Endgeräte sind von entscheidender Bedeutung für den Erfolg von Cyberangriffen. Während sich die Definition, was ein Endgerät genau ist, im Laufe der Zeit verändert hat, ist die Bedrohung dieselbe geblieben: Bedrohungsakteure brauchen ein Gerät, um Malware zu verbreiten, Assets zu verschlüsseln und Anmeldedaten zu erfassen – sie brauchen ein Endgerät.
Wenn beispielsweise ein Bedrohungsakteur, der einen Ransomware-Angriff starten will, in ein Netzwerk eindringt, wird er nach dem Endgerät suchen, das wichtige Daten oder wichtige Funktionen enthält, um seinen Ransomware-Stamm darauf loszulassen. Alles führt zu den Endgeräten. Deshalb rückten die Endgeräte mit der Weiterentwicklung von Cybersecurity immer mehr ins Zentrum der Aufmerksamkeit, insbesondere mit Endpoint Detection and Response (EDR), einer Technologie, die es Unternehmen ermöglicht, ein Eindringen oder Bedrohungen für ihre Endgeräte zu überwachen, zu erkennen und abzuwehren.
Seit Jahren stellt EDR die Grundlage vieler Sicherheitsstrategien dar und hat dabei unzählige Bedrohungen abgewehrt. Diese Lösung ist zwar immer noch nützlich und wird oft als Standardlösung angesehen, aber da sich die Bedrohungsakteure weiterentwickeln, die Cyber-Infrastruktur sich verändert und selbst die Struktur der Geschäftsabläufe im Wandel begriffen ist, kann EDR nicht mehr als das Allheilmittel für Erkennung und Abwehr angesehen werden – EDR reicht nicht mehr aus.
Der Nutzen von Endpoint Detection and Response
In erster Linie ermöglicht es EDR den Sicherheitsteams, Sicherheitsvorfälle zu erkennen, zu untersuchen und auf den Endgeräten zu beheben.
Wenn es zu einer verdächtigen Aktion kommt, löst der auf dem Endgerät installierte EDR-Agent eine Warnung aus und informiert das Sicherheitsteam der Organisation darüber, dass etwas geschehen ist. Die Lösung ermöglicht es den Sicherheitsexpert:innen, nach der Feststellung zu handeln, sei es durch die Isolierung des Endgeräts oder durch eine andere Maßnahme, die die Ausbreitung der potenziellen Bedrohung verhindert. Darüber hinaus kann EDR unbekannte Bedrohungen durch forensische Tools aufspüren, die ein anomales Verhalten auf bestimmten Endgeräten erkennen.
Wenn eine interne Benutzerin oder ein interner Benutzer etwa einer Phishing-E-Mail zum Opfer gefallen ist und es so Malware ermöglicht hat, sich auf dem Arbeitslaptop zu multiplizieren, ist EDR in der Lage, das festzustellen, sodass das Sicherheitsteam das Endgerät isolieren und herunterfahren kann, bevor die Malware auf andere Geräte übergreift oder ein Bedrohungsakteur Zugriff auf über das Netzwerk verbundene Anwendungen erhält und beginnt, über ein einzelnes Endgerät hinaus zu operieren und andere Geräte oder Teile des Netzwerks zu infizieren.
EDR fügt der reaktiven Sicherheitsstruktur eine weitere Ebene hinzu, indem es Unternehmen ermöglicht, Bedrohungen in Echtzeit zu erkennen und sie abzuwehren. Wenn eine Firewall oder eine Antivirenlösung ein Maschendrahtzaun ist, dann stellt EDR die Wachtürme und Flutlichter dar, die auf jede verdächtige Bewegung aufmerksam machen.
In der heutigen Welt, in der jedes Jahr Tausende von Verstößen gemeldet werden und sich Cyberkriminalität zu einer milliardenschweren Industrie entwickelt hat, ist die Erkennung und Abwehr von Bedrohungen nicht mehr nur hilfreich – sie ist unerlässlich.
Andere Endgerät-Tools
Bereits länger als EDR existiert die Endpoint Protection Platform (EPP). Eine EPP bietet Schutz für alle Endgeräte durch die Nutzung einer Firewall-, Port- und Gerätekontrolle. Eine EPP schützt zwar vor einem Eindringen, hat aber keine Erkennungs- und Abwehrmöglichkeiten und wird daher als herkömmliche, aber beschränkte Lösung betrachtet. Es ist wie ein gutes Werkzeug, das man im Werkzeugkasten hat, aber nicht alles reparieren kann.
Antivirus ist ein weiteres Endgerät-Tool, das es schon seit Jahrzehnten gibt. Dieser auch als Anti-Malware-Software bekannte Schutz für Endgeräte kann bekannte Malware-Stämme identifizieren und daran hindern, Endgeräte zu infizieren, und scannt das Endgerät oft automatisch. Wie EPP ist auch Antivirus ein bekanntes und gutes Tool, aber wenn es um den Schutz eines großen Netzwerks von Endgeräten auf Unternehmensebene geht, greift es zu kurz.
EDR im Vergleich zu MDR
Als eine Weiterentwicklung der EDR-Technologie hat Managed Detection and Response (MDR) dank seines Beitrags zur Abwehr festgestellter Bedrohungen bei Unternehmen im Laufe der Jahre an Beliebtheit gewonnen. Bei MDR verwalten Sicherheitsexpert:innen das Erkennungs- und Abwehrtool, was auch die Interpretation von Warnungen und das Handeln im Namen einer Organisation einschließt. Dieses Tool kombiniert menschliche Fähigkeiten mit Technologie, um eine schnelle Reaktion auf erkannte Vorfälle zu ermöglichen.
MDR ist kein verwaltetes EDR. Auch wenn das Endgerät eine Komponente ist, die eine MDR-Lösung überwacht, überwacht MDR in der Regel die weitere Umgebung und nutzt mehrere Telemetriequellen für Erkennungs- und Abwehrmaßnahmen.
Vier Gründe dafür, dass EDR nicht ausreicht
Obwohl das Endgerät eine wichtige Komponente jedes Netzwerks ist, kann die alleinige Verwendung von EDR für moderne, digitalisierte Unternehmen mehr Risiken als Vorteile mit sich bringen.
Aus vier Hauptgründen sollten Unternehmen ihr EDR neu bewerten und sich nach umfassenderen Cybersecurity-Lösungen umsehen. All diese Gründe hängen miteinander zusammen und machen deutlich, warum der Einsatz eines einzigen Tools nicht alle Sicherheitsprobleme lösen kann.
1. Es fehlt an Transparenz. Zwar haben alle Cyberangriffe ihren Ursprung im Endgerät, aber im Grunde beginnen viele nicht dort. Selbst wenn wir das traditionelle Szenario heranziehen, in dem eine Benutzerin oder ein Benutzer eine bösartige Datei über eine E-Mail herunterlädt, stellen wir fest, dass selbst ein solcher Angriff nicht durch das Eindringen in das Endgerät, sondern durch Social Engineering beginnt. EDR konzentriert sich nur auf das Endgerät und verdeckt die Sicht auf die restlichen Teile des Systems eines Unternehmens.
Das bedeutet, dass EDR …
2. Bedrohungen im Frühstadium nicht immer stoppt. In der heutigen Welt des Cloud Computing, des hybriden Arbeitens und der untereinander verbundenen Netzwerke haben viele Cyberangriffe ihren Ursprung außerhalb des Endgeräts. Von Business Email Compromise (BEC) über Ransomware bis hin zur Ausnutzung von Cloud-Fehlkonfigurationen beginnen alle diese Zugangswege für Bedrohungsakteure an anderer Stelle oder vermeiden im Frühstadium Endgeräte. Für Sicherheitsteams bedeutet dies, dass es zu dem Zeitpunkt, an dem EDR einen Vorfall feststellt, zu spät sein kann, um ihn zu isolieren oder den ersten Schaden abzuwenden.
Wenn eine Organisation eine Bedrohung erst so spät bemerkt, kann es sein, dass …
3. es ihr an Sicherheitspersonal fehlt, um die Bedrohungen abzuwehren. Es ist kein Geheimnis, dass der Mangel an Sicherheitskompetenzen immer größer wird. EDR kann zwar ein leistungsfähiges Werkzeug sein, aber es ist trotzdem nur ein Werkzeug, d. h. die Verantwortung für die Einstellung von Personal, die Feinabstimmung und die Arbeit mit dem Werkzeug liegt bei der Organisation. Dies bedeutet, dass es der Organisation möglicherweise nicht nur an Stellen, sondern auch an dem nötigen Fachwissen fehlt, um schnell auf Erkennungen zu reagieren.
Ein unzureichend geschultes, überfordertes Sicherheitspersonal kann …
4. Alarmüberlastung und Fehlalarme zur Folge haben. Alarmüberlastung, zu der es kommt, wenn das Sicherheitspersonal angesichts einer Vielzahl von Alarmen so überfordert ist, dass es auf wichtige Alarme nicht mehr reagiert, ist ein ernsthaftes und mit hohen Kosten verbundenes Problem. Wenn man bedenkt, wie viele Endgeräte ein Unternehmen hat, vor allem in sich schnell digitalisierenden Branchen wie dem Gesundheitswesen und der Fertigung, kann eine Ausbreitung das Alarmaufkommen erheblich erhöhen. Darüber hinaus können die schiere Menge an Endgeräten und die Einschränkungen von EDR-Tools zu Fehlalarmen führen, die überlastetem Sicherheitspersonal wertvolle Zeit rauben und es in einen Kreislauf der Reaktion auf alle Alarme bringen.
Halten Sie sich über die Entwicklungen des Managed Detection and Response-Markts mit dem „Market Guide for MDR Services” von Gartner® auf dem Laufenden.
Erfahren Sie, wie Lösungen, die über das Endgerät hinaus arbeiten, Bedrohungen erkennen und innerhalb von Minuten abwehren können.
