What Is Endpoint Detection and Response?

Mit Endpoint Detection and Response (EDR, Erkennung und Reaktion für Endgeräte) oder auch Endpoint Threat Detection and Response (ETDR, Bedrohungserkennung und Reaktion für Endgeräte) werden integrierte Endgeräteschutz-Lösungen bezeichnet, die kontinuierliche Echtzeitüberwachung und -erfassung von Endgerätedaten mit regelbasierten, automatisierten Reaktions- und Analysefunktionen kombinieren. Anton Chuvakin (Gartner) hat mit diesem Begriff neue Sicherheitssysteme beschrieben, die verdächtige Aktivitäten auf Hosts und Endgeräten erkennen sowie untersuchen und dabei stark auf Automatisierung setzen, damit Sicherheitsteams Bedrohungen schnell erkennen und abwehren können.

Die wichtigsten Funktionen einer EDR-Sicherheitslösung sind:

  • Überwachung und Erfassung von Aktivitätsdaten von Endgeräten, die auf eine Bedrohung hindeuten könnten
  • Analyse dieser Daten, um Bedrohungsmuster zu identifizieren
  • Automatische Reaktion auf erkannte Bedrohungen, um sie zu entfernen oder einzudämmen, und Benachrichtigung des Sicherheitspersonals
  • Forensik- und Analyse-Tools für die Untersuchung identifizierter Bedrohungen und die Suche nach verdächtigen Aktivitäten

Einsatz von EDR-Lösungen

EDR-Lösungen werden in den nächsten Jahren voraussichtlich deutlich häufiger eingesetzt. Laut "Endpoint Detection and Response – Global Market Outlook (2017-2026)" von Stratistics MRC wird der Umsatz mit lokalen und Cloud-basierten EDR-Lösungen bis 2026 voraussichtlich 7,27 Milliarden US-Dollar erreichen, bei einer jährlichen Wachstumsrate von fast 26 %.

Einer der Gründe für den zunehmenden Einsatz von EDR-Lösungen ist die wachsende Zahl von Endgeräten, die mit Netzwerken verbunden sind. Ein weiterer Faktor ist die zunehmende Komplexität von Cyber-Angriffen, die sich häufig auf Endgeräte konzentrieren, da sie leichtere Ziele für die Infiltration eines Netzwerks darstellen.

Wichtige Komponenten von EDR-Sicherheitslösungen

EDR-Sicherheitslösungen umfassen eine integrierte Plattform, die Endgerätedaten erfasst, korreliert sowie analysiert und die Koordination von Warnmeldungen und Reaktionen auf unmittelbare Bedrohungen ermöglicht. EDR-Tools bestehen aus drei grundlegenden Komponenten:

Agenten für die Erfassung von Endgerätedaten: Software-Agenten überwachen das Endgerät, auf dem sie installiert sind, und erfassen die Daten (z. B. zu Prozessen, Verbindungen, Aktivitätsaufkommen und Datenübertragungen) in einer zentralen Datenbank.

Automatisierte Reaktion: Mit vorkonfigurierten Regeln kann eine EDR-Lösung erkennen, ob eingehende Daten auf eine bekannte Sicherheitsverletzung hindeuten, und in diesem Fall eine automatische Reaktion auslösen, z. B. den Endbenutzer abmelden oder eine Warnung an das Sicherheitsteam generieren.

Analyse und Forensik: Eine EDR-Lösung kann Echtzeitanalysen umfassen, mit denen nicht eindeutig erkannte Bedrohungen schnell untersucht werden. Außerdem kann sie Forensik-Tools enthalten, mit denen Bedrohungssuchen oder Post-Mortem-Analysen nach einem Angriff durchgeführt werden können.

  • Ein Modul zur Echtzeitanalyse verwendet Algorithmen, um große Datenmengen auszuwerten, zu korrelieren und nach Mustern zu suchen.
  • Mit Forensik- Tools  können IT-Sicherheitsexperten frühere Sicherheitsverletzungen untersuchen, um besser zu verstehen, wie ein Exploit erfolgt ist und die Sicherheitsmaßnahmen überwunden hat. IT-Sicherheitsexperten verwenden Forensik-Tools auch, um auf Endgeräten gezielt nach verborgenen Bedrohungen (wie Malware und anderen Exploits) zu suchen.

Neue EDR-Funktionen für verbesserte Bedrohungsdatenanalysen

Neue Funktionen und Dienste erweitern die Möglichkeiten von EDR-Lösungen, Bedrohungen zu erkennen und zu untersuchen.

Beispielsweise steigern externe Bedrohungsdatenanalyse-Dienste wie Trellix Global Threat Intelligence die Effektivität von Endgeräteschutz-Lösungen. Bedrohungsdatenanalyse-Dienste stellen Unternehmen eine globale Informationsquelle für aktuelle Bedrohungen und ihre Eigenschaften bereit, mit denen EDR-Lösungen Exploits besser erkennen können. Dies gilt insbesondere für mehrstufige und Zero-Day-Angriffe. Viele EDR-Sicherheitsanbieter bieten als Teil ihrer Endgeräteschutz-Lösung auch Abonnements für Bedrohungsdatenanalysen an.

Einige EDR-Lösungen können zudem neue Untersuchungsfunktionen enthalten, die KI und Machine Learning nutzen, um Teile des Untersuchungsprozesses zu automatisieren. Diese neuen Funktionen können lernen, welches Verhalten in einem Unternehmen als normal gilt, um Abweichungen davon festzustellen und die Erkenntnisse in Kombination mit verschiedenen andere Bedrohungsdatenquellen zu interpretieren.

Eine weitere Quelle für Bedrohungsdaten ist das Projekt ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) von MITRE, einer gemeinnützigen Forschungsgruppe, die mit der US-Regierung zusammenarbeitet. ATT&CK ist eine Wissensdatenbank, die auf Untersuchungsergebnissen von Millionen realen Cyber-Angriffen basiert.

Gleichzeitig fungiert ATT&CK als Framework, wobei Cyber-Bedrohungen nach verschiedenen Faktoren kategorisiert werden, z. B. nach der Taktik, mit der ein IT-System infiltriert wurde, nach der Art der ausgenutzten Systemschwachstellen, nach den verwendeten Malware-Tools sowie nach den mit dem Angriff in Zusammenhang stehenden kriminellen Gruppen. Der Schwerpunkt liegt dabei auf der Identifizierung von Mustern und Merkmalen, die auch bei geringfügigen Änderungen an einem Exploit unverändert bleiben. Details wie IP-Adressen, Registrierungsschlüssel und Domänennummern können sich häufig ändern – die Methoden der Angreifer (der Modus Operandi) bleiben jedoch in der Regel gleich. Eine EDR-Lösung kann anhand dieser typischen Verhaltensweisen Bedrohungen identifizieren, die möglicherweise leicht verändert wurden.

Angesichts immer komplexerer Cyber-Bedrohungen sowie einer wachsenden Zahl und Vielfalt von Endgeräten mit Netzwerkzugriff benötigen IT-Sicherheitsexperten Lösungen zur Erkennung und Reaktion für Endgeräte, die sie mit automatisierten Analysen und Reaktionen unterstützen.

Explore more Security Awareness topics