Endger?te sind von entscheidender Bedeutung f¨¹r den Erfolg von Cyberangriffen. W?hrend sich die Definition, was ein Endger?t genau ist, im Laufe der Zeit ver?ndert hat, ist die Bedrohung dieselbe geblieben: Bedrohungsakteure brauchen ein Ger?t, um Malware zu verbreiten, Assets zu verschl¨¹sseln und Anmeldedaten zu erfassen ¨C sie brauchen ein Endger?t.
Wenn beispielsweise ein Bedrohungsakteur, der einen Ransomware-Angriff starten will, in ein Netzwerk eindringt, wird er nach dem Endger?t suchen, das wichtige Daten oder wichtige Funktionen enth?lt, um seinen Ransomware-Stamm darauf loszulassen. Alles f¨¹hrt zu den Endger?ten. Deshalb r¨¹ckten die Endger?te mit der Weiterentwicklung von Cybersecurity immer mehr ins Zentrum der Aufmerksamkeit, insbesondere mit Endpoint Detection and Response (EDR), einer Technologie, die es Unternehmen erm?glicht, ein Eindringen oder Bedrohungen f¨¹r ihre Endger?te zu ¨¹berwachen, zu erkennen und abzuwehren.
Seit Jahren stellt EDR die Grundlage vieler Sicherheitsstrategien dar und hat dabei unz?hlige Bedrohungen abgewehrt. Diese L?sung ist zwar immer noch n¨¹tzlich und wird oft als Standardl?sung angesehen, aber da sich die Bedrohungsakteure weiterentwickeln, die Cyber-Infrastruktur sich ver?ndert und selbst die Struktur der Gesch?ftsabl?ufe im Wandel begriffen ist, kann EDR nicht mehr als das Allheilmittel f¨¹r Erkennung und Abwehr angesehen werden ¨C EDR reicht nicht mehr aus.
Der Nutzen von Endpoint Detection and Response
In erster Linie erm?glicht es EDR den Sicherheitsteams, Sicherheitsvorf?lle zu erkennen, zu untersuchen und auf den Endger?ten zu beheben.
Wenn es zu einer verd?chtigen Aktion kommt, l?st der auf dem Endger?t installierte EDR-Agent eine Warnung aus und informiert das Sicherheitsteam der Organisation dar¨¹ber, dass etwas geschehen ist. Die L?sung erm?glicht es den Sicherheitsexpert:innen, nach der Feststellung zu handeln, sei es durch die Isolierung des Endger?ts oder durch eine andere Ma?nahme, die die Ausbreitung der potenziellen Bedrohung verhindert. Dar¨¹ber hinaus kann EDR unbekannte Bedrohungen durch forensische Tools aufsp¨¹ren, die ein anomales Verhalten auf bestimmten Endger?ten erkennen.
Wenn eine interne Benutzerin oder ein interner Benutzer etwa einer Phishing-E-Mail zum Opfer gefallen ist und es so Malware erm?glicht hat, sich auf dem Arbeitslaptop zu multiplizieren, ist EDR in der Lage, das festzustellen, sodass das Sicherheitsteam das Endger?t isolieren und herunterfahren kann, bevor die Malware auf andere Ger?te ¨¹bergreift oder ein Bedrohungsakteur Zugriff auf ¨¹ber das Netzwerk verbundene Anwendungen erh?lt und beginnt, ¨¹ber ein einzelnes Endger?t hinaus zu operieren und andere Ger?te oder Teile des Netzwerks zu infizieren.
EDR f¨¹gt der reaktiven Sicherheitsstruktur eine weitere Ebene hinzu, indem es Unternehmen erm?glicht, Bedrohungen in Echtzeit zu erkennen und sie abzuwehren. Wenn eine Firewall oder eine Antivirenl?sung ein Maschendrahtzaun ist, dann stellt EDR die Wacht¨¹rme und Flutlichter dar, die auf jede verd?chtige Bewegung aufmerksam machen.
In der heutigen Welt, in der jedes Jahr Tausende von Verst??en gemeldet werden und sich Cyberkriminalit?t zu einer milliardenschweren Industrie entwickelt hat, ist die Erkennung und Abwehr von Bedrohungen nicht mehr nur hilfreich ¨C sie ist unerl?sslich.
Andere Endger?t-Tools
Bereits l?nger als EDR existiert die Endpoint Protection ºÚÁÏÉç (EPP). Eine EPP bietet Schutz f¨¹r alle Endger?te durch die Nutzung einer Firewall-, Port- und Ger?tekontrolle. Eine EPP sch¨¹tzt zwar vor einem Eindringen, hat aber keine Erkennungs- und Abwehrm?glichkeiten und wird daher als herk?mmliche, aber beschr?nkte L?sung betrachtet. Es ist wie ein gutes Werkzeug, das man im Werkzeugkasten hat, aber nicht alles reparieren kann.
Antivirus ist ein weiteres Endger?t-Tool, das es schon seit Jahrzehnten gibt. Dieser auch als Anti-Malware-Software bekannte Schutz f¨¹r Endger?te kann bekannte Malware-St?mme identifizieren und daran hindern, Endger?te zu infizieren, und scannt das Endger?t oft automatisch. Wie EPP ist auch Antivirus ein bekanntes und gutes Tool, aber wenn es um den Schutz eines gro?en Netzwerks von Endger?ten auf Unternehmensebene geht, greift es zu kurz.
EDR im Vergleich zu MDR
Als eine Weiterentwicklung der EDR-Technologie hat Managed Detection and Response (MDR) dank seines Beitrags zur Abwehr festgestellter Bedrohungen bei Unternehmen im Laufe der Jahre an Beliebtheit gewonnen. Bei MDR verwalten Sicherheitsexpert:innen das Erkennungs- und Abwehrtool, was auch die Interpretation von Warnungen und das Handeln im Namen einer Organisation einschlie?t. Dieses Tool kombiniert menschliche F?higkeiten mit Technologie, um eine schnelle Reaktion auf erkannte Vorf?lle zu erm?glichen.
MDR ist kein verwaltetes EDR. Auch wenn das Endger?t eine Komponente ist, die eine MDR-L?sung ¨¹berwacht, ¨¹berwacht MDR in der Regel die weitere Umgebung und nutzt mehrere Telemetriequellen f¨¹r Erkennungs- und Abwehrma?nahmen.
Vier Gr¨¹nde daf¨¹r, dass EDR nicht ausreicht
Obwohl das Endger?t eine wichtige Komponente jedes Netzwerks ist, kann die alleinige Verwendung von EDR f¨¹r moderne, digitalisierte Unternehmen mehr Risiken als Vorteile mit sich bringen.
Aus vier Hauptgr¨¹nden sollten Unternehmen ihr EDR neu bewerten und sich nach umfassenderen Cybersecurity-L?sungen umsehen. All diese Gr¨¹nde h?ngen miteinander zusammen und machen deutlich, warum der Einsatz eines einzigen Tools nicht alle Sicherheitsprobleme l?sen kann.
1. Es fehlt an Transparenz
Zwar haben alle Cyberangriffe ihren Ursprung im Endger?t, aber im Grunde beginnen viele nicht dort. Selbst wenn wir das traditionelle Szenario heranziehen, in dem eine Benutzerin oder ein Benutzer eine b?sartige Datei ¨¹ber eine E-Mail herunterl?dt, stellen wir fest, dass selbst ein solcher Angriff nicht durch das Eindringen in das Endger?t, sondern durch Social Engineering beginnt. EDR konzentriert sich nur auf das Endger?t und verdeckt die Sicht auf die restlichen Teile des Systems eines Unternehmens.
Das bedeutet, dass EDR?…
2. Bedrohungen im Fr¨¹hstadium nicht immer stoppt
In der heutigen Welt des Cloud Computing, des hybriden Arbeitens und der untereinander verbundenen Netzwerke haben viele Cyberangriffe ihren Ursprung au?erhalb des Endger?ts. Von Business Email Compromise (BEC) ¨¹ber Ransomware bis hin zur Ausnutzung von Cloud-Fehlkonfigurationen beginnen alle diese Zugangswege f¨¹r Bedrohungsakteure an anderer Stelle oder vermeiden im Fr¨¹hstadium Endger?te. F¨¹r Sicherheitsteams bedeutet dies, dass es zu dem Zeitpunkt, an dem EDR einen Vorfall feststellt, zu sp?t sein kann, um ihn zu isolieren oder den ersten Schaden abzuwenden.
Wenn eine Organisation eine Bedrohung erst so sp?t bemerkt, kann es sein, dass?…
3. es ihr an Sicherheitspersonal fehlt, um die Bedrohungen abzuwehren
Es ist kein Geheimnis, dass der Mangel an Sicherheitskompetenzen immer gr??er wird. EDR kann zwar ein leistungsf?higes Werkzeug sein, aber es ist trotzdem nur ein Werkzeug, d.?h. die Verantwortung f¨¹r die Einstellung von Personal, die Feinabstimmung und die Arbeit mit dem Werkzeug liegt bei der Organisation. Dies bedeutet, dass es der Organisation m?glicherweise nicht nur an Stellen, sondern auch an dem n?tigen Fachwissen fehlt, um schnell auf Erkennungen zu reagieren.
Ein unzureichend geschultes, ¨¹berfordertes Sicherheitspersonal kann?…
4. ´¡±ô²¹°ù³¾¨¹²ú±ð°ù±ô²¹²õ³Ù³Ü²Ô²µ und Fehlalarme zur Folge haben
´¡±ô²¹°ù³¾¨¹²ú±ð°ù±ô²¹²õ³Ù³Ü²Ô²µ, zu der es kommt, wenn das Sicherheitspersonal angesichts einer Vielzahl von Alarmen so ¨¹berfordert ist, dass es auf wichtige Alarme nicht mehr reagiert, ist ein ernsthaftes und mit hohen Kosten verbundenes Problem. Wenn man bedenkt, wie viele Endger?te ein Unternehmen hat, vor allem in sich schnell digitalisierenden Branchen wie dem Gesundheitswesen und der Fertigung, kann eine Ausbreitung das Alarmaufkommen erheblich erh?hen. Dar¨¹ber hinaus k?nnen die schiere Menge an Endger?ten und die Einschr?nkungen von EDR-Tools zu Fehlalarmen f¨¹hren, die ¨¹berlastetem Sicherheitspersonal wertvolle Zeit rauben und es in einen Kreislauf der Reaktion auf alle Alarme bringen.
Halten Sie sich ¨¹ber die Entwicklungen des Managed Detection and Response-Markts mit dem ?Market Guide for MDR Services¡± von Gartner? auf dem Laufenden.
Erfahren Sie, wie L?sungen, die ¨¹ber das Endger?t hinaus arbeiten, Bedrohungen erkennen und innerhalb von Minuten abwehren k?nnen.
