10 Dinge, an die Sie vor dem Kauf einer Endpoint Detection and Response (EDR)-Lösung denken sollten – Teil 1

10 Dinge, an die Sie vor dem Kauf einer Endpoint Detection and Response (EDR)-Lösung denken sollten – Teil 1

By Elizabeth Fichtner

Unternehmen betrachten EDR (Endpoint Detection and Response) zunehmend als wichtige Komponente der allgemeinen Netzwerksicherheit. Die US-amerikanische CISA (Cybersecurity & Infrastructure Security Agency) hat EDR als essentiellen Bestandteil für die Cybersicherheit eingestuft, doch viele Unternehmen haben EDR noch nicht zu ihrer Cyber-Security hinzugefügt. Diese Tools sind darauf ausgelegt, Malware oder schädliche Dateien auf den Endgeräten zu erkennen und zu entfernen. Darüber hinaus sammeln und überwachen EDR-Tools Daten zu potenziellen Bedrohungen im Netzwerk. Die Analyse dieser Daten ermittelt die Ursachen von Sicherheitsproblemen und unterstützt die Reaktion auf Vorfälle.

Nach Angaben von KuppingerCole und Forrester umfassen EDR-Sicherheitslösungen in der Regel eine Reihe von Schlüsselfunktionen:

  • Überwachung und Fernprotokollierung sowie Analyse von Endgeräten
  • Erkennung, Priorisierung, Verfolgung und Warnung bei IoCs (Indicators of Compromise, Merkmale und Daten, die auf die Kompromittierung hinweisen) und IoAs (Indicators of Attack, Merkmal zur proaktiven Erkennung eines Angriffs) in Echtzeit
  • Interoperabilität mit anderen Sicherheitstools, einschließlich Endpunkt-Anti-Malware, Forensik, Fallmanagement, Security Incident and Event Management (SIEM), Security Orchestration, Automation and Response (SOAR), usw.
  • Ermöglicht interaktive IoC/IoA-Abfragen über alle Knotenpunkte hinweg
  • Ermöglicht Abfragen in natürlicher Sprache
  • Unterstützung der Aufzeichnung und Wiedergabe von Aktivitäten
  • Unterstützung der Kommunikationssperre zwischen verdächtigen Knoten und Verwaltungskonsolen
  • Bereitstellung von Playbooks und konfigurierbaren automatischen Antworten
  • Bereitstellung von Agenten für mehrere Betriebssysteme
  • Überwachung der Integrität von Betriebssystemen und anderen wichtigen Dateien

Neben den Informationen zum Funktionsumfang der Lösungen gibt es noch weitere Überlegungen, die sie bei der Entscheidung, in welche EDR-Sicherheitstools Sie investieren, beachten sollten. In diesem zweiteiligen Blogbeitrag beschreiben wir, welche Faktoren bei der Auswahl der richtigen EDR-Lösung eine Rolle spielen.

1. EDR mit vs. ohne einen Agenten und warum Sie beides brauchen

Viele EDR-Tools für Unternehmen funktionieren nur mit einem Agenten, andere funktionieren ohne einen Agenten. Jeder Ansatz hat seine Vor- und Nachteile.

Ein Agent ist ein Softwareprogramm, das auf jedem zu überwachenden Gerät installiert wird. Die Hauptfunktionen des Agenten bestehen darin, Daten über Benutzeraktivitäten in allen Anwendungen, Webseiten und Systembereichen zu sammeln und die gesammelten Daten über jede Sitzung zur Verarbeitung, Analyse und Speicherung an einen zentralen Server zu übertragen. Die Installation eines Agenten auf einem überwachten Gerät bietet folgende Vorteile:

  • Erfassung umfangreicher Details über das Betriebssystem, das lokale Dateisystem, die Rechnerhardware und die angeschlossenen Geräte sowie über alle auf dem Gerät laufenden Prozesse.
  • Erfassung der Benutzeraktivitäten unabhängig davon, wie sich die Benutzer mit den Servern verbinden, d. h. sowohl über die lokale Anmeldung als auch die Anmeldung über eine Remote-Verbindung.
  • Aufzeichnung der Benutzeraktivitäten in einem lokalen Zwischenspeicher zur späteren Übertragung, wenn das Gerät offline ist oder die Netzwerkverbindung unterbrochen wurde.
  • Interaktive Eingriffe in die Benutzersitzung sind möglich, beispielsweise um das Gerät unter Quarantäne zu stellen, wenn ein Verdacht auf eine Gefährdung besteht.

Nachteile der Verwendung einer agentenbasierten EDR-Sicherheitsplattform:

  • Erfordert die Installation und Verwaltung von Agenten auf jedem überwachten Endgerät und System.
  • Agenten funktionieren möglicherweise nicht auf Computern mit nicht unterstützten Betriebssystemen.
  • Gäste und Besitzer von nicht verwalteten Geräten sind möglicherweise nicht mit der Installation des Agenten einverstanden (in diesem Fall könnte ein auflösbarer Agent funktionieren).
  • Die CPU- und RAM-Auslastung auf den einzelnen Computern ist hoch.

Die Alternative zu diesem Ansatz ist die agentenlose Überwachung und Datenerfassung. In diesem Szenario wird keine Agentensoftware auf den Endgeräten installiert. Stattdessen überwacht das EDR-Tool passiv den Datenverkehr, der zwischen den Geräten der Benutzer und den Servern, auf die sie zugreifen, fließt. Die Vorteile einer agentenlosen EDR-Lösung sind:

  • Schnellerer Einsatz im gesamten Netzwerk, besonders hilfreich bei der Untersuchung von Angriffen.
  • Erfordert keine Ressourcen auf den zu überwachenden Endpunkten.
  • Erfordert keinen Aufwand für die Installation und Verwaltung von Agenten auf jedem Gerät.
  • Verwendung auf den Geräten möglich, die die Installation eines Agenten nicht durchführen können oder deren Nutzer die Installation abgelehnt haben.
  • Zeichnet Konfigurationsänderungen an Netzwerkgeräten, Speichersubsystemen, Hypervisoren usw. auf, auf denen Agenten nicht installiert sind.

Das agentenlose Modell hat aber auch Nachteile:

  • Bei Geräten, die über eine Remote-Verbindung auf das Netzwerk zugreifen, erfasst die agentenlose EDR-Lösung keine lokalen Benutzeraktivitäten oder Informationen über lokal laufende Prozesse, Hardwareelemente oder andere Details.
  • Die Überwachung und Analyse von verschlüsseltem Datenverkehr ist erschwert.
  • Das Sammeln von Daten über Endpunkte ist nicht möglich, wenn diese Geräte nicht mit dem Unternehmensnetzwerk verbunden sind.
  • Ohne eine Präsenz auf dem Endgerät kann der „Response“-Teil von EDR begrenzt sein

Viele Unternehmen stellen fest, dass sie sowohl ein agentenbasiertes als auch ein agentenloses Modell verwenden müssen, um alle Endgeräte abzudecken und die oben genannten Nachteile der einzelnen Ansätze auszugleichen.

2. Welche Geräte oder Betriebssysteme deckt die EDR-Sicherheitslösung nicht ab?

Diese Frage hängt im Allgemeinen mit der Frage nach agentenbasierten oder agentenlosen Lösungen zusammen. Ein Agent muss für bestimmte Betriebssysteme verfügbar sein. Die meisten EDR-Tools bieten zumindest Unterstützung für Windows (einschließlich älterer Versionen), Mac OS und Linux. Man sollte in Erfahrung bringen, welche Betriebssysteme die Anbieter nicht unterstützen. Häufig fehlt die Unterstützung von Apple iOS und Google Android, obwohl viele Mitarbeitende ihre Smartphones und Tablets im Unternehmensnetzwerk verwenden. Wenn für ein beliebtes Betriebssystem kein Agent verfügbar ist, muss das Unternehmen auf eine andere Methode zurückgreifen, um die Aktivitäten auf nicht unterstützten Geräten zu überwachen und Daten von ihnen zu sammeln.

EDR-Sicherheitsplattformen unterstützen möglicherweise IoT-Geräte (Internet der Dinge) nicht, da nur wenige von ihnen mit einem Standardbetriebssystem wie macOS, Windows oder Linux arbeiten. Darüber hinaus sind einige IoT-Geräte in Bezug auf CPU und Speicher eingeschränkt und können die Installation eines EDR-Agenten nicht unterstützen. Auch hier gilt: Wenn es für ein Unternehmen wichtig ist, diese Geräte in die Erfassung und Analyse von Netzwerkdaten aufzunehmen, ist die Verwendung einer alternativen Methode ohne Agenten nötig.

3. Was ist mit der EDR-Sicherheit in der Cloud?

Viele EDR-Tools laufen über die Cloud, sind aber möglicherweise nicht für den Einsatz in der Cloud geeignet – obwohl die Verwaltung der Sicherheitslage in der Cloud von entscheidender Bedeutung ist. Für Unternehmen mit Servern und Workloads in der Cloud, einschließlich Containern und serverlosen Workloads, ist es in manchen Fällen nicht möglich, einen Agenten auf physischen oder virtuellen Geräten in der Cloud zu installieren. Kurz gesagt, die Cloud ist ein ganz anderes Thema.

4. Lässt sich die EDR-Software leicht in andere Sicherheitssoftware in Ihrem Ökosystem integrieren, einschließlich SIEM-Plattformen und Ticketing-Systemen?

EDR-Tools sind nicht als eigenständige Tools gedacht. Es gibt viele andere Lösungen im Cybersecurity-Ökosystem, die das Angebot von EDR sehr gut ergänzen. Dies ermöglicht Security-Teams ein umfassenderes Verständnis ihrer Sicherheitslage und hilft bei der Automatisierung von Reaktionen, um eine Reihe von Sicherheitsproblemen zu entschärfen. Unternehmen profitieren davon, indem sie die Zeit bis zur Erkennung von Problemen optimieren, schneller auf Vorfälle reagieren und die Netzwerksicherheit erhöhen können.

EDR-Sicherheitslösungen müssen sich in die Tools integrieren lassen, die Maßnahmen zur Eindämmung eines Angriffs und zur Säuberung der Umgebung nach dem Ende der Bedrohung protokollieren, nachverfolgen, orchestrieren und ausführen. Darüber hinaus verfügen viele Unternehmen über eine SIEM-Plattform (Security Incident and Event Management), die als übergreifende Sicherheitsplattform eingerichtet ist und Daten und Analysen von anderen Sicherheitssystemen sammelt. Eine einfache Integration mit solchen Tools ist unerlässlich. Das CSO-Magazin bezeichnet diese Integrationen als „Kraftmultiplikatoren“ der EDR-Plattform.

Weitere Überlegungen zur Auswahl des besten EDR-Sicherheitstools oder der besten EDR-Lösung finden Sie im zweiten Teil dieses Blogs...


Suggested Next Reads