Getty Images/iStockphoto
Mit EDR-Tools die Sicherheit der Endpunkte verbessern
Tools zur Endpoint Detection and Response (EDR) bieten viele Möglichkeiten, um Cybergefahren zu bekämpfen. Die Kombination mehrerer Maßnahmen erhöht die Sicherheit der Endpunkte.
IT-Abteilungen sollten die ihr zur Verfügung stehenden Security-Tools kontinuierlich auf den Prüfstand stellen und gegebenenfalls neue Werkzeuge testen und einsetzen, um adäquat auf neue Gefahren reagieren zu können. Insbesondere EDR-Tools (Endpoint Detection and Response) sind zum Beispiel eine gute Möglichkeit, um die Sicherheit der Endpunkte im Unternehmen zu erhöhen.
Wenn IT-Profis auf veraltete Methoden zum Schutz der ihnen anvertrauten Systeme in modernen Umgebungen setzen, kommt es immer wieder zu unerwarteten Ergebnissen. So können sich Hacker etwa einen Zugang zu dem Netzwerk eines Unternehmens verschaffen, wenn die Anwender Malware auf ihre PCs, Notebooks oder Mobilgeräte herunterladen und dort ausführen. EDR-Tools können dies verhindern. Noch sind sie jedoch nicht sehr weit verbreitet, so dass auch viele IT-Profis ihre Möglichkeiten noch nicht kennen.
Was genau sind EDR-Tools?
EDR-Tools sind eine effektive Methode, um auch modernste Bedrohungen bekämpfen zu können und um auf komplexe Sicherheitsvorfälle reagieren zu können, von denen die Endpoints direkt betroffen sind. Mit EDR-Tools erhalten IT-Abteilungen eine proaktive und doch flexible Möglichkeit, um die IT-Sicherheit in ihren Netzen zu erhöhen. Bislang hat Schutz gegen Cyberangreifer meist zu sehr nur auf Maßnahmen gegen Malware gesetzt.
Werkzeuge für EDR kombinieren dagegen Funktionen zur Verhaltensanalyse und darauf aufsetzende Sperrmaßnahmen mit Möglichkeiten zur Kontrolle der auf den Endpoints vorhandenen Applikationen. Beispielsweise nutzen sie Whitelists, die von den Herstellern und den IT-Abteilungen gepflegt werden können. Dazu kommen Funktionen zum Monitoring des Netzwerks und zur Reaktion auf Vorfälle (Incident Response). Für viele dieser Aufgaben lassen sich natürlich auch andere Tools finden. Mit EDR-Anwendungen können jedoch viele Schwachstellen auf den Endpunkten auf einmal geschlossen werden. Außerdem ermöglichen sie forensische Analysen von Vorfällen in Kombination mit schnellen und effektiven Reaktionen auf Eindringlinge.
Darüber hinaus lassen sich EDR-Tools auch in andere Lösungen integrieren, um zusätzlich folgende Aufgaben zu erfüllen. Sie helfen dabei,
- genauere Informationen darüber zu sammeln, über das was wirklich auf den Endpoints geschieht,
- beim Verwalten der physischen und digitalen Güter,
- beim Verbessern der Reaktion auf Vorfälle und beim Wiederherstellen des erwünschten Zustands,
- außerdem unterstützen sie die IT-Mitarbeiter bei der kontinuierlichen Speicherung von Log-Daten, so dass sie schnellere und bessere Analysen durchführen können.
Bei manchen EDR-Tools geht die Integration in andere Security-Werkzeuge ohne besondere Maßnahmen vonstatten, andere benötigen dafür spezialisierte APIs (Application Programming Interfaces). Die Hersteller der Anwendungen stellen sie in der Regel selbst bereit, um zum Beispiel die Visualisierung von Daten, das Incident Reporting und das Erstellen von Tickets zu erleichtern.
Braucht Ihr Unternehmen EDR-Tools?
Auf dem Markt gibt es sowohl Angebote lokal zu installierender EDR-Tools sowie online bereitgestellte Services. Cloud-basierte EDR-Werkzeuge können im Prinzip dieselben Aufgaben erfüllen wie reine On-Premises-Lösungen. Sie haben aber den Vorteil, dass dafür keine beziehungsweise weniger lokalen Ressourcen benötigt werden.
Manche der EDR-Anbieter wie Carbon Black und CrowdStrike konzentrieren sich mehr auf den Cloud-basierten Ansatz, weil sie damit die Workloads gering halten können, die auf den einzelnen Endpunkten benötigt werden. Andere Lösungen von zum Beispiel Symantec und FireEye laufen dagegen bei geringer Systembelastung direkt auf den Endgeräten im Unternehmen.
Bevor sie sich für bestimmte EDR-Tools entscheiden, sollten sich IT-Profis jedoch folgende Fragen stellen:
- Sind uns alle aktuellen Risiken für unsere Endpoints bekannt? Verfügen wir über alle wichtigen Informationen aus zum Beispiel Schwachstellen- und Penetrationstests sowie aus bereits durchgeführten Audits?
- Haben wir schon geeignete Maßnahmen und Richtlinien definiert, um alle wesentlichen Lücken zu schließen?
- Welche Schritte können wir ergreifen, um die Lücken zu schließen und um die bestehenden Risiken zu minimieren? Müssen wir vor allem zuerst die Schulung der Mitarbeiter verbessern, die technischen Bereiche der Endpoint-Security adressieren oder unsere geschäftlichen Abläufe und Prozesse optimieren?
Eine an EDR-Tools interessierte IT-Abteilung sollte zunächst einen fundierten Plan entwerfen, um die vorhandenen Probleme zu beheben, den sie dann Schritt für Schritt in die Praxis umsetzen kann. Wie auch in anderen Bereichen gibt es viele geeignete Maßnahmen, die sie ergreifen kann, um die Gefahren für ihre Endpunkte zu minimieren. EDR-Lösungen sind eine sinnvolle Möglichkeit, um den Schutz der Endgeräte im Unternehmen zu verbessern.