Endpoint Detection & Response – oder warum schneller auch besser ist

Autor
Reinhold Zurfluh
Veröffentlicht
05. November 2018

Einbrecher sind leise, agieren im Versteckten und schlagen schnell zu, um noch schneller mit der Beute zu verschwinden – genau wie Cyberkriminelle. Sicherheitsmassnahmen helfen dabei höchstens den Aufwand für den Angreifer zu erhöhen, halten ihn aber in den wenigsten Fällen ab. Gut bedient ist, wer Angriffe schnell erkennen und noch schneller darauf reagieren kann, um das Ausmass und damit auch den Schaden zu minimieren. Wie Sie dies am effektivsten und effizientesten umsetzen, welches die fünf Gründe sind, weshalb schneller auch besser ist, erfahren Sie in diesem Blogartikel.

ICT-Sicherheitsmauern sind wichtig – schützen aber nur bedingt vor Cyberattacken

Die fortschreitende Professionalisierung von Cyberkriminellen hat dazu geführt, dass die Opfer, bei denen es wirklich etwas zu holen gibt, nicht mehr mit billigen Malware-Attacken belästigt werden. Diese dienen höchstens noch der Ablenkung. Genau deshalb sind auch weiterhin ICT-Sicherheitsmauern sinnvoll. Wenn es wirklich um viel Geld oder wertvolle Informationen geht, sind Cyberkriminelle auch bereit, zu investieren: Zeit, Wissen und ggf. sogar Geld. So wird der Angriff in mehreren Schritten geplant und über einen längeren Zeitraum ausgeführt. Oft wird dabei auch das Umfeld des Unternehmens ausgespäht. Genau wie bei einem möglichen Einbruch: In einem langsam vorbeifahrenden Auto im schmucken Einfamilienhausquartier muss kein Einbrecher hinter dem Steuer sitzen. Es kann ein freundlicher Besucher sein, der einfach die entsprechende Hausnummer sucht. Oder vielleicht doch nicht? Womöglich ist es tatsächlich ein potentieller Einbrecher, der die Gegend nach einem geeigneten Objekt ausspäht…

Security Incidents am Endpoint erkennen ist leichter gesagt als getan

Dies macht es so ausgesprochen schwierig, Angriffe (oder auch Angriffsvorbereitungen) in den heutigen komplexen Infrastrukturen mit den unzähligen Endgeräten zu entdecken. Denn dabei stürzen weder Rechner ab, noch werden Schwellwerte überschritten, die sich durch herkömmliche Sicherheits-Tools überwachen lassen.

Der Absicherung der Endpoints – das heisst PCs, Laptops, mobile Geräte aber auch Server und Multifunktionsgeräte in den Unternehmensnetzwerken – kommt dabei eine besonders wichtige Rolle zu. Denn Endpoints sind die zentrale Schnittstelle zwischen den Anwendern und der Informationstechnologie innerhalb des Unternehmens. Deshalb zählt die Endpoint-Sicherheit heutzutage zweifelsohne zu den grössten Herausforderungen in der Cyber Security. Die meisten Firmen wissen aber nicht einmal, welche Endpoints überhaupt vorhanden sind und welche Software im Unternehmen genutzt wird. Wie soll in so einer «nebligen» Umgebung ein CISO oder ein CIO einen Incident schnell erkennen und darauf reagieren können?

Nichts ist unmöglich: EDR sei Dank!

Komplexe Angriffe, Zero-Day-Exploits und immer agilere Cybercrime-Techniken fordern Ihre Endpoint Security heraus. Um sich vor modernen Cyberangriffen zu schützen, sind daher spezialisierte Tools notwendig. Denn wenn Ihre Cyber-Security-Analysten mit Alerts überlastet sind und nicht erkennen können, welche Alarme sofort bearbeitet werden müssen, können sie nicht wirksam auf Cyberattacken reagieren.

Die Lösung hierzu heisst Endpoint Detection & Response (EDR) – oder anders ausgedrückt, künstliche Intelligenz und Machine Learning in Kombination mit viel Erfahrung eines (oder besser mehrerer) Cyber-Security-Analysten. So finden Sie nicht nur die Nadel im Heuhaufen, sondern können diese auch gleich entfernen.

Endpoint Detection & Response (EDR) im Überblick

  • Bei der Endpoint Detection & Response werden alle Ereignisse auf den Endgeräten aufgezeichnet wie beispielsweise die Anmeldung von Nutzern, das Öffnen von Dateien, Registry-Zugriffe, Speicherzugriffe, aufgebaute Netzwerkverbindungen usw.
  • Diese Daten werden anschliessend entweder auf den Geräten oder in einer zentralen Datenbank gespeichert und mit Hilfe weiterer Datenbanken zu Schwachstellen und Cybergefahren kombiniert.
  • Anhand von Verfahren zur Verhaltensanalyse werden diese Daten daraufhin untersucht, ob es Anzeichen für ein mögliches Eindringen Unbefugter oder unzulässige Aktivitäten interner Täter gibt. Dazu braucht es natürlich wiederum menschliche Intelligenz und eine grosse Portion Erfahrung.
  • Und schlussendlich kommt die «Response»-Komponente des EDR zum Einsatz. Diese erlaubt es, schnell, zielgerichtet und angemessen zu reagieren und so das Ausmass des Angriffs zu minimieren.

Und all dies muss schnell – sehr schnell! – passieren. Egal ob es nun Feierabend, ein Feiertag oder Wochenende ist. Einem Cyberkriminellen ist das egal.

Detection & Response – aber bitte innerhalb von 72 Stunden

72 Stunden – kommt Ihnen irgendwie bekannt vor? Ja, genau, wegen der Meldepflicht innerhalb der Datenschutzgrundverordnung (DSGVO/GDPR). Denn wenn es um den Verlust personenbezogener Daten geht, gibt es kein Verstecken mehr. Unternehmen müssen entsprechende Vorfälle umgehend den zuständigen Stellen melden – und zwar innerhalb von 72 Stunden. Diese Zeit mag auf den ersten Blick ausreichend erscheinen, doch in der Praxis dauert es meist deutlich länger. Und unter uns: Wie lange dauert es bei Ihnen, bis ein Security Incident erkannt wird? Und jetzt müssen Sie ja auch noch reagieren und informieren. Reichen Ihnen da diese 3 Tage? Wir wagen eine Prognose und sagen aus Erfahrung bei zahlreichen Unternehmen: Nein! Und genau deshalb sollten Sie schnellstmöglich handeln.

5 Gründe weshalb schneller besser ist!

  1. Threat Detection: Sie müssen schadhafte Aktivitäten erkennen und Schwachstellen innerhalb von Sekunden erkennen können – und nicht erst nach Tagen oder Wochen.

  2. Incident Response: Sie müssen die Reaktionszeit und den notwendigen Aufwand, um einen Sicherheitsvorfall gründlich zu untersuchen und zu beseitigen, von Wochen auf Minuten reduzieren können.

  3. Asset Management: Sie müssen Ihre IT-Hygiene und damit Ihre IT-Sicherheit verbessern, indem sie bisher unbekannte Assets finden. Identifizieren sie zudem unausgelastete Hardware und überlizensierte Software innerhalb von Sekunden, um Kosten zu senken und Entscheidungen zu vereinfachen.

  4. Patch Management: Sie müssen Patchzyklen zuverlässig und effizient durchführen können und dies von der Verteilung bis zum Einsatz. Nur so ist sichergestellt, dass allfällige Schwachstellen schnell beseitigt werden können.

  5. Configuration Compliance: Sie müssen Ihre Sicherheitsrichtlinien lückenlos durchsetzen und korrigierende Aktionen umgehend auf den Endgeräten durchführen können, wenn ein Verstoss auftritt.


Sie sehen, Endpoint Detection & Response ist eine Frage der Geschwindigkeit. Schneller ist also immer besser!

EDR von Tanium: effizient und effektiv – und dank InfoGuard exklusiv in Europa

Wir lassen Sie mit dieser Herausforderung aber nicht alleine. Gemeinsam mit Tanium helfen wir Ihnen, schneller und besser zu werden. Denn Tanium kombiniert Cyber Security und System Management in einer einzigen Lösung mit unübertroffener Performance. So können Sie innerhalb weniger Sekunden die Plausibilität prüfen, das Ausmass bereits vorliegender Infektionen über die gesamte ICT-Infrastruktur ermitteln und direkte Gegenmassnahmen einleiten. Mit Hilfe von Tanium brauchen Sie nur wenige Minuten, um einen versuchten Hackerangriff erfolgreich zu unterbinden. Was das mit InfoGuard zu tun hat? So einiges! InfoGuard bietet Ihnen die überzeugende Tanium-Lösung exklusiv in Europa als EDR-as-a-Service aus unserem ISO 27001 zertifizierten Cyber Defence Center in der Schweiz an.

 

EDR-as-a-Service

Cyber Defence – ein Thema mit vielen Facetten

Cyber Defence ist entscheidend im Wettlauf gegen Cyberkriminelle. Endpoint Detection & Response ist dabei nur ein Element in einer langen Kette komplexer Aufgaben. Genau aus diesem Grund erwarten Sie in nächster Zeit weitere wertvolle Blogartikel, Tipps und Tricks von unseren Experten, Checklisten sowie Whitepapers rund um das Thema Cyber Defence. Abonnieren Sie deshalb gleich jetzt unsere Blog-Updates. Sie werden es nicht bereuen!

 

Jetzt Blog-Updates abonnieren!

Artikel teilen