Was ist Endpoint Detection and Response?
Endpoint Detection and Response (EDR) soll Unternehmen Schutz vor modernen Cyber-Gefahren bieten. EDR umfasst alle Systeme, die Aktivitäten (also PCs, Notebooks, Tablets, Smartphones, etc) und Ereignisse (also Anmeldung von Nutzern, Öffnen von Dateien, Registry-Zugriffe, Speicherzugriffe und aufgebaute Netzwerkverbindungen) auf den Endgeräten aufzeichnen. Diese Daten werden dann entweder auf den Geräten oder in einer zentralen Datenbank gespeichert und mit Hilfe weiterer Datenbanken zu Schwachstellen und Cybergefahren kombiniert. Anhand von Verfahren zur Verhaltensanalyse werden diese Daten anschließend daraufhin abgeklopft, ob es Anzeichen für ein mögliches Eindringen Unbefugter oder unzulässige Aktivitäten interner Täter gibt(Quelle: Channelpartner).
Als Antiviren-Programme (AV) nicht mehr richtig schützten, entstand dieser Markt an Software und Services. Gartner hat daher im Jahr 2007 den EDR-Markt definiert und beschrieben. Seither wird ein Magic Quadrant veröffentlicht.
„EDR solutions must provide the following four primary capabilities:
- Detect security incidents
- Contain the incident at the endpoint
- Investigate security incidents
- Provide remediation guidance”
Gartner definiert vier grundlegende Disziplinen, an denen wir uns bei unseren Dienstleistungen orientieren:
1. Detect security incidents – Sicherheitszwischenfälle entdecken
Die eingesetzten EDR-Lösungen müssen Methoden enthalten, um selbst die Schädlinge zu finden, die das AV-System überwunden haben.
2. Contain the incident at the endpoint – Sicherheitszwischenfall am Endpunkt isolieren
Die Schadsoftware wird in Quarantäne gepackt, das Ausführen verdächtigen Codes und gleichartige Codebefehle blockiert und terminiert. Ebenso wird das sich verdächtig verhaltende System, sei es Server oder Endpunkt, isoliert und vom Netz getrennt.
3. Investigate security incidents – Untersuchung der Sicherheitszwischenfälle
Bei einer Infektion durch Schadsoftware ist es notwendig, aufzudecken, wie sie auf das System gekommen ist und welchen Schaden sie angerichtet hat.
4. Provide remediation guidance – Hinweise und Leitlinien für die Wiederherstellung
Für den internen IT-Betrieb müssen Vorschläge und Hinweise bereitgestellt werden, wie die Wiederherstellung der betroffenen Systeme am besten vorgenommen wird. Dabei ist es notwendig, sicherzustellen, dass die Systeme wirklich sauber sind. Im Zweifel muss auch eine komplette Neuinstallation erwogen werden. Immer wieder kommt es vor, dass komplette Bereiche neugestaltet werden sollten, um entdeckte Schwächen struktureller Art zu beseitigen.
Gemeinsam mit unseren Partnerlösungen unterstützen wir Sie dabei.
Leider kommen immer wieder Cyberattacken vor, die ein betroffenes Unternehmen oder eine befallene Organisation nicht selbst bewältigen können. Zusammen mit Partner und staatlichen Stellen helfen die zertifizierten Cybersicherheits-Experten auch in solchen Fällen:
