Wie wichtig ist ein EDR für meine IT Security?

Endpoint Detection and Response Lösungen stellen umfassendere Abwehrfunktionen bereit als konventionelle Antiviren-Software und können dateilose Angriffe erkennen, die über legitime Windows-Programme gestartet werden. Erfahren Sie hier, was ein EDR-System genau ist, welche Eigenschaften es aufweisen sollte und welche Rolle die Lösung für Ihr SIEM spielt.

Was ist ein EDR-System?

Eine Endpoint Detection and Response (EDR)-Plattform ist eine technische, softwarebasierte Lösung, die in erster Linie für die Erkennung von Artefakten eines Cyberangriffs ausgelegt ist. Der Begriff EDR wurde 2013 durch den Gartner-Analysten Anton Chuvakin eingeführt und für die Beschreibung von Plattformen genutzt, die eine tiefere Untersuchung verdächtiger Aktivitäten an Endpunkten wie PCs, Laptops und Servern ermöglichen. EDR-Plattformen zeichnen das Verhalten der Endgeräte kontinuierlich auf, analysieren die Daten und reagieren bei verdächtigem Verhalten mit automatisierten Abwehrmaßnahmen, beispielsweise einer Isolierung der betroffenen Geräte. Dadurch können weitere Ausbrüche der Kompromittierung – beispielsweise ein Lateral Movement – verhindert werden. Der Fokus von EDR-Lösungen liegt aber im Kern auf der Erhöhung der Visibilität von Anomalien auf dem Endpunkt. Dadurch unterscheiden sich EDR-Systeme von anderen technischen Sicherheitslösungen wie Firewalls: Der Schutz findet direkt auf den Endgeräten und nicht an der Netzwerkgrenze statt.

Studie Endpoint Security 2022: 55% der befragten Unternehmen berichten von zunehmenden Cyberattacken auf Endpoints.

Was sind die wichtigsten Funktionen einer EDR-Lösung?

Jedes EDR-System ermöglicht die Überwachung von Aktivitäten und Ereignissen auf den Endgeräten in Echtzeit. So wird ein zuverlässiges Identifizieren von verdächtigem Verhalten und die Erkennung von stattfindenden Cyberbedrohungen ermöglicht. Ebenfalls zur Grundausstattung einer EDR-Lösung gehören automatisierte Reaktionen zur Abwehr der Bedrohungen.

Darüber hinaus sollte ein leistungsstarkes EDR-System folgende Eigenschaften unbedingt aufweisen:

  • Plattformübergreifend: Die Lösung sollte ohne Zusatzaufwand auf allen gängigen Betriebssystemen – Windows, Linux, MacOS – installiert werden können. Abhängig vom kundenindividuellen Bedarf sollte auch eine Installation auf mobilen Plattformen möglich sein.
  • Zentrales Management: Die Lösung sollte ein zentrales Datenmanagement mit einer granularen Gruppen- und Richtliniensteuerung bieten.
  • Manueller Zugriff: Die Lösung muss zusätzlich zu Automatismen auch immer eine Möglichkeit anbieten, Rechner manuell vom Netzwerk isolieren zu können.
  • Incident Management: Ein Incident Management Tool zur Verwaltung und Übersicht der eingehenden Alarme und IOCs erweitert die Möglichkeiten einer EDR-Lösung nochmals deutlich.
  • Mapping: Ein Mapping zum MITRE ATT&CK Framework ermöglicht die präzise Zuordnung und Analyse bestehender Cyberangriffe.
  • Flexibel: Das Managementsystem der EDR-Lösung sollte, sofern es die Anforderungen des Unternehmens verlangen, im vollständigen Umfang als on-premises Installation in die Architektur des Unternehmens eingebunden werden können und auch die Möglichkeit bieten, im Air Gapped Modus betrieben werden zu können.
  • Erweiterbar: Mit einem API (Application Programming Interface) lassen sich Informationen zwischen dem EDR- und anderen Systemen ergänzen und austauschen.
  • Eigene IOCs: Mit der Erstellung oder dem Import eigener Indicator of Compromise in eine EDR-Lösung können angeschlossene Systeme bei Verdachtsfällen oder im Falle eines IR nach Artefakten eines Angriffs untersucht werden.
  • Live-Forensik: Leistungsstarke EDR-Systeme bieten die Möglichkeit einer Live-Forensik, beispielsweise über osquery oder vergleichbare Drittanbieter.
  • Speicherung: Eine Speicherung von Ereignissen und der Prozessübersicht jedes angeschlossenen Systems von 30 Tagen oder mehr ist unbedingt zu empfehlen.
  • Externe Quellen: Das EDR-System sollte möglichst eine Anreicherung von Ereignissen über externe Quellen, beispielsweise STIX und TAXII, zulassen.

Was erreiche ich mit einem EDR-System und wo sind die Grenzen?

Ein korrekt implementiertes und verwendetes EDR-System kann die IT-Sicherheit innerhalb eines Unternehmens deutlich verbessern. Neben der Erkennung auch von fortschrittlichen Bedrohungen, einer vereinfachten und beschleunigten Reaktion auf Vorfälle und hoher Transparenz bieten EDR-Lösungen zumeist auch starke Automatisierungsfunktionen, die Untersuchungen von und Reaktionen auf Vorfälle auch in großem Umfang ermöglichen.

Der wohl wichtigste Vorteil, der sich mit einem EDR-System erreichen lässt, ist die Möglichkeit der Erkennung von Bedrohungen, die sich mit konventionellen Systemen nur schwer oder gar nicht aufdecken lassen. Zu diesen Bedrohungen zählen professionelle Hacker-Angriffe oder auch Zero-Day-Attacken. Zusätzlich wird die Zeit, die für eine Reaktion auf einen Sicherheitsvorfall vergeht, deutlich verkürzt. EDR-Systeme erfassen, sammeln und speichern viele Details und Artefakte von verschiedenen Endpunkten in Echtzeit und stellen die gewonnenen Daten umgehend für eine Auswertung bereit. So steht ein umfassendes Bild eines IT-Sicherheitsvorfalls zur Verfügung, ohne dass Incident Response Teams Zeit in das Sammeln von Artefakten von Endpunkten investieren müssen.

Die Möglichkeit der zentralisierten Bereitstellung von Artefakten bietet Analysten zusätzlich noch einen umfassenden Blick auf die gesamte Sicherheitslage des Unternehmens. Dadurch lassen sich Muster erkennen, zuordnen und entsprechende Reaktionen auf einen Vorfall auslösen. Auch diese Reaktionen werden durch EDR-Systeme deutlich beschleunigt. Unterstützt wird die schnelle Reaktionsfähigkeit auf Sicherheitsvorfälle durch umfangreiche Automatisierungs-Möglichkeiten und die Verwendung einer API.

Allerdings hat auch ein EDR-System Grenzen. Auch wenn die Lösung eine gute Ergänzung zu den Sicherheitsmaßnahmen eines Unternehmens darstellt, so sind vor einer Implementierung doch einige Punkte zu beachten, damit ein maximaler Nutzen aus EDR-Lösungen gezogen werden kann. Wichtig zu wissen ist es, dass EDR-Systeme unbedingt den Einsatz von hoch spezialisierten Fachkräften erfordern. Je nach Unternehmensgröße erzeugen EDR-Systeme täglich eine hohe Anzahl von Alarmen. Um „richtige“ Alarmmeldungen von Falschmeldungen zu unterscheiden, reichen automatisierte Lösungen nicht aus. Erfahrene Cyber Security Analysten oder Threat Hunter bringen das nötige Fachwissen mit, um proaktiv Angriffe oder Angriffsartefakte zu erkennen.

Ein EDR-System ist kein präventives System, wie beispielsweise traditionelle, signaturbasierte Antivirus-Systeme. Ein EDR-System wird nicht zur Verhinderung von Angriffen eingesetzt, sondern zur zuverlässigen Erkennung bestimmter Angriffstechniken, die einer oder mehrerer Angriffstaktiken zugeordnet werden. Hierzu spielt die prozentuale Rate an False Positives oder Negatives in den erzeugten Meldungen eine tragende Rolle – die bei einer Evaluierung durch entsprechende Tests während eines POCs verifiziert werden.

Inwieweit unterscheidet sich EDR von XDR?

Während eine EDR-Lösung auf die Erkennung und Abwehr von IT-Bedrohungen auf Endgeräten (Endpoints) spezialisiert ist, beherrschen XDR-Systeme die Gefahrenabwehr und -erkennung in der gesamten IT-Infrastruktur eines Unternehmens. XDR-Systeme beziehen neben Endgeräten auch Netzwerk, E-Mail und Cloud-Services in die Untersuchungen mit ein. So entsteht ein ganzheitliches Bild der Bedrohungslage – anders als bei EDR-Systemen, die die IT-Sicherheit aus der Sicht der Endpunkte betrachten.

Ein EDR-System kann – abhängig von der Anforderung an die IT-Security innerhalb des Unternehmens – ein guter Einstieg sein, um die Visibilität auf den Endpunkten zu erhöhen. Mit XDR wird dieser Ansatz auf die Ebene des Netzwerkes, E-Mail, der Cloud sowie Container und Benutzer erweitert. Somit lassen sich über Korrelationen und maschinelles Lernen, Angriffe bis zum Patient Zero zurückverfolgen. Für einen zuverlässigen Einsatz von XDR-Lösungen wird meist ein Ökosystem aus dem Portfolio der Komponenten eines Herstellers benötigt.

Welche Rolle spielt EDR für mein SIEM?

Eine effektive Sicherheitsinfrastruktur zeichnet sich durch mehrstufige Verfahren aus, die die jeweiligen spezifischen Vorteile im optimierten Zusammenspiel ergänzen. Für Entscheidungsträger kann die Überschneidung der Funktionalitäten stellenweise verwirrend sein – dies gilt insbesondere für ein EDR, dass zukünftig ein bereits vorhandenes SIEM im Unternehmen erweitern soll.

Eine SIEM-Lösung ist als zentrales Risikomanangement-Tool auf die Erkennung, Untersuchung und die Reaktion auf Cyberbedrohungen spezialisiert. Durch die Bereitstellung eines zentralen Ortes für die Speicherung und Analyse von Daten verknüpft ein SIEM unterschiedliche Informationssilos miteinander und bietet so die Möglichkeit, verschiedene Datenquellen unter kontinuierlicher Beobachtung zu behalten. SIEM-Systeme erkennen Sicherheitsverstöße, erstellen Berichte und bieten IT-Security-Experten vertiefte Einblicke in potenzielle oder tatsächlich stattfindende Angriffe. Somit lassen sich Reaktionen und Gegenmaßnahmen schnell und zuverlässig ableiten und durchführen.

Ein EDR-System erweitert das SIEM um Kapazitäten im Bereich der Sicherheit von Endpunkten – also für jedes Gerät, dass physisch einen Endpunkt innerhalb eines Netzwerkes darstellt. Das können PCs der Mitarbeiter sein, Laptops der Außendienstler oder der Server im Rechenzentrum. EDR-Systeme können erkennen, ob auf einem Gerät ungewöhnliche Aktivitäten festgestellt wurden und stellen automatisch empfohlene Reaktionsmaßnahmen bereit.

SIEM und EDR ergänzen sich gegenseitig. Während ein SIEM Daten aus den unterschiedlichsten Datenquellen sammelt und so neben erweiterten Korrelationen auch ein umfangreiches Log-Management oder Daten-Forensik ermöglich, fokussiert EDR strikt auf die Daten der Endpunkte. Das vereinfacht die Aufdeckung und Behebung komplexer Angriffe deutlich.

Generell empfehlen wir, EDR immer als ergänzende Komponente zu einem SIEM zu betrachten. Durch den Fokus auf individuelle Endpunkte liefert das EDR zusätzliche, wertvolle Logdaten – die durch das SIEM zur Auswertung und Bekämpfung von Cyberangriffen genutzt werden können.

Fazit

Laptops, PCs und Server sind die Endpunkte in einem Netzwerk – und ein überaus beliebtes Ziel für Cyberangriffe. Die Geräte sind häufig nicht optimal abgesichert oder werden von der unternehmensinternen IT nicht vollständig überwacht, was diese zu einer gefährlichen Schwachstelle innerhalb einer IT-Sicherheitsarchitektur macht. EDR – Endpoint Detection and Response – ist eine Plattform-Lösung, die speziell auf die erhöhte Sicherheit im Umgang mit Endpunkten abzielt. EDR-Sicherheitslösungen ermöglichen die schnelle Erkennung von verdächtigen Aktivitäten und in der Regel auch eine automatisierte Reaktion auf Bedrohungen in Echtzeit. Die sehr detaillierten Informationen, die über EDR-Systeme bereitgestellt werden, helfen dabei, einen Angriff bereits im Frühstadium zu erkennen und Maßnahmen zu ergreifen, um Folgeschäden durch Lateral Movements oder ähnlichem zu vermeiden. Besonders effizient sind EDR-Lösungen in Kombination mit einem SIEM. Durch die Kombination der Vorteile beider IT-Sicherheitslösungen erhalten Unternehmen einen ganzheitlichen Blick auf die bestehende Sicherheits-Infrastruktur, können Angriffe noch schneller und zuverlässiger aufdecken und verfügen für forensische Aufgaben nach einem Sicherheitsvorfall über einen breit aufgestellten Datenpool.

Beitrag teilen auf:

XING
Twitter
LinkedIn

SECUINFRA SIEM Experts Team • Autor

Managed SIEM & Co-Managed SIEM Experten

Das SECUINFRA SIEM Experts Team ist auf die Bereiche “Managed SIEM” und “Co-Managed SIEM” spezialisiert. Dabei führt das Team nicht nur die klassischen operativen SOC Tätigkeiten wie das Analysieren und Bewerten von SIEM Alarmen oder dem Threat Hunting durch, sondern konzeptioniert, implementiert und betreibt die SIEM-Umgebungen.

> alle Artikel
Cookie Consent mit Real Cookie Banner