10 Dinge, an die Sie vor dem Kauf einer Endpoint Detection and Response (EDR)-Lösung denken sollten – Teil 2

10 Dinge, an die Sie vor dem Kauf einer Endpoint Detection and Response (EDR)-Lösung denken sollten – Teil 2

By Elizabeth Fichtner

Im ersten Teil unseres Blogs über Dinge, an die Sie vor dem Kauf von EDR (Endpoint Detection and Response)-Sicherheitstools oder -Lösungen denken sollten, haben wir vier Schlüsselfaktoren erläutert:

  • Agenten vs. agentenlose Überwachung
  • Was EDR-Systeme nicht überwachen können
  • Ausführen eines EDR in Ihrer Cloud
  • Integration von EDRs mit anderen Tools

In der zweiten Hälfte dieser Blogserie stellen wir weitere wichtige Fragen zur Auswahl eines EDR-Tools:

5. Erhält die EDR-Software regelmäßig Updates zu Signaturen und Modellen zur Erkennung von Taktiken, Techniken und Verfahren (Tactics, Techniques & Procedures, TTPs) der Angreifer?

Die Bedrohungen verändern sich täglich, da die Angreifer ständig an der Verbesserung ihrer TTPs arbeiten. Das gilt auch für die Signaturen und Modelle, die bei der Erkennung von Bedrohungen in einem Netzwerk zum Einsatz kommen. Die EDR-Plattform benötigt regelmäßige Aktualisierungen, vorzugsweise mit qualitativ hochwertigen IoCs (Indicators of Compromise, Merkmale und Daten, die auf die Kompromittierung hinweisen) und IoAs (Indicators of Attack, Merkmal zur proaktiven Erkennung eines Angriffs), die aus zuverlässigen Quellen stammen. Einige Produkte ermöglichen auch die Einbindung eigener IoCs/IoAs, die entweder aus den eigenen Erkenntnissen oder von Abonnementdiensten für Daten zu Cyberbedrohungen stammen.

Die meisten Tools verwenden heute Machine Learning (ML), um die Aktivitäten auf den Endpunkten und im Netzwerk auf Auffälligkeiten zu untersuchen. ML verwendet Algorithmen oder Modelle, um die Daten zu analysieren. Diese Modelle können nur mithilfe von kontinuierlichen Anpassungen über einen längeren Zeitraum effektiv arbeiten.

6. Setzt die EDR-Lösung Prioritäten bei Bedrohungswarnungen, um die Anzahl der Warnungen zu verringern?

Viele Cybersecurity-Tools lösen bei allem, was verdächtig aussieht, den Alarm aus – unabhängig davon, ob die verdächtige Aktivität tatsächlich eine Bedrohung darstellt oder nicht. Dadurch erhalten die zuständigen Security-Teams viel zu viele Warnungen, die einen Teil der Benachrichtigungen – wovon einige von tatsächlichen Bedrohungen stammen könnten – aus Zeitmangel ignorieren. Eine effektive EDR-Softwareplattform sammelt und analysiert bei jedem potenziellen Fund genügend Daten, um die Bedrohungen zu validieren, bevor sie die Security-Teams alarmiert.

7. Kann Ihre EDR-Sicherheitssoftware benutzerdefinierte Erkennungsmodelle und/oder Regeln für Ihre IT-Umgebung anwenden?

Es gibt keinen Algorithmus für maschinelles Lernen, der für jede mögliche Situation optimiert und anwendbar ist. Da jede Netzwerkumgebung anders ist, sollten sich die Modelle zur Erkennung von Bedrohungen im Idealfall an die Bedürfnisse des jeweiligen Unternehmens anpassen können. Ein EDR-Softwareanbieter sollte eine umfassende Anpassung durch erfahrene Benutzer und/oder Berater ermöglichen.

8. Erweiterbarkeit: Welche Funktionen kann die EDR-Lösung über die Erkennung und Reaktion auf Vorfälle hinaus erfüllen?

Erweiterbarkeit ermöglicht als Prinzip der Softwareentwicklung zukünftiges Wachstum, ohne bestehende Systemfunktionen abzuschwächen. Erweiterungen können durch das Hinzufügen neuer Funktionen oder durch die Änderung der bestehenden Funktionen erfolgen. Somit bietet die Erweiterbarkeit eines EDR-Systems einen Mehrwert, da es einem Unternehmen ermöglicht, durch die Weiterentwicklung der Lösung eine bessere Rendite aus seiner Investition zu erzielen.

Endpoint Detection and Response ist eine Kategorie von Sicherheitssoftware-Tools, die Hardwaregeräte von Endbenutzern in einem Netzwerk auf eine Reihe verdächtiger Aktivitäten und Verhaltensweisen überwachen, automatisch reagieren, um erkannte Bedrohungen zu blockieren und forensische Daten für weitere Untersuchungen zu speichern. Die große Menge an Informationen, die eine solche Lösung sammelt und speichert, ermöglichen die optimale Erweiterung des Systems um viele neue und passende Funktionen.

9. Kann die EDR-Lösung Fortschritte und Verbesserungen bei der Datensicherheit und -hygiene im Laufe der Zeit über Berichte und/oder Dashboards verfolgen?

Die Cybersicherheit wird heute auf Vorstandsebene genauestens geprüft. Führungskräfte von Unternehmen tragen die Verantwortung für Sicherheitsverletzungen und möchten daher einen umfassenden Überblick über die Sicherheitslage ihres Unternehmens erhalten. In Einzelfällen ist eine punktuelle Bewertung hilfreich, vor allem sind Führungskräfte allerdings daran interessiert, einen Trend im Laufe der Zeit zu erkennen. Trends geben Aufschluss darüber, ob sich die Sicherheitslage verbessert oder verschlechtert. Ein gutes EDR-Tool bietet Berichte für Führungskräfte und/oder ein Dashboard, das den Fortschritt im Laufe der Zeit verfolgt und zeigt.

10. Preis – Wie viel kostet die EDR-Lösung insgesamt?

Die Preisgestaltung variiert von Anbieter zu Anbieter und von Kunde zu Kunde. Häufig richten sich die Preise nach der Anzahl der zu überwachenden Endgeräte. Einige EDR-Lizenzen beinhalten Cloud-Hosting, andere nicht. Wenn das Hosting enthalten ist, sollte man mit bis zu 30 Euro pro Endgerät und Jahr rechnen. Ist das Cloud-Hosting nicht Teil des Pakets, liegen die Kosten etwa bei fünf bis zehn Euro pro Endgerät und Jahr.

Der Kaufpreis ist jedoch nur einer der Faktoren, die die Gesamtkosten einer EDR-Lösung ausmachen. Käufer sollten sich darüber im Klaren sein, dass die volle Nutzung einer EDR-Lösung meistens spezielle Experten und zusätzliche Investitionen erfordert. In manchen Fällen müssen Unternehmen ihre IT-Teams um Bedrohungsforscher, Bedrohungsjäger, Datenwissenschaftler (zur Optimierung von Erkennungsmodellen), Incident Responder, Anwendungsentwickler (zur Erstellung von Integrationen und Automatisierung) und IT-Betriebsmitarbeiter erweitern.

Wie bereits beschrieben, müssen Unternehmen die Modelle zur Erkennung von Bedrohungen an ihre Netzwerkumgebung anpassen, um ein Höchstmaß an Genauigkeit zu erreichen. Unabhängig davon, ob das Unternehmen über eigenes Personal für diese Aufgabe verfügt, Berater einstellt oder die Lösung an einen MSP auslagert, tragen auch die Anpassung und die Optimierung zu den Gesamtkosten bei.

Die Effizienz mit Datto's nahtloser BCDR-RMM-Integration steigern

Die neueste Version von Datto RMM führt eine völlig neue Integration mit Datto's Business Continuity and Disaster Recovery (BCDR) Suite ein.

Ressource anzeigen

Suggested Next Reads