Fragen und Antworten zu „Endpoint Detection and Response (EDR)“

Die Definition, die Zusammenhänge und Funktion heutiger EDR-Lösungen wurde bereits in einem anderen Artikel kurz erklärt, sowie die Funktion von EDR.  Aber wie kann man vorgehen, um die optimale EDR-Lösung zu finden? Wir wollen uns diesem Thema über konkrete Fragen und Fragestellungen nähern. Die Fragen sollen helfen, die zur Auswahl stehenden Produkte an der richtigen Stelle zu hinterfragen und so zu einer Entscheidungsmatrix zu gelangen.

Die Fragen kann sich jeder den eigenen Anforderungen entsprechend beantworten, ggf. auch um weitere Frage ergänzen. Dieser Blogbeitrag soll diese Fragen aufführen und nach und nach beantworten. Sollten Sie Fragen vermissen, so hinterlassen Sie uns einfach einen Kommentar, wir sind gerne bereit, auch diese Fragen in unseren Katalog aufzunehmen und zu beantworten.

Unterscheidung von wichtigen Fragen zu begleitenden Fragen

Naturgemäß gibt es Fragen, deren positive Beantwortung für die richtige Wahl unerlässlich sind. Diese Fragen kann man auch als K.O.-Kriterien bezeichnen. Sollte die Beantwortung negativ ausfallen für den gedachten Einsatzzweck, so kann das Tool nicht mehr sinnvoll eingesetzt werden. Diese K.O.-Fragen sollten zuerst beantwortet werden. Neben diesen wesentlichen Fragen ergeben sich weitere flankierende Fragen, die weitere Details beantworten können, der negative Auslegung allerdings nicht zwangsläufig zu einem K.O. für das betrachtete Tool führt.

Je nach Einsatzzweck und Gegebenheiten kann sich die Zuordnung einzelner Fragen natürlich individuell verschieben. Im folgenden haben wir die wesentlichen Fragen, deren negative Beantwortung ein K.O. für das untersuchte Tool darstellen würde, entsprechend gekennzeichnet.

Fragen zu Funktionen und Features eines EDR Tools

K.O.-Fragen

  • Muss die Bedrohung und Ihre Eigenschaften vorher bekannt sein, damit ein Schutz gewährleistet ist? -> Antwort
  • Arbeitet der Client auch ohne Verbindung zum zentralen System verlässlich im offline-Modus?
  • Bietet das Produkt die Funktion, Bedrohungen ohne manuellen Eingriff automatisch zu blocken und zu beheben?
  • Blockiert das Produkt bei einer bestehenden Bedrohung die Maschine bzw. die Netzwerkkommunikation vollständig?

Allgemeine Fragen

  • Welche Funktionen und welchen Schutz bietet das Produkt im Pre-Infection-Bereich (NGAV)?
  • Welche Funktionen und welchen Schutz bietet das Produkt im Post-Infection-Bereich?
  • Arbeitet das Produkt und seine Schutzmechanismen in Echtzeit?
  • Wird auch ein Schutz für Betriebssysteme geboten, die nicht mehr vom Hersteller des Betriebssystems unterstützt werden?
  • Welche Betriebssysteme (Windows, MacOS, Linux) werden unterstützt?
  • Kann zwischen Whitelisting- und Blacklistingansatz gewählt werden?

Fragen zu Technologie und Infrastruktur eines EDR Tools

K.O.-Fragen

Allgemeine Fragen

  • Auf welche Bereiche erstreckt sich der Schutz des Produktes und deckt es ggf. unnötige Bereiche/Anwendungen ab?
  • Sind auch Virtual Desktop-Lösungen (VMWare, Citrix) geschützt?
  • Wie hoch sind die Systemanforderungen (CPU, RAM, HD, Netzwerk)?
  • Bildet das Produkt eine Einheit, dessen Funktionen „aus einem Guss“ einheitlich integriert sind oder besteht es aus Einzelkomponenten unterschiedlicher Quellen, die teilweise nicht miteinander verbunden sind?
  • Wie viele Systemdienste werden installiert/genutzt und wie viele Systemressourcen benötigen diese?
  • Benötigt das Produkt bei der Installation einen Reboot?
  • Wie hoch ist der erstmalige Integrationsaufwand auf zentraler Seite?
  • Wie aufwendig (Zeit, Ressourcen) in Abhängigkeit von der Komplexität des Agenten ist die erstmalige Verteilung derselben?

Fragen zu Betrieb und Service eines EDR Tools

K.O.-Fragen

  • Welcher Aufwand (vor allem im Personalbereich) entsteht im betrieblichen Bereich, welche manuellen Eingriffe sind in welcher Anzahl nötig und wie hoch ist der Automatisierungsgrad vor allem im Event-Management?

Allgemeine Fragen

  • Besteht die Möglichkeit der Installation im eigenen Rechenzentrum (on-premise) sowie in einer professionellen Cloud oder in einem Mischbetrieb?
  • Arbeitet das Produkt ohne AV-Pattern und damit ohne den aufwändigen Prozess des Client-Updates?
  • Wie sehen die Integrationsmöglichkeiten in bestehende Event-Management-Systeme aus? Bietet die Lösung eine einfach zu nutzenden API?
  • Wie aufwendig ist die Untersuchung und Behebung von Bedrohungen im Admin-Backend?
  • Wie hoch ist der Pflegeaufwand der Client-Infrastruktur im Betrieb?
  • Können betriebliche Dienstleistungen mit dem eigentlichen Produkt extern kontrahiert werden (Alert Monitoring, Event Handling, Forensische Analyse, …)?
  • Können die Ergebnisse/Ereignisse der Kunden des Herstellers der EDR-Lösung für die Community genutzt werden?
Cyber Security

Endpoint Detection and Response (EDR)

Definition von „Endpoint Detection and Response (EDR)“

Um „Endpoint Detection and Response (EDR)“ zu erklären, muss man ein paar Jahre zurück gehen. Im Juli 2013 definierte Anton Chuvakin von Gartner den Begriff „Endpoint Threat Detection and Response (ETDR).

Er beschrieb ETDR als Werkzeuge, die primär auf das Untersuchen und das Erkennen von verdächtigen Aktivitäten und Spuren anderer Probleme auf Hosts/Endgeräten spezialisiert sind. Gekürzt wurde im Jahr 2015 daraus der stehende Begriff der „Endpoint Detection and Response EDR“, der heute regelmäßig verwendet wird.

EDR ist eine neue und junge Technologie, die den Bedarf nach einer kontinuierlichen Überwachung und Reaktion auf die heutigen Bedrohungen ausdrückt. Die Bedrohungen von heute sind gegenüber den Bedrohungen der letzten Jahre deutlich gestiegen. Nicht nur die reine Anzahl an Bedrohungen im IT-Umfeld hat drastisch zugenommen, auch die Raffinesse und „Intelligenz“ der Angriffe stellt Lösungen heute vor große Herausforderungen. Malware und Cyberkriminelle agieren dynamisch, feste Regeln und Normen, nach denen sie handeln, sind nicht üblich.

Zusammengefasst haben moderne EDR-Lösungen nicht mehr viel mit den altbekannten klassischen Virenscannern zu tun, die wir alle einsetzen und gut kennen. Das ist nicht zuletzt in der stark gestiegenen Bedrohungslage begründet, auf die moderne EDR-Lösungen reagieren müssen. EDR bezeichnet daher einen deutlich erweiterten Funktionsumfang gegenüber heutigen Antiviruslösungen, um auf die steigende Bedrohungslage adäquat reagieren zu können.

Wie funktioniert „Endpoint Detection and Response (EDR)“

Werkzeuge im Bereich „Endpoint Detection and Response“ erfüllen Ihre Funktion primär durch die Überwachung von Endpunkt- und Netzwerkereignissen und der Aufzeichnung der Informationen zu den gefundenen Bedrohungen in einer zentralen Datenbank. Diese Datenbasis dient der weiteren Analyse, Erkennung und Untersuchung der Bedrohungen, ebenso können Berichte und Warnmeldungen generiert werden. All diese Informationen werden meist durch einen auf dem Endgerät installierten Agenten eingesammelt und generiert.

EDR Cyber SecurityDie fortlaufende Überwachung und Erkennung wird durch den Einsatz von Analysewerkzeugen erleichtert. Durch die Analyse der aufgezeichneten Bedrohungen können Schwachstellen im Gesamt-IT-System identifiziert und durch Behebung dieser Schwachstellen die allgemeine Sicherheit erhöht werden. Dadurch wird der Schutz kontinuierlich verbessert und Angriffe können im Laufe der Zeit schneller erkannt und effektiver abgewehrt werden. Dabei ist es unerheblich, ob die Angriffe von außerhalb oder auch über Insider von innen heraus generiert werden.

Die Hersteller von EDR-Lösungen gehen keinen einheitlichen Weg, ihre EDR-Werkzeuge funktionieren nicht alle auf die gleiche Weise oder bieten das gleiche Funktionsspektrum an. Es gibt Hersteller, deren Analysefunktionen mehr auf dem Endpunkt selbst ausgeführt werden, andere wiederum verlagern diese Aufgabe in die zentralen Systeme und bearbeiten Bedrohungen über entsprechende Managementkonsolen. Auch gibt es deutliche Unterschiede hinsichtlich des Erfassungszeitpunkts und -umfangs und der Art und Weise, wie diese Erkennung umgesetzt wird.

Auch wenn außen auf der Verpackung der EDR-Lösungen in verschiedenen Worten eigentlich das Gleiche notiert ist, so unterscheiden sich die Werkzeuge der Hersteller nicht nur im reinen Funktionsumfang, sondern auch in der Art und Weise der Umsetzung der EDR-Funktionen gewaltig. Diese Unterschiede zu erkennen und vor allem die Auswirkungen bewerten zu können ist keine leichte Aufgabe.

Viele EDR-Lösungen nutzen ausgefeilte Analysen, um die Muster zu identifizieren und Anomalien aufzudecken. Dies können z. B. seltene System-Prozesse, merkwürdige oder nicht bekannte Netzwerkverbindungen oder andere risikobehaftete Aktivitäten sein, die aufgrund der Art und Weise, wie sie entstehen, oder mit Vergleichen zum „Normalzustand“ des Systems als verdächtig markiert werden. Allerdings reicht eine reine „Markierung“ hier nicht aus, denn wesentlich ist, die Bedrohung auch direkt zu blockieren. Die Reaktion auf eine Bedrohung sollte durch sofortige Maßnahmen in Echtzeit und möglichst automatisiert erfolgen.

EDR – wie sieht die Zukunft aus?

„Endpoint Detection and Response“ ist immer noch ein neues Feld, aber EDR-Fähigkeiten werden schnell zu einem wesentlichen Element jeder Sicherheitslösung für Unternehmen werden. Glaubt man den Spezialisten, so werden wir mit einer Vielzahl von komplexen Bedrohungen konfrontiert werden. Das MIT schreibt am 02. Januar 2018, dass u.a. der „Diebstahl großer Datenmengen, vor allem personenbezogene Daten“, der Einsatz von „Ransomware, auch in der Cloud“ und das „Mining von Kryptowährungen“ ganz oben auf der Bedrohungsliste stehen werden. CSO-Online schreibt am 11. Dezember 2017, EDRdass alleine das Ransomware-Geschäft im vergangenen Jahr 2017 ein Volumen von 1 Milliarde USD betrug. Cyper-Kriminalität ist mittlerweile ein Geschäft geworden, bei dem es um sehr viel Geld geht. Und solange Programmierer in Ländern mit schlechter Bezahlung für die Erstellung einer Schadsoftware einmalig mehr Geld bekommen, als sie im ganzen Jahr verdienen würden, wird diese Cyber-Crime-Maschinerie laufen und funktionieren. Die Hacker werden ständig neue Wege suchen, um Schwachstellen in den Systemen zu finden und diese für ihre kriminellen Zwecke auszunutzen.

Für Unternehmen, die Bedrohungsschutz auf Ihre Agenda genommen haben, ist der Einsatz einer „Endpoint Detection and Response“-Lösung eine notwendige Maßnahme. Klassische Anti-Virus-Lösungen sind den neuen Bedrohungen nicht mehr gewachsen.