EDR
Im Bereich der Informationssicherheit ist es schwierig, Produkte und Dienstleistungen und ihre verschiedenen Merkmale und Funktionen in nur einem Wort zu beschreiben. Aber warum?
Cybersicherheit ist nicht eindimensional, wie beispielsweise ein Schiff. Es gibt verschiedene Schiffsgrößen, aber grob gefasst bleibt ein Schiff eben genau das: ein Schiff. Aber wie fasst man im Bereich der Informationssicherheit all das, was ein modernes Cybersicherheitssystem eines Unternehmens tut, auf einfache, (wenn möglich) eingängige und ausreichend verständliche Weise in möglichst wenigen Worten zusammen? Und wie lassen sich Sicherheitssysteme voneinander unterscheiden? Es ist bereits schwierig, diese Unterschiede in einem vergleichsweise langen Absatz zu erklären, aber alle Lösungsfunktionen im Namen eines Produkts oder einer Dienstleistung unterzubringen wird zur Mammutaufgabe.
Vielleicht ist das der Grund, warum manche Menschen Kaspersky immer noch mit einer schlichten „Antiviren-Software“ in Verbindung bringen. In Wirklichkeit ist die Erkennung und Neutralisierung von Malware auf der Grundlage einer Antiviren-Datenbank jedoch nur eine unserer Sicherheitstechnologien. Im Laufe eines Vierteljahrhunderts haben wir diese um viele weitere Gefährten erweitert. Der Begriff „Antivirus“ ist heute deshalb eher metaphorisch zu verstehen.
Aber was tun wir, wenn wir Nutzern komplexe, funktionsreiche Schutzmaßnahmen für die IT-Infrastruktur eines Unternehmens erklären müssen? Meist taucht an diesem Punkt irgendeine seltsame Wortkombination auf. Darüber hinaus können eingesetzte Akronyme, die ursprünglich der Vereinfachung dienen sollten, zu zusätzlicher Verwirrung führen. Und jedes Jahr nimmt die Zahl der Begriffe und Akronyme zu, so dass es immer schwieriger wird, sich all diese zu merken und den Überblick zu behalten. Lassen Sie mich deshalb versuchen, komplexe, aber notwendige Bezeichnungen, Begriffe, Erklärungen und Abkürzungen in einer einfachen Form darzustellen, um die „Klarheit“ zu erreichen, die durch Akronyme und Abkürzungen oftmals auf der Strecke bleibt.
Von EPP zu XDR
Gut, zurück zum Schiff, bzw. Antivirus.
Heutzutage lautet die genauere Bezeichnung für diese Produktkategorie „Endpoint Protection“ oder „Endpoint Security“. Wie bereits erwähnt, werden Endgeräte heutzutage nicht nur durch Antiviren-Software, sondern auch durch verschiedene Sicherheitsmaßnahmen geschützt. Und verschiedene Endpointtechnologien erhalten manchmal neue Namen, die das Wort „Platform“ enthalten: Irgendwie klingt das passender und das Akronym EPP (Endpoint Protection Platform) scheint darüber hinaus in Mode gekommen zu sein.
Endpoint Protection Platform ist ein Konzept, das auf die 1990er Jahre zurückgeht. Es ist auch heute noch gefragt, aber es werden andere Methoden benötigt, um einen hochwertigen Schutz für verteilte Infrastrukturen zu gewährleisten. Daten müssen im gesamten Netzwerk gesammelt und analysiert werden, um nicht nur einzelne Vorfälle zu identifizieren, sondern die gesamte Angriffskette über einen einzelnen Endpoint hinaus. Die Bedrohungen müssen im gesamten Netz und nicht nur auf einem einzelnen Computer bekämpft werden.
Ein Jahrzehnt später, in den frühen 2000er Jahren, erscheint die Produktklasse SIEM – Security Information and Event Management. Dabei handelt es sich um ein Tool für die Sammlung und Analyse aller vergangener und gegenwärtiger Infosec-Telemetrie von verschiedenen Geräten und Anwendungen: Ein gutes SIEM kann retrospektive Analysen durchführen, Ereignisse aus der Vergangenheit vergleichen und Angriffe aufdecken, die viele Monate oder sogar Jahre zurückliegen.
Zu diesem Zeitpunkt (wir befinden uns immer noch in den frühen 2000er Jahren) arbeiten wir bereits unter Berücksichtigung des gesamten Netzwerks. Nur leider fehlt das „P“ für „Protection“ in der Produktkategorie SIEM. Der notwendige Schutz wird deshalb von der EPP (Endpoint Protection Platform) bereitgestellt. Die EPP ist jedoch für Netzwerkereignisse blind; so könnte sie beispielsweise leicht eine APT (Advanced Persistent Threat) übersehen.
Anfang der 2010er Jahre entsteht daher Endpoint Detection and Response (EDR) als eine weitere Möglichkeit, diese Lücke zu schließen und beide Sicherheitsfunktionen abzudecken. Zum einen ermöglicht EDR die zentrale Überwachung der gesamten IT-Infrastruktur, indem beispielsweise Angriffsspuren von allen Hosts gesammelt werden. Andererseits unterstützen EDR-Produkte die Untersuchung und Reaktion nicht nur via EPP-Erkennung, sondern auch mit fortschrittlicheren Technologien wie der Korrelationsanalyse von Ereignissen, der Erkennung von Anomalien mit maschinellem Lernen, der dynamischen Analyse verdächtiger Objekte in einer Sandbox und verschiedenen anderen Threat-Hunting-Tools zur Unterstützung der Analyse und Reaktion.
Und wenn wir bei K eigene EDR-Lösungen entwickeln, müssen wir diesen natürlich auch unsere ganz persönliche Note verleihen und das Ganze als EDR Optimum bezeichnen.
So weit, so gut. Doch der Perfektion sind keine Grenzen gesetzt.
Spulen wir noch einmal vor, dieses Mal in die frühen 2020er Jahre; zu diesem Zeitpunkt gewinnt ein neues Akronym – XDR (eXtended Detection and Response) – in der Cybersicherheitsbranche rasch an Popularität. Im Grunde handelt es sich um eine gedopte EDR-Version. Solche Systeme analysieren nicht nur Daten von Endpoints (Workstations), sondern auch von anderen Quellen (z. B. E-Mail-Gateways und Cloud-Ressourcen). Das ist mehr als sinnvoll, da Angriffe auf Infrastrukturen über viele verschiedene Einstiegspunkte erfolgen können.
XDR können ihr Wissen durch weitere Daten aus dem Internet noch weiter bereichern:
- Dienste zur Bedrohungsanalyse (unser Service heißt TIP Threat Intelligence Portal),
- Systeme zur Analyse des Netzwerk-Traffics (in unserem Fall KATA,
- Systeme zur Überwachung von Sicherheitsvorfällen.
Solche Daten können auch über ähnliche Dienste von Drittanbietern bereitgestellt werden.
Auch die Reaktionsmöglichkeiten von XDR sind fortgeschritten. Mehr und mehr Schutzmaßnahmen werden automatisiert, während sie früher alle manuell durchgeführt wurden. Jetzt kann das Sicherheitssystem selbst auf Vorfälle reagieren, die auf von Experten ausgeklügelten Regeln und Szenarien beruhen.
Kaspersky Anti-Targeted Attack Platform mit XDR-Fähigkeiten.
Verkomplizieren oder vereinfachen?
Sie haben wahrscheinlich bereits gemerkt, dass EDR und XDR ein umfangreiches und komplexes Paket diverser Technologien sind. Verschiedene Anbieter können jedoch völlig unterschiedliche EDR- und XDR-Funktionen aufweisen. So wird beispielsweise von den Experten der einzelnen Anbieter festgelegt, womit und in welchem Maß sie ihre EDR/XDR-Lösungen bestücken, um einen besseren Schutz vor modernen Angriffen zu gewährleisten. Mit anderen Worten: Obwohl sie alle gleichermaßen als EDR/XDR bezeichnet werden, sind sie bei Weitem nicht alle dasselbe.
Zum Beispiel gibt es auf der Kaspersky XDR Plattform neben den oben genannten XDR-Funktionen auch ein Modul, das interaktive Schulungen zur Verbesserung der Cyberkompetenz der Mitarbeiter von Kundenunternehmen bietet. Und das bietet keine andere XDR-Lösung! Das ist doch sicher ein guter Grund zum Jubeln, wenn nicht gar zum Rühmen…
Skeptiker mögen das nicht gutheißen. Sie könnten sagen, dass all das zu viel des Guten ist. Ein Gebiet, das zu komplex, zu schwerfällig und zu schwierig zu verstehen und zu beherrschen ist. „Was kommt als Nächstes?“ mögen sie vielleicht argumentieren. Marketing-Typen, die nächstes Jahr mit YDR und im übernächsten Jahr mit ZDR aufwarten?!
Alles klar, wir haben es verstanden, und deshalb die Wünsche und Bedürfnisse unserer Kunden erkannt und erhört. Im Laufe der Jahre haben wir festgestellt, dass nicht alle Unternehmen das Komplettpaket brauchen, wenn es um die Cybersicherheit ihres Unternehmens geht. Daher wissen wir, dass sie oft eine Grundausstattung an EDR-Tools und klare, praktische Anleitungen zu deren Verwendung benötigen. Dies gilt insbesondere für kleine und mittlere Unternehmen (KMU), in denen die Zahl der Fachleute für Informationssicherheit gering ist.
Was haben wir also getan, um diese wichtigeren Bedürfnisse zu erfüllen? Wir haben unser neues und verbessertes KEDR Optimum entwickelt: „ein benutzerfreundliches Paket mit fortschrittlicher Erkennung, einfachen Untersuchungstools und automatisierter Abwehr“, um Ihr Unternehmen vor den neuesten Bedrohungen zu schützen. Zum Beispiel gibt es in den neuen Warnhinweiskarten neben detaillierten Beschreibungen von verdächtigen Ereignissen und Bedrohungen jetzt auch einen Abschnitt namens „Guided Response“, in dem Sie Schritt-für-Schritt-Empfehlungen für die Analyse und Reaktion auf entdeckte Bedrohungen finden.
Empfehlungen von Kaspersky Endpoint Detection & Response Optimum.
Diese Richtlinien wurden über Jahrzehnte von unseren führenden Experten entwickelt und enthalten Links zu detaillierten Beschreibungen von Sicherheitsmaßnahmen. Dies verbessert nicht nur die Reaktionszeiten, sondern ermöglicht es Auszubildenden von Infosec-Experten zudem, ihre Fähigkeiten durch interaktive Pop-ups und andere Funktionen zu verbessern.
Kaspersky Anti-Targeted Attack Platform mit XDR-Fähigkeiten.
Außerdem kann KEDR Optimum nun ein Auge auf Infosec-Spezialisten haben, die möglicherweise versehentlich dieses oder jenes kritische Systemobjekt blockieren. Schließlich kann Malware manchmal über legitime Betriebssystemdateien ausgeführt werden – und das Blockieren solcher Dateien kann den Betrieb der gesamten IT-Infrastruktur behindern. Mit KEDR Optimum sind Sie auf der sicheren Seite.
Und last but not least muss ich noch eine weitere Sache über KEDR Optimum erwähnen. Alles oben genannte wurde von mir – Herrn K. – geschrieben. Sie bevorzugen etwas Unparteiischeres? Dann besuchen Sie unabhängige Testlabors, um zu sehen, was sie über uns denken. Zum Beispiel: IDC, Radicati und SE Lab. 100% transparent und fair.
Tipps