CRN-Interview mit Thomas Krause von Bitdefender: »EDR ist unverzichtbar für Ursachenanalysen und Bedrohungsbehebung«

Mit CRN spricht Thomas Krause, Regional Sales Director Enterprise DACH bei Bitdefender, über die zunehmende Akzeptanz von Endpoint Detection & Response im Mittelstand und die Notwendigkeit zu automatisieren, um Sicherheitsverantwortliche nicht mit Alarmen zu überfluten.

»Detaillierte Informationen sind großartig, können aber Probleme verursachen«

CRN: Inwieweit lassen sich die Daten, die EDR-Lösungen sammeln, maschinell auswerten und wo beziehungsweise in welchem Umfang braucht es noch menschliche Expertise? Wie wird verhindert, dass Sicherheitsverantwortliche mit zu vielen Informationen erschlagen werden?

Krause: Das ist genau der Kern von Next Gen EDR. EDR-Lösungen der nächsten Generation verwenden Machine-Learning-Algorithmen, um Alarmmeldungen automatisch zu priorisieren und IT- und Sicherheitsteams nur dann zu benachrichtigen, wenn relevante Vorfälle erkannt werden, die auf Datenschutzverletzungen oder Datendiebstahl hinweisen. Anstatt die Sicherheitsteams zu überfordern, ermöglichen die erzeugten Warnungen es dem IT- und Sicherheitspersonal, sein Fachwissen im Umgang mit wirklich relevanten Sicherheitsvorfällen einzusetzen. Detaillierte Informationen sind zwar großartig, zugleich können zu viele ungefilterte Informationen mehr Probleme verursachen als sie lösen.

CRN: Welche »Response«-Fähigkeiten bringen EDR-Lösungen üblicherweise mit und wie sehr lassen sich diese Gegenmaßnahmen automatisiert einleiten?

Krause: EDR-Lösungen der nächsten Generation basieren auf Machine-Learning-Algorithmen, die so geschult sind, dass sie Anzeichen eines Datenverstoßes erkennen und IT- und Sicherheitsteams sofort warnen. Sie können dann geeignete Maßnahmen zur Risikominderung oder Untersuchung ergreifen. So lässt sich zum Beispiel per Mausklick ein verdächtiger Prozess auf einem Endgerät beenden oder in einer Sandbox isolieren.

CRN: In welcher Form bietet Bitdefender seine EDR-Lösung an?

Krause: Bitdefender bietet EDR als integralen Bestandteil unserer Endpoint Protection Platform und der MSP Security Suite an, außerdem als Managed EDR Service. Als Standalone Service werden wir EDR noch im Laufe dieses Jahres bereitstellen.

CRN: Wie steigen Systemhäuser und IT-Dienstleister am besten in diesen Markt ein? Welches Wissen und welche Fähigkeiten benötigen sie?

Krause: Systemintegratoren und IT-Dienstleister sollten die führenden EDR/Endpoint-Protection-Lösungen evaluieren und sich für eine entscheiden. Sie können diese dann bei ihren Kunden ausrollen und managen. Allgemeines IT-Sicherheitswissen reicht für die ersten Schritte, wir bieten aber auch Online-Schulungen zur Fortbildung und Vertiefung. Ebenfalls möglich ist es bei uns, das EDR durch unsere Professional Services managen lassen.

CRN: Welches Potenzial bietet der Markt nach Ihrer Einschätzung?

Krause: Das Potenzial speziell im Mittelstand ist riesig, da wir noch keine hohe Durchdringungsrate haben. Jeder Vertriebspartner sollte versuchen, hier in diesem jungen Markt die Grundlagen für ein dauerhaft gutes Geschäft zu legen.

CRN: Ist eine EDR-Lösung eher als Ersatz oder als Ergänzung zu einer SIEM-Lösung zu sehen?

Krause: Die Frage erhalten wir oft und die Antwort ist klar: EDR ist komplementär zu SIEM. Ein SIEM wird von einem SOC-Team genutzt, um das Nutzerverhalten auf Netzwerkgeräten, Endpoints und Cloud-Services zu loggen und schädliches Verhalten im Nachhinein aufzufinden. EDR mit seinem Einblick in den Endpunkt hat mehr Kontextinformationen zum Endgerät und bietet tieferes Verständnis von Attacken und wie ihre Folgen abgemildert werden können.

Übersicht