicherweise nicht den vorkonfigurierten Regeln der Software entsprechen. Sie bieten eine Kombination aus aktuellen Situationsdaten und historischen Daten, um die Aktionen von Sicherheitsteams zu leiten und Wiederholungen zu verhindern. Sie ermöglichen es dem Sicherheitspersonal auch, nach Bedrohungen (z. B. Malware) zu suchen, die möglicherweise unentdeckt auf Endpunkten lauern.
Sichtbarkeit in Echtzeit
Endpoint Detection & Response Tools bieten Transparenz in Echtzeit, dass Sicherheitsteams die Aktivitäten von Angreifern sehen, wenn sie versuchen, den Endpunkt zu durchbrechen, und Massnahmen ergreifen können, um sie sofort zu stoppen.
Automatisierte Reaktion auf Vorfälle und Behebung
EDR bietet automatisierteregelbasierte Reaktion auf jede erkannte Bedrohung. Diese vor konfigurierten Regeln erkennen, wenn eingehende Daten auf eine Bedrohung hinweisen und lösen eine automatische Reaktion aus, um sie abzuschwächen oder abzuwehren. Als Reaktion könnte eine automatische Warnung an einen Sicherheitsadministrator gesendet oder der verdächtige Benutzer vom Netzwerk abgemeldet werden.
Verhaltensschutz
Effektive EDR Tools verfolgen einen «user behavior» orientierten Ansatz und überwachen AI unterstützt typische Benutzeraktivitäten, um nach Indicators of Attack (IoA) zu suchen. Anomale Aktivitäten werden dann vor einer Kompromittierung oder Verletzung gekennzeichnet.
Vorfall-Triage
Eine EDR-Lösung kann verdächtige Ereignisse automatisch korrelierenund validieren. Dies ermöglicht es Sicherheitsteams, Untersuchungen zu priorisieren und ihre Bemühungen auf die Vorfälle oder Bedrohungen zu konzentrieren, die wirklich wichtig sind, wodurch wertvolle Zeit und Ressourcen bei der Verhinderung der Verfolgung von False-Flags eingespart werden. Es reduziert auch die „Warnmüdigkeit“, was sowohl der Moral als auch der Arbeitsqualität im SOC hilft.
Bedrohungsinformationen
Integrierte Threat-Intelligence Funktionen bieten zusätzlichen Kontext und Details zu aktuellen Bedrohungen und Gegnern sowie deren Eigenschaften. Dies stärkt die Fähigkeit des EDR, Angriffe zu erkennen, darauf zu reagieren und sie zu neutralisieren.
Integration des MITRE ATT&CK Frameworks
Die MITRE Wissensdatenbank baut auf umfangreichen Studien zahlreicher realer Cyberangriffe auf. Diese kollektive Bedrohungsintelligenz hilft bei der Identifizierung von Mustern und Merkmalen, die bei verschiedenen Exploit-Typen konstant sind. Diese gemeinsamen Verhaltensweisen können dann von EDR-Lösungen verwendet werden, um Risiken effektiv zu identifizieren, die auf andere Weise hätten geändert werden können. Diese neuen Technologien für automatisierte Analyse und Reaktion können IT-Teams dabei unterstützen, mit den komplexen und vielfältigen Bedrohungen von heute fertig zu werden.
Endpoint Security – die beste Waffe im SOC Arsenal
Die Endpoint Security ist ein wesentlicher Bestandteil des modernen Cybersecurity Managements. Endpoint Attacken gehören zu den am weitesten verbreiteten Angriffsformen. Eine Studie des Ponemon Institute hat egeben, dass 68 % der Unternehmen einen oder mehrere Endpunktangriffe erlitten haben, die ihre Daten und/oder IT-Infrastruktur erfolgreich kompromittiert haben.
Die schwächsten Glieder in Ihrem Unternehmensnetzwerk sind Ihre Endpunkte. Via diese Geräte werden durch Nachlässigkeit oder böswillige Angriffe unerlaubte Zugriffe auf Ihr Netzwerk ausgeführt. Dies macht die Endgeräte für die Sicherheit Ihres Unternehmens absolut entscheidend.
Hier sind einige weitere Gründe, warum Endgerätesicherheit wichtig ist:
Daten – In der heutigen Geschäftswelt sind Daten das wertvollste Gut eines Unternehmens, dessen Verlust das Geschäft zum Erliegen bringen könnte.
Anzahl der Endpunkte – Mobile Technologie in Kombination mit BYOD und Richtlinien für die Fernarbeit haben zu einer wachsenden Anzahl von Endpunkten und verschiedenen Arten von Endpunkten geführt. Dies eröffnet Hackern viele neue Möglichkeiten.
Komplexe Bedrohungslage – Bedrohungen und Angriffe werden laufend raffinierter und schwerer erkennbar. Hacker arbeiten ständig an neuen und verbesserten Methoden, um Abwehrsysteme zu durchbrechen.
EDR Lösungen erlauben zudem, mit kontextualisierten Informationen einen besseren Einblick in die IT-Umgebung zu erhalten. Dies reduziert die administrative Belastung erheblich und hilft, blinde Flecken und schlummernde Bedrohungen aufzuspüren.
Neue Arten von Endpunkten
Jedes Gerät, das mit einem Netzwerk verbunden ist, ist ein Endpunkt. Die EDR Lösungen müssen sich laufend an die dramatische Entwicklung und Artenvielfalt anpassen und weiterentwickeln. Einige dieser neuen Einstiegspunkte sind:
BYOD / third party Geräte
Tragbare Geräte wie Smartwatches
Mobile Geräte
Intelligente Systeme / IoT und OT Endgeräte
Sensoren
Cloudbasierte Server und Apps
POS-Geräte (Point of Sale) der nächsten Generation
Der Inseya CareFree Service
Zusätzlich zu der wichtigen Integration von Endpoint Detection & Response Lösung von SentinelOne integriert Inseya auch den Vigilance SOC Betrieb direkt in die Kunden-Tenants. Dabei übernimmt Vigilance die SOC Funktion für den Kunden transparent für sämtliche Events und Eskalationen, und speist diese direkt in den Inseya IR (Incident & Response) Prozess ein. Der Kunde profitiert damit vom weltweit aufgestellten, im follow-the-sun Betrieb 7×24 agierenden Vigilance Betrieb, der wertvolle IOCs von Millionen Endpunkten direkt verwerten und damit ein unerreichtes Benutzererlebnis sicherstellt. Gerade gegen «zero day» Attacken sowie «high critical» Incidents wie Log4j etc., hat sich diese Architektur als hoch-wirksameren Schutz bewährt.
Inseya verfügt als SentinelOne MSSP Partner über hervorragend ausgebildete und zertifizierte Engineers, um Kundenprojekte erfolgreich zu implementieren und zu betreuen. Die Account Management und Customer Success Teams stellen jederzeit sicher, dass die Kunden transparent und professionell betreut sind. Wohin und wie Sie sich auch entwickeln, wir werden über die erforderlichen Expertenressourcen verfügen und Sie in der Herausforderung, der sich jede XDR Transformationsinitiative stellen muss, begleiten und unterstützen.
Inseya unterstützt Sie auf Ihrem Weg der digitalen Transformation, indem die gesamtheitliche Planung und schrittweise Umsetzung mit dem Kunden erarbeitet wird. Nebst den technischen Aspekten wird viel Wert auf Usability, Prozesse und Kommunikation sowie der Einbezug aller Stakeholder gelegt.
