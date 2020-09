Wer den Überblick verliert, kann Attacken nicht umgehend analysieren, abwehren und Folgeschäden beseitigen. Unternehmen benötigen also einen umfassenden Schutz (für alle Endpoints und Server, egal ob Windows, Mac, Android oder Linux), der intuitiv bedienbar ist. Aufgrund modifizierter Hashes oder verschlüsselter Zeichenketten seitens der Cyberkriminellen kann eine signaturbasierte Erkennung leicht umgangen werden. Zudem nutzen Angreifer zunehmend Speicher-basierte Malware, die keine Spuren auf der Festplatte hinterlässt und ausschließlich im RAM aktiv ist. Derartige Angriffe bleiben meist von traditionellen Security-Lösungen unentdeckt. Es ist nicht mehr ausreichend, "nur" die Bedrohungen am Endpoint zu blockieren. Unternehmen benötigen Tools, mit denen sie die neuesten und komplexesten Bedrohungen erkennen und auf sie reagieren können.

EDR als nötige Erweiterung für aktiven Schutz

Endpoint Detection and Response (EDR) liefert eine Überwachung in Echtzeit und fokussiert sich auf Analyse und Vorfallreaktion im Bereich Endpoints. EDR bietet eine umfassende Sichtbarkeit hinsichtlich der Aktivität eines jeden Endpunkts in der Infrastruktur, die von einer einzigen zentralen Konsole aus verwaltet wird, gepaart mit detaillierten Informationen zur Sicherheit, die von IT-Sicherheitsexperten für weitere Untersuchungen und Reaktionen genutzt werden können. EDR erkennt neue und unbekannte Bedrohungen und zuvor nicht identifizierte Infektionen, die sich direkt über Endpunkte und Server in Unternehmen einschleusen. Dies wird durch die Analyse von bisher nicht zugeordneten Ereignissen erreicht, die nicht in die Bereiche "vertrauenswürdig" oder "definitiv bösartig" eingeordnet werden können.

EDR kann auch unbekannte Malware, die bei Zero-Day- und APT-Angriffen eingesetzt wird, erkennen, da unterschiedliche Erkennungstechnologien wie YARA, Sandboxing oder das Scannen von IoCs (Indicators of Compromise) genutzt werden.

Für einen effektiven Schutz vor sonst unerkannten Bedrohungen müssen Endpoint-Lösung und EDR Hand in Hand arbeiten. Wird etwa eine verdächtige Datei identifiziert, leitet das EDR-System diese an eine nachgelagerte Sandbox weiter. Diese führt die verdächtige Datei automatisch in einer isolierten Umgebung aus und analysiert sie hinsichtlich ihres Gefährdungspotenzials. So kann festgestellt werden, ob es Anzeichen für ein Eindringen Unbefugter oder unzulässige Aktivitäten von Mitarbeitern oder Partnern gibt.

Integrierter 3-in-1-Ansatz von Kaspersky: Endpoint-Schutz + EDR + Sandbox

Kaspersky Endpoint Security for Business kombiniert Endpoint-Schutz mit EDR sowie einer Sandbox. Mit diesem 3-in-1-Ansatz können IT-Abteilungen und -Administratoren ihre immer heterogeneren Netzwerke vor aktuellen und zukünftigen Gefahren schützen. Durch die Integration kann eine verdächtige Datei automatisch in einer isolierten Umgebung ausgeführt und analysiert werden. Die hieraus gewonnenen Informationen werden durch die von Kaspersky EDR Optimum durchgeführte Analyse weiter angereichert. Zur Beseitigung von Bedrohungen bietet Kaspersky EDR Optimum eine Vielzahl von Reaktionsmöglichkeiten, wie etwa die Isolierung eines Endpunkts mit potenzieller Malware oder die Quarantäne einer verdächtigen Datei. Um sicherzustellen, dass sich die Bedrohung nicht auf andere Rechner ausbreitet, können Sicherheitsspezialisten schnell und unkompliziert Indikatoren (Indicators of Compromise; IoCs), die auf eine Systemverletzung hinweisen, erstellen, ohne eine automatische Überprüfung der Endpunkte hinsichtlich eines schädlichen Objekts planen zu müssen. Darüber hinaus können IoCs von Drittanbietern hochgeladen und Scans zur Identifizierung betroffener Endpunkte durchgeführt werden.

Managed Detection & Response

EDR kann zudem als Managed Security Service Abhilfe bei Unternehmen schaffen, die nicht über ausreichend Ressourcen für Cybersicherheit verfügen. Die Endpunktsicherheit wird dann von Experten mit Fokus auf Security und Gefahrenabwehr erbracht. Dies ermöglicht es der eigenen IT-Abteilung, ihre Ressourcen auf Kernkompetenzen zu fokussieren, ohne dass die Unternehmenssicherheit darunter leidet. Zusätzlich steigert dies die gesamte Cybersicherheit des Unternehmens, der Kundendaten und der Reputation um ein Beträchtliches. Je besser der Schutz, umso mehr Zeit und Ressourcen bleiben den IT-Spezialisten sich auf die Produktivität und eigene Geschäftsprozesse zu konzentrieren.