SvetaZi | shutterstock.com
Software program im Bereich Endpoint Detection and Response (EDR) erfreut sich weiterhin steigender Beliebtheit – und wird mit zunehmender Reife immer effektiver. EDR-Lösungen bieten Realtime-Einblicke in die Endpunkt-Aktivitäten und ermöglichen es, Mobiltelefone, Workstations, Laptops, Server und andere Gadgets vor Cyberangriffen zu schützen.
In diesem Kaufratgeber erfahren Sie:
- wie sich Endpoint Detection and Response definiert,
- welche Fähigkeiten EDR-Instruments an Bord haben sollten,
- welche Anbieter und Lösung in Sachen Endpunkt-Sicherheit tonangebend sind, und
- welche konkreten Fragen vor einer Investition related sind.
Endpoint Detection and Response erklärt
EDR-Instruments erfassen Verhaltensdaten aus diversen Endpunkt-Quellen. Dazu gehören herkömmliche Computing Gadgets wie Home windows- oder Mac-Rechner genauso wie Peripherie- und IoT-Geräte, beispielsweise Drucker oder Controller. Um IT-Profis auf verdächtige Aktivitäten oder laufende Cyberangriffe aufmerksam zu machen, analysieren Endpoint-Safety-Lösungen zudem auch Signale aus:
- Netzwerk-Site visitors-Mustern,
- Cloud-Computing-Anwendungen und
- Systemprotokollen.
Das deckt die „Detection-Seite“ ab. Mit Blick auf die „Response-Seite“ sind EDR-Lösungen auch in der Lage, Schaden zu begrenzen und zu beheben. Zum Beispiel, indem sie auffällige Gadgets isolieren oder problematische Netzwerksegmente mit einer Firewall absichern. Je nachdem, wie das jeweilige Instrument funktioniert, können diese Prozesse mehr oder weniger manuellen Aufwand erfordern.
Schwierig ist hingegen mittlerweile, EDR von anderen Detection-Produktkategorien zu unterscheiden. Das beste Beispiel ist Prolonged Detection and Response (XDR): Inzwischen haben viele EDR-Lösungen deutlich an Umfang und Funktionen zugelegt, was dazu geführt hat, dass sie teilweise zu XDR „umetikettiert“ wurden. Das lässt die Grenzen zwischen den Kategorien immer weiter verschwimmen.
Die zunehmende Verschmelzung von EDR und XDR ist mit Blick auf den Detection-Gesamtmarkt jedoch nur ein Aspekt. Die Produkte in diesem Bereich laufen unter anderem auch unter folgenden Bezeichnungen:
- Community Detection and Response (NDR),
- Managed Detection and Response (MDR), oder
- Software Detection and Response (ADR).
Was EDR-Instruments leisten sollten
Folgende Funktionen sollte eine hochwertige Endpoint-Safety-Lösung mitbringen:
- Fortschrittliche Risk-Detection-Funktionen: Effektive Endpoint-Detection-and-Response-Lösungen sind in der Lage, Occasions zu beobachten und in Echtzeit darauf zu reagieren. Sie sollten außerdem automatisch mit einer wachsenden Zahl von Netzwerken und Anwendungen skalieren können.
- Help für tiefgehende Untersuchungen: So können Safety-Groups potenzielle Bedrohungen verstehen und möglichst zeitnah entsprechende Gegenmaßnahmen einleiten.
- Integrationsfähigkeit: EDR-Instruments sollten sich mit diversen anderen Sicherheitslösungen integrieren lassen – etwa Firewalls, SIEM, SOAR und Incident-Response-Instruments. Das ermöglicht Anwenderunternehmen, Bedrohungsinformationen über APIs und Konnektoren systemübergreifend zu teilen.
- Zentralisierte Administration-Funktionen und Analytics-Dashboards: Um ausufernde Schulungen zu vermeiden und jederzeit den Überblick über den aktuellen Standing aller Endpunkte im Unternehmen zu wahren, sollte EDR-Software program eine zentrale Konsole und Datenanalysen bereitstellen.
- Lückenloser Help für die fünf wesentlichen Endpoint-Betriebssysteme: Home windows-, macOS-, Android-, iOS- und Linux-Gadgets sollten im Idealfall abgedeckt sein.
Die 6 wichtigsten Endpoint-Safety-Lösungen
Der Endpoint-Detection-and-Response-Markt hält unzählige Lösungen diverser Anbieter bereit. Um Sie nicht zu erschlagen, stellen wir Ihnen an dieser Stelle sechs bewährte und empfehlenswerte Lösungen namhafter Anbieter vor.
CrowdStrike Falcon Perception EDR
Die Crowdstrike-Lösung kombiniert XDR- und EDR-Funktionen und soll (Superior) Threats auf Android-, Chrome-OS-, iOS-, Linux-, macOS- und Home windows-Geräten automatisch identifizieren und priorisieren. Zudem stellt Falcon Perception EDR Echtzeit-Response-Funktionalitäten zur Verfügung, um auf Endpunkte zuzugreifen, während sie untersucht werden.
Um schadhafte Aktivitäten automatisch zu identifizieren und zu klassifizieren, nutzt die Crowdstrike-Software program KI-gestützte Angriffsindikatoren. Die automatisierte Alert-Priorisierung verspricht, manuelle Suchen und zeitaufwändige Recherche-Arbeiten überflüssig zu machen. Dank der integrierten Risk-Intelligence-Funktion kommt auch der übergeordnete Kontext von Cyberangriffen nicht zu kurz – inklusive Attribution.
Microsoft Defender for Endpoint
Ransomware, Fileless Malware und weitere raffinierte Angriffsmethoden verspricht Microsoft mit Defender for Endpoint den Wind aus den Segeln zu nehmen. Das Instrument funktioniert auf Android, iOS, Linux, macOS und Home windows. Die integrierten Risk-Analytics-Reportings sollen Unternehmen in die Lage versetzen:
- sich schnell einen Überblick über neu aufkommende Bedrohungen verschaffen zu können;
- ihre Gefährdungslage evaluieren zu können; sowie
- geeignete Gegenmaßnahmen zu definieren.
Darüber hinaus überwacht Defender for Endpoint die Sicherheitskonfigurationen von Microsoft- und Drittanbieter-Produkten. Sollte die Software program fündig werden, ergreift sie automatisiert Maßnahmen, um Risiken zu minimieren.
Palo Alto Networks Cortex XDR
Cortex wurde von Palo Alto ursprünglich als EDR-Instrument vermarktet. Inzwischen wurde die Lösung allerdings zu einem XDR-Produkt erweitert. Die Palo-Alto-Endpunktlösung deckt alle relevanten Betriebssysteme ab und integriert mit zahlreichen anderen Palo-Alto-Instruments – etwa XSOAR.
Auch diese Endpoint-Detection-and-Response-Lösung deckt automatisch Angriffsursachen und -sequenzen auf. Sie verspricht Anwendern außerdem, Fehlalarme zu reduzieren und damit der gefürchteten „Alert Fatigue“ ein Schnippchen zu schlagen.
SentinelOne Singularity
Diese cloudbasierte Plattform von SentinelOne kombiniert EDR-Funktionen mit Workload Safety und Id Risk Detection. Sie funktioniert mit Android-, iOS-, Linux-, macOS- und Home windows-Geräten, sowie Kubernetes-Instanzen.
Die Singularity-Plattform verspricht darüber hinaus:
- optimierte Bedrohungserkennung,
- verkürzte Reaktionszeit bei Cybervorfällen sowie
- eine effektive Risikominimierung.
Darauf zahlen unter anderem auch die transparente Ausgestaltung der Plattform, ihre performanten Analytics-Funktionen sowie automatisierte Reaktionsfähigkeiten ein. Zu guter Letzt ist die Endpoint-Lösung von SentinelOne auch noch einfach zu implementieren, skalierbar und mit einem benutzerfreundlichen Interface ausgestattet.
Sophos XDR
Diese Endpoint-Safety-Lösung nutzt Telemetriedaten verschiedener Sophos- und Secureworks-Produkte und kombiniert diese mit weiteren Daten anderer, externer Instruments. Im Ergebnis steht eine Software program, die EDR- und XDR-Funktionalitäten zusammenbringt. Auch mit Blick auf die Integrationsfähigkeit überzeugt Sophos XDR. Das Instrument integriert mit:
- Firewall-Produkten,
- Id-Lösungen,
- Netzwerksicherheits-Instruments,
- Productiveness-Apps,
- E-Mail-Safety-Lösungen,
- Backup- und Restoration-Software program sowie
- Cloud-Instanzen.
Mit seinen Generative-AI-Funktionen will Sophos XDR Safety-Profis ermöglichen, Angreifer schneller zu neutralisieren. In Kombination mit dem Echtzeit-Schutz, der laufende Angriffe erkennt und automatisiert Abwehrmaßnahmen ergreift, steigt die Wahrscheinlichkeit, Cyberattacken abwehren zu können.
Pattern Micro Apex One
Die Pattern-Micro-Lösung Apex One ist in die Imaginative and prescient-One-Plattform des Sicherheitsanbieters integriert. Auch dieses Produkt bietet sowohl EDR- als auch XDR-Options und unterstützt Android, iOS, macOS und Home windows. Linux-Systeme bleiben leider außen vor.
Apex One verspricht, vor Zero-Day-Bedrohungen schützen zu können – und zwar mit Hilfe einer Kombination aus Antimalware-Techniken und virtuellem Patching. Ransomware, Malware und bösartige Skripte sollen so keine Probability mehr haben, Endpunkte heimzusuchen. Um Safety-Instruments von Drittanbietern zu integrieren, bietet die Pattern-Micro-Lösung eine Vielzahl von APIs.
4 Fragen vor dem EDR-Funding
Bevor Sie eine Kaufentscheidung in Sachen EDR treffen, sollten Sie sich, beziehungsweise dem Anbieter Ihrer Wahl, einige Fragen stellen:
- Mit welchen anderen Sicherheits-Instruments ist die Lösung integriert und wie wird das erreicht?
- Wie unterscheidet die betreffende Lösung zwischen verdächtigen und böswilligen Verhaltensmustern?
- Deckt die Software program sämtliche relevanten Endpunkte ab und lässt sie sich auch auf größere Netzwerke skalieren?
- Wie intestine identifiziert das Instrument Fehlalarme?
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser E-newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
