Dieser Beitrag ergänzt den Wiki-Eintrag „Virenscanner“, in dem erklärt wird, was Antivirenprogramme sind, wie Virenscanner funktionieren und welche Vor- und Nachteile sie haben.
Er beleuchtet die Endpoint Detection and Response (EDR), eine Weiterentwicklung von Virenscannern und Endpoint Protection, um die Entwicklung von Malware mit Hilfe neuer Technologien zu bekämpfen.
Endpoint Detection and Response (EDR) ist eine fortschrittliche Lösung, die in der Endpoint Protection integriert ist, um eine kontinuierliche Datensammlung, Überwachung und automatisierte Analyse- und Reaktionsfunktion zu ermöglichen. Sie kann Endgeräte vor fortschrittlicher Malware, APTs und Phishing-Angriffen schützen.
EDR schützt mithilfe fortschrittlicher Analysefunktionen vor Malware, anomalem Verhalten und dateilosen Angriffen. Es befasst sich auch mit der Dokumentation und Verfolgung der verwendeten Taktiken, Techniken und Verfahren (TTP/Tactic, Technique and Procedure), wie die Angreifer in das Netzwerk kamen und sich darin fortbewegt haben.
Die meisten Organisationen implementieren eine Endpoint Protection, die ein Mittel zur reaktiven Sicherheit ist, aber die Integration von EDR bietet Unternehmen auch proaktive Sicherheit. Selbst mit den besten Lösungen gibt es keinen 100%igen Schutz, es erschwert den Angreifern den Zugang durch deutlich erhöhten Aufwand und durch das abverlangte Know-how.
Die Analyse von Prozessen liefert Informationen zu laufenden Programmen auf Endgeräten. Bösartige Prozesse rufen andere Prozesse auf, und diese Informationen können helfen, den übergeordneten Prozess eines bösartigen Prozesses zu bestimmen.
Es werden Informationen zu allen aktiven und ausstehenden Verbindungen gesammelt.
Sammeln von Informationen über Endgeräte, um ein anormales Systemverhalten festzustellen. Diese Informationen helfen dabei, herauszufinden, was sich im Falle eines Vorfalls auf einem System geändert hat.
Das Sammeln von Benutzerinformationen für maschinelles Lernen kann dabei helfen, sein Standard-Benutzerverhalten festzustellen und so Anomalien zu erkennen.
Die Kontrolle des Autostarts. Dies ist eines der am weitesten verbreiteten Mittel zur Ausführung von Codes und zum Angriff auf Systeme, da einige Malwares versuchen, sich im Windows-Startprozess zu verstecken.
Die Daten werden zentral zur Überwachung gesammelt und zur Erkennung von Bedrohungen verwendet. Diese gesammelten Daten sind für Security Operation Center (SOC) nützlich und werden bei der Reaktion zu Vorfällen verwendet.
Wenn Bedrohungen erkannt wurden, werden die IT-Sicherheitsverantwortlichen alarmiert. Beim Auftreten von mehreren Bedrohungen erfolgt eine Priorisierung, um effektiv die Gefahr abzuwenden.
EDR bietet die Möglichkeit, mithilfe von korrelierten Ereignissen den Verlauf des Angriffs visuell darzustellen.
Wenn Endgeräte nicht den Richtlinien entsprechen oder Malware entdeckt wird, bietet EDR automatisierte Reaktionsmöglichkeiten, wie die Isolierung dieser Endgeräte vom Netzwerk oder die Isolierung des gesamten Netzbereiches.
Proaktiv durch das Anschlagen von potentiellen Gefahren (Cross referencing to „Network Traffic Analysis“)
Ersatz der regulären Endpoint Protection bei größeren Unternehmen mit eigener SOC
Zur nachträglichen Vorfallsanalyse
