Endpoint Detection & Response: Eindringlingen auf der Spur

Einen hundertprozentigen Schutz vor Angriffen kann es nicht geben – umso wichtiger ist es, erfolgreiche Eindringlinge schnell aufzuspüren und zu stoppen. Diese sogenannte Endpoint Detection & Response war lange etwas für große Unternehmen mit umfangreichen Ressourcen, doch unter anderem durch Entwicklungen beim Machine Learning entstehen neue Lösungen für KMUs.

Algorithmen als Helfer

Bei Endpoint Detection & Response werden unzählige Informationen, die Endgeräte wie Rechner und Smartphones betreffen, zusammengetragen, von der Nutzeranmeldung über die aufgebauten Netzwerkverbindungen bis hin zu Speicherzugriffen. Das alles wird ausgewertet, um Anomalien oder anderen Anzeichen zu entdecken, die auf einen Eindringling hindeuten. Lange war das eine Domäne von Großunternehmen, die sich die dafür notwendigen Systeme und Sicherheitsexperten leisten konnten, doch dank Weiterentwicklungen im Bereich KI und Machine Learning übernehmen mittlerweile Algorithmen viele Analyseaufgaben, sodass Lösungen für kleinere Firmen entstanden sind.

In diese lassen die Hersteller auch die Erkenntnisse aus ihren weltweit verteilten SOCs einfließen sowie Bedrohungsinformationen, die von ihren Netzwerklösungen gesammelt werden, so sie welche haben. Ganz allein auf die Macht der Algorithmen vertrauen sie allerdings nicht. »Trotz aller Management- und Automatisierungsfunktionen benötigen EDR-Lösungen immer ein Stück weit menschliche Expertise in der Verwaltung und Auswertung«, betont Thomas Huber, Director Channel Sales bei Trend Micro. Im Prinzip gehe es darum, Sicherheitsteams nicht mit einer Flut aus Alarmmeldungen zu überfordern, damit sie sich auf die wirklich relevanten Sicherheitsvorfälle konzentrieren können, ergänzt Thomas Krause, Regional Sales Director Enterprise DACH bei Bitdefender.

Ganz ohne Security-Experten funktioniert also auch die neue EDR-Welt nicht, weshalb sich auf dem Markt eine Vielzahl von Lösungen etabliert hat, die den unterschiedlichen Ansprüchen und Fähigkeiten von Kunden und Partnern gerecht wird. Neben EDR-Produkten (oder EDR als Komponente einer Endpoint-Security), bei denen sich der Kunde oder der Partner um die Auswertungen, aber auch die Reaktion auf Sicherheitsvorfälle kümmert, existieren auch EDR-Services. Teilweise werden diese komplett von den Herstellern betreut, sodass Reseller sie einfach weiterverkaufen können, teilweise können Security-Spezialisten diese aber auch aus dem eigenen Rechenzentrum bereitstellen.