Angesichts von mindestens hybriden Arbeitsmodellen ist die Sicherheit von Endgeräten als Teil einer übergreifenden Cybersicherheitsstrategie immer wichtiger geworden. Der Begriff Endpunktsicherheit bezieht sich auf Richtlinien, Methoden und Lösungen, welche die Endpunkte eines Netzwerks vor externen Bedrohungen schützen sollen. Der Markt bietet dazu eine Vielzahl von Tools an, etwa zur Authentifizierung, Identitätsverwaltung, für das Patching und natürlich Antivirensoftware.
Endpoint Detection and Response (EDR) Tools haben sich etabliert und kommen vor allem gegen fortschrittliche Bedrohungen wie etwa Ransomware zum Einsatz.
Was versteht man unter Endpoint Detection and Response?
Gartner-Analyst Anton Chuvakin hat den Begriff EDR geprägt, um eine Lösung zu beschreiben, die »das Verhalten von Endpunkten auf Systemebene aufzeichnet und speichert, verschiedene Techniken zur Datenanalyse verwendet, um verdächtiges Systemverhalten zu erkennen, die kontextbezogene Informationen bereitstellt, bösartige Aktivitäten blockiert und Vorschläge zur Wiederherstellung betroffener Systeme liefert«.
EDR erkennt fortschrittliche Bedrohungen, die bereits in eine Umgebung eingedrungen sind, d. h. Angriffe, die speziell darauf ausgerichtet sind, die erste Verteidigungslinie zu umgehen. Wenn das gelingt, wird unter Umständen das gesamte System in Mitleidenschaft gezogen. EDR-Funktionalitäten dienen dazu, solche Risiken schnell zu erkennen, zu isolieren und zu beseitigen und so die auf den Endpunkten gespeicherten Daten zu schützen. Dazu werden alle Aktivitäten auf den diversen Endpunkten und den Workloads nachvollzogen. Das wiederum verschafft Sicherheitsexperten den notwendigen Einblick, um auch Bedrohungen zu identifizieren, die andernfalls unentdeckt bleiben könnten. EDR ist also deutlich mehr als ein reaktives Cybersicherheitssystem und stellt Ressourcen bereit, mit deren Hilfe sich Risiken antizipieren und vereiteln lassen.
EDR bietet wichtige Vorteile, wenn es gilt Cyberrisiken in Grenzen zu halten:
- EDR-Sicherheitssysteme erfassen Daten kontinuierlich, analysieren sie und berichten an ein zentrales Dashboard. So kann ein Sicherheitsteam die Endpunkte im gesamten Netzwerk von einer zentralen Stelle aus überwachen.
- EDR-Lösungen sind so konzipiert, dass sie die Datenerfassung, -verarbeitung und einige Response-Vorgänge automatisieren und auf dieser Basis eine schnelle Untersuchung gestatten. Ein Sicherheitsteam kann das gesamte Ausmaß eines potenziellen Sicherheitsverstoßes erkennen und das Problem zügig beheben.
- EDR-Systeme sind in der Lage, anhand vorab definierter Kriterien automatisch Abhilfemaßnahmen anzustoßen. Dies trägt dazu bei, Vorfälle zu stoppen oder schnell zu entschärfen, und senkt den Druck, der üblicherweise auf Sicherheitsanalysten lastet.
- Die kontinuierliche Datenerfassung und -analyse von EDR-Systemen liefert einen umfassenden Einblick in den Zustand eines Endpunkts und ermöglicht es, Bedrohungen kontextbezogen zu erkennen. Das ebnet Sicherheitsteams den Weg, um potenzielle Indikatoren (Indicators of Compromise, IOCs) für eine laufende Infektion zu erkennen und diese weiter zu analysieren.
Aber es gibt durchaus einige Hindernisse, die nicht selten einer vollständig implementierten Endpunktsicherheit im Weg stehen:
- Die wachsende Zahl von Endgeräten
Unternehmensnetzwerke sind aufgrund der digitalen Transformation und dem Trend zum Remote- und/oder Hybrid-Working in einem noch nie dagewesenen Tempo gewachsen.
Aufgrund von Faktoren wie dem Internet der Dinge (IoT), BYOD (Bring Your Own Device) und mobil arbeitenden Belegschaften hat sich analog die Angriffsfläche verbreitert. Jedes Gerät, das sich mit einem Unternehmensnetzwerk verbinden kann, ist ein möglicher Einstiegspunkt für einen Angreifer und damit ein Sicherheitsrisiko.
- Mangelnde Transparenz
IT- und Sicherheitsteams haben angesichts der wachsenden Zahl von Endgeräten längst keinen kompletten Überblick mehr, wie viele Geräte sich tatsächlich im Netz befinden. »Schatten-IT« spielt dabei sicherlich eine Rolle, aber es gibt ein grundlegenderes Problem. Agenten für so unterschiedliche Aufgaben wie Malware-Erkennung und Patch-Management werden häufig auf legitimen Endgeräten installiert. Während die meisten Unternehmen solche Agenten in ihrer gesamten Infrastruktur einsetzen, verfügen nur wenige über ein zentrales Repository oder Überwachungssystem, um sie im Auge zu behalten. Das führt vielerorts zu einem Mangel an Transparenz.
- Personelle Engpässe
Es ist kein großes Geheimnis, dass auch der Fachkräftemangel die Endpunktsicherheit beeinflusst. Das schiere Volumen und das kontinuierliche Rauschen von Warnungen überfordert die ohnehin chronisch unterbesetzten Sicherheitsteams. Die »Alert Fatigue« kann dazu führen, dass wichtige Warnungen übersehen werden. Deshalb wird es immer wichtiger, Daten in Echtzeit zu sammeln, zu analysieren und automatisch nach Unstimmigkeiten zu suchen.
- Komplexität
Endpoint Detection and Response (EDR) soll Bedrohungen identifizieren und bekämpfen, die mit herkömmlichen Mitteln nicht erkannt werden. Für kleine und mittlere Unternehmen (KMU) sind EDR-Lösungen aber nicht selten zu komplex. Das betrifft im Wesentlichen vier Bereiche:
- Zeit- und Ressourcenaufwand
Die Menge der von EDR-Lösungen gesammelten Informationen kann ziemlich überwältigend sein. Das Standard-EDR-Paket ermöglicht es, alle Endpunktprozesse komplett zu überwachen. Es reicht aber nicht aus, Daten zu sammeln, sie müssen auch verarbeitet werden, z. B. durch Korrelation, Analyse und die Untersuchung möglicher Risiken. Erst dann kann ein Sicherheitsteam adäquat reagieren. Das kostet Zeit und Aufwand.
- Prioritäten setzen, auf Vorfälle reagieren
Wer eine Sicherheitslösung kauft, einrichtet und davon ausgeht, dass damit alles erledigt ist, versäumt es, einen entscheidenden Prozess zu definieren. Was geschieht, wenn ein Produkt ein Sicherheitsrisiko identifiziert? Welche Prioritäten sollten KMUs bei der Datenanalyse setzen und wie auf eine valide Warnung reagieren? Ohne eindeutige Antworten auf diese Fragen sind KMUs mit dem EDR-Prozess oftmals überfordert.
- Prävention und Erkennung integrieren
Allzuoft sind EDR-Lösungen nicht mit bereits bestehenden Tools kompatibel (wie z. B. Antivirenprogrammen der nächsten Generation). Endpunkt- und Unternehmenssicherheit zu überwachen, wird dadurch nicht einfacher. Auf dem Markt gibt es inzwischen Lösungen, die Abhilfe versprechen. Sie übernehmen das sichere Management einer wachsenden Zahl von Endgeräten und sind dabei mit dem Unternehmensnetzwerk verbunden beziehungsweise können darauf zugreifen. Das macht es beispielsweise für KMUs bedeutend einfacher, das Potenzial von EDR auszuschöpfen.
- Skalierbarkeit
EDR-Systeme sollten in der Lage sein, mit dem Unternehmen zu wachsen. Hinter diesem Anspruch bleiben etliche Anbieter zurück. Unterschiedliche, komplexe Endpunkt-Sicherheitslösungen zu koordinieren, bringt kleine Firmen fast zwangsläufig an ihre Grenzen. KMUs sollten deshalb eher auf Lösungen zurückgreifen, die schon jetzt maschinelles Lernen, Heuristik und Verhaltensanalysen nutzen.
Fazit
Bei der Entscheidung für ein EDR-Tool gilt es, ein Gleichgewicht zwischen Leistung und Benutzerfreundlichkeit zu finden. Komplexe Lösungen, die nicht ohne aufwändige Schulung auskommen oder durch externe Experten verwaltet werden müssen, haben ihre Tücken. Der Einsatz verläuft oft nicht reibungslos und ist womöglich unrentabel, weil viele Funktionen entweder ungenutzt bleiben oder nicht in Gänze verstanden werden.
Kleine und mittelständische Unternehmen sollten sich deshalb für Lösungen entscheiden, die sie wirklich entlasten: Eine Endpoint-Security-Lösung, die einfach zu verwalten ist, die schlank läuft, Komplexität reduziert und Investitionen schützt.
David Corlette, Vice President of Product Management, VIPRE Security Group