beebright - stock.adobe.com
Worauf Unternehmen bei EDR-Tools achten müssen
Bevor sich Unternehmen für ein EDR-Tool entscheiden, sollten sie ausführlich untersuchen, ob es tatsächlich die erwarteten Aufgaben in der eigenen Umgebung löst.
Endpoint Detection and Response (EDR) ist ein wichtiges Instrument zur Abwehr von Malware, die auf Endgeräte abzielt. Ein effektives EDR-Tool, das Malware schnell erkennt und behebt, ist von entscheidender Bedeutung. Bei der Vielzahl an EDR-Optionen auf dem Markt ist es wichtig, sich mit den möglichen Optionen auseinander zu setzen, bevor man sich für eine entscheidet.
Im Folgenden wird untersucht, was bei der Bewertung von EDR-Produkten zu beachten ist und wie ein EDR-Tool validiert werden kann, um sicherzustellen, dass es wie beabsichtigt seinen Dienst versieht.
Was vor der Entscheidung für ein EDR-Tool wichtig ist
Bei der Bewertung eines EDR-Tools ist es wichtig, sicherzustellen, dass es für die Umgebung eines Unternehmens geeignet ist. In erster Linie muss ein Unternehmen feststellen, ob das EDR-Produkt die Cyberangriffe auf seine Endpunkte wirksam blockiert. Es kann schwierig sein, den Marketing-Hype der Anbieter zu durchschauen, um herauszufinden, ob ein EDR-Tool seine Hauptaufgaben erfüllen kann: Malware zu stoppen und das Sicherheitsteam in die Lage zu versetzen, infizierte Geräte schnell zu isolieren.
Zu den zusätzlichen Untersuchungen gehören die folgenden:
Kompatibilität. Kann das EDR-Tool auf allen Endgeräten eingesetzt werden, auch auf älteren? Viele Unternehmen verfügen über ältere Geräte, die möglicherweise keine EDR-Agenten unterstützen und daher zum Ziel eines Angriffs werden könnten, wenn sie ungeschützt bleiben. Bietet der Anbieter eine agentenlose Option an?
Integration. Sicherheitsteams können nicht effektiv arbeiten, wenn sie unzusammenhängende Systeme verwalten und überwachen müssen. Stellen Sie sicher, dass das EDR-Tool mit anderen Sicherheitstools integriert werden kann.
Kosten. Bietet der EDR-Agent einen ausreichenden Mehrwert, der über die von der Organisation bereits eingesetzten Sicherheitstools hinausgeht?
Benutzerfreundlichkeit. Können Sicherheitsteams die vom EDR-Tool gemeldeten Ereignisse interpretieren und dann präzise und schnell reagieren?
Wie man EDR-Tools bewertet
Der beste Weg, um sicherzustellen, dass ein EDR-Produkt in einem Unternehmen wirksam ist, besteht darin, es - idealerweise vor der Unterzeichnung eines Vertrags mit einem EDR-Anbieter - in einer Testumgebung zu testen, die die von dem Unternehmen verwendeten Endpunkte nachahmt. Die Tests können intern von Experten innerhalb des Unternehmens oder extern von einer dritten Partei mit Erfahrung in EDR-Umgehungstechniken durchgeführt werden.
Prüfen Sie das EDR-Tool bei den Tests auf Herz und Nieren. Beginnen Sie mit Malware-Samples, die für das EDR-Tool einfach zu erkennen sein sollten, und steigern Sie dann schrittweise die Testkomplexität und verwenden Sie Umgehungstechniken, die darauf ausgelegt sind, die Malware zu verschleiern.
Die Tests sollten auch Aktionen auf Endpunkten durchführen, die ein EDR-Produkt kennzeichnen sollte, beispielsweise den Versuch, alle Domänenadministratoren aufzulisten oder verdächtige PowerShell-Befehle auszuführen.
Achten Sie darauf, wie der EDR-Agent diese Ereignisse meldet und welche automatischen Maßnahmen ergriffen werden, und vergleichen Sie diese mit dem, was über das verwendete Malware-Muster bekannt ist. Viele erfolgreiche Angriffe auf Unternehmen erfolgen, wenn EDR-Agenten eine bestimmte Aktion melden, das Sicherheitsteam aber den Schweregrad des Ereignisses falsch einschätzt und nicht angemessen reagiert.
Nachdem Sie ein EDR-Tool einer Reihe von Tests unterzogen haben, ist es an der Zeit, eine Entscheidung zu treffen. Wenn das Tool die Erwartungen erfüllt hat, können Sie zum nächsten Schritt übergehen. Wenn es die Erwartungen nicht erfüllt hat, sollten Sie weitere Tools bewerten und testen. Es mag mühsam erscheinen, aber es lohnt sich, die Effektivität eines EDR-Tools zu kennen, bevor man es einsetzt.
Nach der Bereitstellung sollten Sicherheitsteams regelmäßig EDR-Tests durchführen, um sicherzustellen, dass das Tool weiterhin Angriffe erkennt und abwehrt, insbesondere wenn böswillige Akteure neue und ausgefeiltere Malware-Muster erstellen.
