Während das Blockieren von Bedrohungen bei vielen anderen Sicherheitskonzepten im Vordergrund steht, verfolgt EDR einen ganzheitlichen Cybersecurity-Ansatz. Um bisher unbekannte Bedrohungen zu erkennen, werden an jedem Endpunkt große Mengen an Daten und Kontextinformationen gesammelt.
Als relativ neue Kategorie in den Cybersecurity-Tools, ist EDR darauf ausgelegt, Unternehmen mehr Sichtbarkeit hinsichtlich ihrer Endpunkte zu bieten und mögliche Sicherheitsbedrohungen automatisch zu erkennen. Auch auf eine beschleunigte Reaktion bei Vorfällen wird viel Wert gelegt.
Zusätzlich zu ihrer erhöhten Sichtbarkeit, verfügen alle EDR-Lösungen zudem über Funktonen, um in Echtzeit auf Ereignisse zu reagieren. Um verdächtige Verhaltensmuster zu erkennen und Bedrohungen einzudämmen, setzen viele EDR-Tools Verhaltensanalysen und maschinelles Lernen ein.
Doch auch wenn EDR viele automatisierte Funktionen bereitstellt, ist eine manuelle Analyse der Warnmeldungen durch Experten erforderlich, um aus den computergenerierten Daten eine Bedeutung abzuleiten. Für Unternehmen, die über keine Sicherheitsanalysten verfügen, stehen die Dienste sogenannter MSSP (Managed Security Service Provider) zur Verfügung.
Auch wenn die jeweiligen EDR-Funktionen sich abhängig vom Anbieter unterscheiden können, teilen sich die meisten EDR-Tools dieselben Hauptfunktionen.
Die Endpunktdatensammlung ist eine Funktion, die bei den meisten EDR-Tools gleich strukturiert ist. Es werden von den Endpunkten verschiedene Telemetriedaten gesammelt, die in der Regel über einen Software-Agenten zu einer zentralisierten Plattform übertragen werden. Dort werden sie organisiert und können analysiert werden. Die Plattform ist oftmals cloudbasiert, wobei eine Implementierung vor Ort möglich ist, um die Konformität zu gewährleisten.
Anhand der an den Endpunkten gesammelten Rohdaten können Abweichungen der regulären Benutzerverhalten mithilfe maschinellen Lernens analysiert werden, um so Auffälligkeiten am Endpunkt hervorzuheben. Zudem kann das Sicherheitspersonal mit verschiedenen EDR-Tools den Ausgangspunkt eines Vorfalls ergründen.
Die meisten EDR Anwendungen basieren auf dem MITRE ATT&CK Framework. Dies ist eine weltweit zugängliche Datenbank von auf Beobachtungen basierenden Angriffstaktiken und Techniken, die Klassifizierungen von potenziell schädlichen Ereignissen ermöglicht.
Bei Auffälligkeiten im System können zudem automatische Warnmeldungen an das Sicherheitspersonal zu weiteren Untersuchungen herausgegeben, oder abhängig vom Schweregrad, basierend auf Regeln, Aktionen direkt ausgeführt werden. Die automatische Reaktion ist für Unternehmen ausschlaggebend, um die Reaktionszeit bei Angriffen zu minimieren.
Auch die Datenaufbewahrung ist bei vielen EDR-Tools ähnlich aufgebaut. Im Fall eines Vorfalls kann das Sicherheitspersonal den Datenverlauf ansehen, um herauszufinden, wie und wann der Angriff erfolgte und somit das Unternehmen auch vor zukünftigen Angriffen besser zu schützen.
Cloudbasierte EDR-Tools besitzen zudem den Vorteil, dass die ermittelten Daten selbst im schlimmsten Fall, wenn Geräte vollständig zerstört wurden, in der Cloud verfügbar sind. Da diese durch zwei Faktoren Authentifizierung gesichert sind und die Eingabe an einem zweiten Gerät erfordern.
Quelle: Emsisoft