Endpoint Detection and Response (EDR)

Definition von „Endpoint Detection and Response (EDR)“

Um „Endpoint Detection and Response (EDR)“ zu erklären, muss man ein paar Jahre zurück gehen. Im Juli 2013 definierte Anton Chuvakin von Gartner den Begriff „Endpoint Threat Detection and Response (ETDR).

Er beschrieb ETDR als Werkzeuge, die primär auf das Untersuchen und das Erkennen von verdächtigen Aktivitäten und Spuren anderer Probleme auf Hosts/Endgeräten spezialisiert sind. Gekürzt wurde im Jahr 2015 daraus der stehende Begriff der „Endpoint Detection and Response EDR“, der heute regelmäßig verwendet wird.

EDR ist eine neue und junge Technologie, die den Bedarf nach einer kontinuierlichen Überwachung und Reaktion auf die heutigen Bedrohungen ausdrückt. Die Bedrohungen von heute sind gegenüber den Bedrohungen der letzten Jahre deutlich gestiegen. Nicht nur die reine Anzahl an Bedrohungen im IT-Umfeld hat drastisch zugenommen, auch die Raffinesse und „Intelligenz“ der Angriffe stellt Lösungen heute vor große Herausforderungen. Malware und Cyberkriminelle agieren dynamisch, feste Regeln und Normen, nach denen sie handeln, sind nicht üblich.

Zusammengefasst haben moderne EDR-Lösungen nicht mehr viel mit den altbekannten klassischen Virenscannern zu tun, die wir alle einsetzen und gut kennen. Das ist nicht zuletzt in der stark gestiegenen Bedrohungslage begründet, auf die moderne EDR-Lösungen reagieren müssen. EDR bezeichnet daher einen deutlich erweiterten Funktionsumfang gegenüber heutigen Antiviruslösungen, um auf die steigende Bedrohungslage adäquat reagieren zu können.

Wie funktioniert „Endpoint Detection and Response (EDR)“

Werkzeuge im Bereich „Endpoint Detection and Response“ erfüllen Ihre Funktion primär durch die Überwachung von Endpunkt- und Netzwerkereignissen und der Aufzeichnung der Informationen zu den gefundenen Bedrohungen in einer zentralen Datenbank. Diese Datenbasis dient der weiteren Analyse, Erkennung und Untersuchung der Bedrohungen, ebenso können Berichte und Warnmeldungen generiert werden. All diese Informationen werden meist durch einen auf dem Endgerät installierten Agenten eingesammelt und generiert.

Die fortlaufende Überwachung und Erkennung wird durch den Einsatz von Analysewerkzeugen erleichtert. Durch die Analyse der aufgezeichneten Bedrohungen können Schwachstellen im Gesamt-IT-System identifiziert und durch Behebung dieser Schwachstellen die allgemeine Sicherheit erhöht werden. Dadurch wird der Schutz kontinuierlich verbessert und Angriffe können im Laufe der Zeit schneller erkannt und effektiver abgewehrt werden. Dabei ist es unerheblich, ob die Angriffe von außerhalb oder auch über Insider von innen heraus generiert werden.

Die Hersteller von EDR-Lösungen gehen keinen einheitlichen Weg, ihre EDR-Werkzeuge funktionieren nicht alle auf die gleiche Weise oder bieten das gleiche Funktionsspektrum an. Es gibt Hersteller, deren Analysefunktionen mehr auf dem Endpunkt selbst ausgeführt werden, andere wiederum verlagern diese Aufgabe in die zentralen Systeme und bearbeiten Bedrohungen über entsprechende Managementkonsolen. Auch gibt es deutliche Unterschiede hinsichtlich des Erfassungszeitpunkts und -umfangs und der Art und Weise, wie diese Erkennung umgesetzt wird.

Auch wenn außen auf der Verpackung der EDR-Lösungen in verschiedenen Worten eigentlich das Gleiche notiert ist, so unterscheiden sich die Werkzeuge der Hersteller nicht nur im reinen Funktionsumfang, sondern auch in der Art und Weise der Umsetzung der EDR-Funktionen gewaltig. Diese Unterschiede zu erkennen und vor allem die Auswirkungen bewerten zu können ist keine leichte Aufgabe.

Viele EDR-Lösungen nutzen ausgefeilte Analysen, um die Muster zu identifizieren und Anomalien aufzudecken. Dies können z. B. seltene System-Prozesse, merkwürdige oder nicht bekannte Netzwerkverbindungen oder andere risikobehaftete Aktivitäten sein, die aufgrund der Art und Weise, wie sie entstehen, oder mit Vergleichen zum „Normalzustand“ des Systems als verdächtig markiert werden. Allerdings reicht eine reine „Markierung“ hier nicht aus, denn wesentlich ist, die Bedrohung auch direkt zu blockieren. Die Reaktion auf eine Bedrohung sollte durch sofortige Maßnahmen in Echtzeit und möglichst automatisiert erfolgen.

EDR – wie sieht die Zukunft aus?

„Endpoint Detection and Response“ ist immer noch ein neues Feld, aber EDR-Fähigkeiten werden schnell zu einem wesentlichen Element jeder Sicherheitslösung für Unternehmen werden. Glaubt man den Spezialisten, so werden wir mit einer Vielzahl von komplexen Bedrohungen konfrontiert werden. Das MIT schreibt am 02. Januar 2018, dass u.a. der „Diebstahl großer Datenmengen, vor allem personenbezogene Daten“, der Einsatz von „Ransomware, auch in der Cloud“ und das „Mining von Kryptowährungen“ ganz oben auf der Bedrohungsliste stehen werden. CSO-Online schreibt am 11. Dezember 2017, dass alleine das Ransomware-Geschäft im vergangenen Jahr 2017 ein Volumen von 1 Milliarde USD betrug. Cyper-Kriminalität ist mittlerweile ein Geschäft geworden, bei dem es um sehr viel Geld geht. Und solange Programmierer in Ländern mit schlechter Bezahlung für die Erstellung einer Schadsoftware einmalig mehr Geld bekommen, als sie im ganzen Jahr verdienen würden, wird diese Cyber-Crime-Maschinerie laufen und funktionieren. Die Hacker werden ständig neue Wege suchen, um Schwachstellen in den Systemen zu finden und diese für ihre kriminellen Zwecke auszunutzen.

Für Unternehmen, die Bedrohungsschutz auf Ihre Agenda genommen haben, ist der Einsatz einer „Endpoint Detection and Response“-Lösung eine notwendige Maßnahme. Klassische Anti-Virus-Lösungen sind den neuen Bedrohungen nicht mehr gewachsen.