Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Endpoint Detection and Response: Alles, was Sie über EDR-Sicherheit wissen müssen

Dieser Leitfaden behandelt Endpoint Detection and Response (EDR, Endpoint-Erkennung und -Reaktion), eine Kategorie von Lösungen zur Erkennung von und Reaktion auf verdächtige Aktivitäten auf PCs, Laptops und mobilen Geräten.
Robert Grimmick
6 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Inhalt

    Endpoints – also Laptops, Smartphones und andere Geräte, die wir täglich nutzen – sind ein beliebtes Ziel für Angriffe. Sie sind überall vorhanden, anfällig für Sicherheitslücken und schwer zu verteidigen. Der WannaCry-Angriff im Jahr 2017 zum Beispiel hat Berichten zufolge über 230.000 Endpoints weltweit getroffen. Endpoint Detection and Response (EDR) ist eine schnell wachsende Kategorie von Lösungen, die darauf abzielen, tiefgreifendere Funktionen bereitzustellen als herkömmliche Antiviren- und Anti-Malware-Lösungen. In diesem Artikel erfahren Sie, was EDR ist und warum es wichtig ist. Wir gehen darauf ein, wie EDR-Sicherheitslösungen funktionieren, und untersuchen einige Best Practices für die Verwendung dieser Tools.

    Was ist Endpoint Detection and Response (EDR)?

    Als Endpoint Detection and Response (EDR, Endpoint-Erkennung und -Reaktion) wird eine Kategorie von Lösungen bezeichnet, die verdächtige Aktivitäten auf den PCs, Laptops und auf anderen Geräten eines Unternehmens erkennen und darauf reagieren. Der Begriff wurde 2013 vom Gartner-Analysten Anton Chuvakin geprägt, um aufkommende Plattformen zu beschreiben, die eine tiefgreifende Untersuchung verdächtiger Aktivitäten ermöglichen. EDR unterscheidet sich auch von anderen Sicherheitslösungen wie Firewalls, da es den Schutz direkt auf den Computern im Netzwerk und nicht an der Netzwerkgrenze anwendet.

    Warum ist EDR wichtig?

    Von Advanced Persistent Threats (APTs) bis hin zu dateiloser Malware sind Unternehmen heute mit einer Reihe von Cyber-Bedrohungen konfrontiert, die von herkömmlichen Sicherheitsprodukten leicht übersehen werden. Angreifer sind mittlerweile sehr geschickt darin, signaturbasierte Schutzmechanismen wie Antiviren-Software und Intrusion-Detection-Systeme (IDS) auszutricksen. Jedes Gerät, das eine Verbindung zu einem Netzwerk herstellt, ist ein potenzieller Angriffsvektor für Cyberbedrohungen. Und die steigende Verbreitung von mobilen Geräten und Remote-Arbeit untergräbt die Effektivität perimeterbasierter Verteidigungsmaßnahmen wie Firewalls.

    EDR-Sicherheitslösungen kombinieren große Datenmengen, die von jedem Endpoint erfasst werden, mit kontextbezogenen Analysen, um gut getarnte Bedrohungen zu erkennen, die möglicherweise zum ersten Mal beobachtet werden. Die meisten EDR-Lösungen verwenden Baselining und Verhaltensanalysen, um potenziell verdächtige Aktivitäten zu erkennen, und viele können sogar in Echtzeit auf Ereignisse reagieren.

    Im Gegensatz zu anderen Lösungen ist Endpoint Detection und Response während und nach einem Vorfall oft am wertvollsten. Die sehr detaillierten Informationen, die in EDR-Plattformen verfügbar sind, ermöglichen es Sicherheitsteams, zu ermitteln, wie eine Bedrohung die bestehenden Schutzmaßnahmen umgehen konnte. Die Echtzeitalarme der EDR-Lösung können einem Unternehmen helfen, die Frühstadien eines Angriffs zu erkennen und Maßnahmen zu ergreifen, um ein ausgewachsenes Datenleck zu verhindern. Wenn es zu einem Datenleck kommen sollte, sind die von solchen Plattformen angebotenen Funktionen eine große Hilfe bei der Untersuchung und Behebung.

    Wie funktioniert EDR?

    Endpoint Detection and Response wird häufig mit dem Flugdatenrecorder (der „Blackbox“) verglichen, den man in Passagierflugzeugen findet – und das aus gutem Grund. So wie eine Blackbox kontinuierlich Telemetriedaten von den Flugsystemen eines Flugzeugs erfasst, nehmen EDR-Plattformen ständig Daten von Endpoints in Form von Ereignisprotokollen, Authentifizierungsversuchen, laufenden Anwendungen und mehr auf. Die Details können sich je nach Anbieter unterscheiden, aber im Allgemeinen funktionieren EDR-Sicherheitslösungen wie folgt:

    1. Telemetrie wird von Endpoints aufgenommen

    Eine Vielzahl von Telemetriedaten wird von den Endpoints erfasst. Normalerweise geschieht dies mithilfe eines Software-Agenten, der auf jedem Endpoint installiert ist, aber in einigen Fällen kann die Telemetrie auch auf indirektem Wege erfasst werden.

    1. Erfasste Telemetrie wird an die größere EDR-Plattform gesendet

    Die Daten der einzelnen Endpoint-Agenten werden an eine zentrale Stelle gesendet, häufig eine Cloud-basierte Plattform, die vom EDR-Anbieter bereitgestellt wird. Branchen mit besonderen Compliance-Anforderungen können eine lokale oder Hybrid-Cloud-Implementierung nutzen.

    1. Daten werden korreliert und analysiert

    Algorithmen und Machine-Learning-Technologien durchforsten die riesigen erfassten Datenmengen und heben mögliche Anomalien hervor. Viele EDR-Lösungen „lernen“, wie normales Benutzerverhalten und regulärer Endpoint-Betrieb aussehen. Daten können auch über mehrere Quellen hinweg korreliert werden, darunter auch andere Sicherheitsprodukte. Bedrohungsaufklärungs-Feeds werden häufig verwendet, um echte Beispiele für laufende Cyberangriffe zu liefern, die mit Aktivitäten innerhalb eines Unternehmens verglichen werden können.

    1. Verdächtige Aktivitäten werden markiert und es wird entsprechend reagiert

    Jedes Ereignis und jede Aktivität, die von der EDR-Plattform als verdächtig eingestuft wird, erzeugt eine Warnung, die von Sicherheitsanalysten überprüft wird. Die Automatisierungsfunktionen vieler EDR-Sicherheitslösungen können als Reaktion auf eine Bedrohung auch direkte Maßnahmen ergreifen. Beispielsweise kann die Lösung einen Endpoint vorübergehend vom übrigen Netzwerk isolieren, um die Verbreitung der Malware zu verhindern. Größere Bedrohungen können entsprechend mehr menschliches Eingreifen erfordern.

    1. Daten werden für die künftige Nutzung gespeichert

    Die Datenspeicherung ist eine wichtige Funktion von Endpoint Detection and Response. Wenn neue Arten von Cyberangriffen entdeckt werden, können Sicherheitsteams dann ältere Daten durchforsten, um herauszufinden, ob sie möglicherweise Opfer eines bisher unbekannten Angriffs geworden sind. Archivdaten können auch für die aktive Bedrohungsjagd verwendet werden – im Wesentlichen werden dabei große Datenmengen auf die zu erwartenden bösartigen Aktivitäten untersucht.

    9 Elemente von EDR-Lösungen

    Lösungen für Endpoint Detection and Response können zahlreiche Funktionen umfassen – es gibt aber gewisse Kernelemente, die für EDRs unverzichtbar sind:

    1. Konsolenbenachrichtigungen und -berichte: Eine rollenbasierte Konsole, die Aufschluss über den Sicherheitsstatus des Unternehmens bietet.
    2. EDR Advanced Response: Leistungsfähige Analyse- und Reaktionsfunktionen in EDR-Lösungen, einschließlich Automatisierung und detaillierter Forensik bei Sicherheitsereignissen.
    3. EDR-Kernfunktionen: Die Funktionen, mit denen Risiken und Sicherheitslücken auf Endpoints erkannt und gemeldet werden.
    4. EPP Suite: Basisfunktionen in früheren Generationen von Endpoint-Security-Programmen wie z. B. Malware-Schutz, Phishing-Abwehr und Exploit-Abwehr.
    5. Geografischer Support: Die Fähigkeit eines EDR-Anbieters, globale Unternehmen zu unterstützen – weil Datensicherheit absolut existenziell ist.
    6. Managed Services: Die Fähigkeit der EDR-Lösung, Daten an einen Anbieter von Managed Security Services oder Managed Detection and Response weiterzugeben, der die Kapazitäten des Sicherheitsteams zusätzlich verstärkt.
    7. Betriebssystemunterstützung: Um ihren Zweck zu erfüllen, muss die EDR-Lösung alle Betriebssysteme unterstützen, die in Ihrem Unternehmen verwendet werden.
    8. Prävention: Eine Gefahr nur zu erkennen, ist nicht genug. Wirkungsvolle EDR-Lösungen müssen auch Präventivmaßnahmen anbieten, mit denen Risiken gemindert und die Teams einsatzbereit gemacht werden.
    9. Integration externer Lösungen: Für eine umfassende Datensicherheitsstrategie müssen häufig mehrere Produkte ineinander integriert werden. EDR-Lösungen sollten APIs oder interne Integrationsschnittstellen für andere Programme aufweisen, um ein Sicherheitssystem mit mehreren Ebenen zu vervollständigen oder umzusetzen.

    Vorteile der EDR-Sicherheit

    EDR kann bei korrekter Verwendung eine Vielzahl von Vorteilen bieten. Dazu gehören u. a.:

    1. Tiefgehende und umfassende Transparenz

    Transparenz ist eine Kernkomponente aller EDR-Lösungen, und zwar sowohl vertikal als auch horizontal. Tiefgehende Transparenz bedeutet, dass man das Innenleben des Endpoints untersuchen und die Beziehungen zwischen Prozessen, Netzwerkverbindungen und Benutzerverhalten überprüfen kann. Gleichzeitig ist das EDR ein zentralisiertes System, und daher können Analysten einen umfassenden Überblick über die Sicherheitslage des Unternehmens erhalten und Muster auf Dutzenden, Hunderten oder sogar Tausenden von Endpoints erkennen.

    1. Erkennung von fortschrittlichen Bedrohungen

    Einer der wichtigsten Vorteile eines EDR ist die Kapazität, Bedrohungen zu erkennen, die sonst möglicherweise unbemerkt geblieben wären. Dazu gehören Zero-Day-Angriffe, Insider-Bedrohungen, fortschrittliche Hacking-Kampagnen und vieles mehr.

    1. Vereinfachte Vorfallsreaktion

    Die vielen Details, die von EDR-Lösungen erfasst werden, können die Reaktions- und Sanierungsmaßnahmen nach einem Sicherheitsvorfall erheblich vereinfachen. In der Vergangenheit hat ein Vorfallsreaktions-Team viel Zeit damit verbracht, Artefakte von verschiedenen Endpoints zu sammeln, um eine größere Sammlung an Beweisen zu erstellen. Das EDR sammelt und speichert diese Artefakte im Rahmen seines Normalbetriebs. Zentralisierte EDR-Konsolen und längere Datenspeicherungsfristen können zudem ein vollständigeres Bild eines Sicherheitsvorfalls liefern, als es sonst möglich wäre.

    1. Automatisierung und Integration

    EDR-Produkte enthalten häufig robuste Automatisierungsfunktionen, und eine angepasste Integration ist oft durch die Verwendung einer API möglich. Da EDR-Agenten in der Regel auf allen Endpoints in einem Unternehmen installiert sind, können Untersuchungs- oder Reaktionsaktivitäten schnell und in großem Umfang eingeleitet werden.

    Endpoint Detection and Response (EDR), Antivirensoftware und Endpoint Protection Platform (EPP) im Vergleich

    Im Prinzip geht es bei EDR darum, Bedrohungen, die anderen Verteidigungsschichten entgangen sind, zu erkennen und auf sie zu reagieren. In der Praxis kombinieren jedoch viele Anbieter EDR-Funktionen mit anderen Arten von Sicherheitsfunktionen. Die meisten EDR-Produkte bieten denselben signaturbasierten Malware-Schutz wie herkömmliche Antivirensoftware. Endpoint Protection Platform (EPP) ist ein Begriff, der häufig für Produkte verwendet wird, die EDR, Antivirenschutz der nächsten Generation (NGAV, Next-Generation Anti-Virus) und andere Schutzarten in einer einzigen Software kombinieren. Zu den zusätzlichen Funktionen von EPP-Produkten können beispielsweise Host-basierte Firewalls, Kontrolle über die Geräteverschlüsselung, Schutz vor Datenverlust gehören.

    Tipps und Best Practices für die EDR-Sicherheit

    EDR kann eine leistungsstarke Ergänzung zum gesamten Informationssicherheitsprogramm eines Unternehmens sein, erfordert aber eine sorgfältige Implementierung. Um den größtmöglichen Nutzen aus einer EDR-Investition zu ziehen, sollten Unternehmen die folgenden Punkte beachten:

    1. Beachten Sie, dass EDR-Lösungen spezialisierte Fachkräfte erfordern

    In einem großen Unternehmen können EDR-Sicherheitslösungen täglich Zehntausende von Alarmen erzeugen. Viele davon können sich als Fehlalarme herausstellen. Um die Vorteile von EDR richtig nutzen zu können, müssen Unternehmen in menschliche Sicherheitsanalysten investieren, die den Sinn solcher computergenerierten Daten erkennen können. Das ist oft eine teure Investition, da qualifizierte Sicherheitsanalysten sehr gut bezahlt werden müssen. Für kleinere Unternehmen ist Managed Detection and Response (MDR) möglicherweise besser geeignet. Dabei handelt es sich um ein As-a-Service-Angebot, bei dem EDR mit menschlicher Analyse kombiniert wird.

    1. Wählen Sie Ihren Anbieter auf Grundlage der jeweiligen Anforderungen Ihres Unternehmens aus

    Der Funktionsumfang – und die Kosten – eines EDR-Produkts können sehr unterschiedlich ausfallen. Unternehmen sollten viel Zeit investieren, um zu den Produkten mehrerer Anbieter zu recherchieren und zu gewährleisten, dass sie eine wirklich passende Wahl treffen. Bietet der Anbieter beispielsweise eine EDR-Lösung an, die gut mit den bereits verwendeten Betriebssystemen und Anwendungen kompatibel ist? Und wie lässt sich die Lösung mit anderen Sicherheitstools integrieren? Wenn man sich solche Fragen nicht im Vorfeld stellt, entscheidet man sich möglicherweise für eine schlecht passende Lösung, die die Vorteile von EDR schmälert.

    1. Verwenden Sie EDR als Ergänzung, nicht als Ersatz

    Endpoint Detection and Response heißt nicht umsonst so; der Fokus liegt hier ausschließlich auf Endpoints. Einige Verhaltensweisen können auf dem Endpoint ganz normal aussehen – z. B. wenn sich ein Benutzer mit einer gültigen ID und einem gültigen Passwort anmeldet – und würden deshalb in einer reinen EDR-Lösung keine Warnsignale auslösen. Wenn diese Anmeldung allerdings innerhalb einer sehr kurzen Zeitspanne von mehreren Standorten aus erfolgt, könnte sie verdächtig sein. Varonis DatAlert und Edge analysieren Dateiaktivitäten, Benutzerereignisse und Perimetertelemetrie, um ungewöhnliches Verhalten mit zusätzlichen Kontextinformationen zu identifizieren: Zunächst harmlos wirkende Aktivitäten werden im Zusammenhang betrachtet, um einen Gesamteindruck zu gewinnen.

    Eine EDR-Lösung schützt zwar die Endpoints in Ihrem Netzwerk, sie ist jedoch im Hinblick auf die Art der Aktivitäten, die sie überwachen kann, und der Malware- oder Cyber-Angriffe, die sie erkennen kann, begrenzt. Varonis ist darauf ausgelegt, Unternehmensdaten vor Zero-Day-Angriffen auch jenseits der Endpoints zu schützen, indem die Perimetertelemetrie mit Dateiaktivitäten und Benutzerverhalten in Ihren zentralen Datenspeichern in Zusammenhang gesetzt wird.

    Erfahren Sie, wie EDR und Varonis zusammenarbeiten können – unter diesem Link können Sie eine detailgetreue Demo erhalten und sehen, wie eine mehrstufige Sicherheitsstrategie in Ihrer Umgebung funktionieren kann.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Robert Grimmick
    Robert Grimmick

    Robert ist ein IT- und Cybersicherheitsberater in Südkalifornien. Er informiert sich gerne über die neuesten Bedrohungen der Computersicherheit.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?