Lösungen im Überblick

Beispiel Symantec: Playbooks nennt Symantec seine vordefinierten Abläufe zur Auswertung aufgezeichneter Events.

(Quelle: Bild: Symantec)

Bitdefender GravityZone Ultra Suite: Die Bitdefender-Lösung vereint alle Schutzfunktionen inklusive EDR in einem Client auf den Servern oder PCs. Diese mehrstufige Endpunktsicherheit der nächsten Generation soll ein Unternehmen selbst vor schwer greifbaren Cyberbedrohungen zielsicher schützen.

Durch die automatisierte Analyse bei EDR reduziert GravityZone Ultra die Vorfälle, die eine manuelle Analyse erforderlich machen würden. Mit Hilfe der einfach zu bedienenden Cloud-Konsole lassen sich verdächtige Abläufe grafisch darstellen und mit wenigen Klicks verfolgen. Auch die nötigen Reaktionen, etwa eine Löschung oder das Blockieren eines Clients, sind direkt aus der Konsole heraus möglich. Das Analyse-Modul erlaubt eine erweitere Untersuchung der Vor­gänge vor und nach dem eigentlichen Ereignis, also eine Ursache-Wirkung-Analyse.

ESET Enterprise Inspector: Der Enterprise Inspector basiert auf den bestehenden ESET-Endpoint-Security-Lösungen. Das EDR-Paket arbeitet vor Ort in einem Unternehmensnetzwerk oder in der Cloud und ist damit den unternehmensspezifischen Anforderungen entsprechend frei skalierbar. Mit Hilfe des LiveGrid-Reputationssystems soll verdächtiges Verhalten von Applikationen schnell erkannt werden. Die Zuweisung von Rechnern zu Nutzer- oder Abteilungsgruppen ermöglicht es Sicherheitsteams zudem, unzulässige Aktionen zu erkennen. Diese Kombination soll als Frühwarnsystem dienen und beim ersten Auftreten von Anomalien wichtige Informationen zur aktuellen Bedrohungslage liefern.

Als Zusatz-Service lässt sich ESET Deployment & Upgrade buchen, wobei ESET-Techniker die Produkte in der Unternehmensnetzwerk-Umgebung in­stallieren und die Mitarbeiter schulen.

F-Secure Rapid Detection & Response: F-S­cure hat ebenfalls bereits seit einigen Jahren ein EDR-Produkt im Programm. Es lässt sich sogar getrennt von der hauseigenen Endpoint-Security-Lösung nutzen. Software-Sensoren dienen auf den Arbeitsstationen und Servern als Überwachungs-Tool für die Erkennung von Anomalien. Die Sensoren sammeln Ereignis- und Verhaltensdaten von den Endgeräten. F-Secure hat die Sensoren so entwickelt, dass sie auch mit den Endpoint-Sicherheitslösungen anderer Hersteller funk­tionieren.

Mit dem F-Secure Rapid Detection & Response Service können Unternehmen im Fall eines Alarms durch die Sensoren auf ein Threat-Hunting-Team zurückgreifen. Für kleinere Ereignisse schult das F-Secure-Team vorab die Mitarbeiter eines Unternehmens. Da der Service rund um die Uhr arbeitet, sind auch Ereignisse außerhalb der Arbeitszeit schnell im Fokus. Das Unternehmen erhält dann von den F-Secure-Experten eine Auswertung der festgestellten Anomalie und eine Schritt-für-Schritt-Anleitung für eine Reaktion.

Kaspersky Endpoint Detection and Response: Der russische Security-Anbieter Kaspersky Lab versteht EDR schon seit Längerem als festen Bestandteil seiner Endpoint-Security-Lösungen. Daher findet sich das Modul in sämtlichen Endpoint-Varianten - ob cloudbasiert oder als Server-Version. Ältere Suiten lassen sich durch das Produkt Endpoint Detection and Response um EDR-Funktionen erweitern. Damit sollen sich komplexe Bedrohungen unter anderem durch fortgeschrittene Technologien wie maschinelles Lernen, Sandboxing und IOC-Scans (Indicators of Compromise, Gefährungsindikatoren) abwehren lassen.

Kaspersky Lab verwendet für den erweiterten Service nicht dem Begriff „Managed“, sondern bietet ein zusätzliches Paket an: Kaspersky Cybersecurity Services. Damit managt ein Team einen EDR-Vorfall und leistet professionelle Unterstützung, um das Risiko kompromittierter Daten zu reduzieren und finanzielle sowie Reputationsschäden zu minimieren. Das Cybersecurity-Services-Paket enthält auch einen um­fassenden Plan für Sicherheitsschulungen, Threat Intelligence, proaktive Sicherheitsbewertungen sowie ausgelagerte Dienste zur Bedrohungssuche und einen Rund-um-die-Uhr-Premium-Support.

Symantec Endpoint Detection and Response: Die EDR-Lösung von Symantec setzt den Einsatz der Symantec Endpoint Protection oder Endpoint Protection Cloud voraus. Für ein Unternehmen ohne extra Security-Spezialisten bietet Symantec das Produkt Managed Endpoint Detection and Response Service an. Das integrierte Modul arbeitet nahtlos mit dem klassischen Endpoint-Schutz-Modul zusammen. Mit Hilfe von Machine Learning und Playbooks lassen sich Cybersicherheitsmaßnahmen einleiten und fachgerechte Untersuchungsmethoden nutzen. Damit können laut Symantec auch Untersuchungsabläufe angepasst und ohne komplexe Skripts manuelle Routineaufgaben automatisiert werden. Im Ernstfall werden verdächtige Dateien automatisch durch Sandboxing isoliert und klassifiziert. Durch den Einsatz zusätzlicher Sensoren können Ereignisse über Endpunkte, das Netzwerk und E-Mail korreliert werden. Die Anzeige aller Vorfälle erfolgt über eine EDR-Konsole, auf der Sicherheitsanalysten die Bearbeitung großer Datenmengen mit Hilfe von visualisierten Graphen und Warnmeldungen erledigen können. Bei einer komplexen Bedrohungslage lassen sich für eine bessere Ersteinschätzung der gezielten Angriffe Expertenbewertungen abrufen. Sind die weiteren Schritte für interne Mitarbeiter zu komplex, kann man Analysten des Symantec Security Operations Center (SOC) dazuschalten. Diese Threat Hunter stützen ihre Analysen auf die Daten der Symantec SOC Technology Platform und des Symantec Global Intelligence Network.

Sophos Intercept X Advanced mit EDR: Die Endpoint-Security-Lösung Intercept X Advanced mit EDR ist in Sophos’ cloudbasierte Konsole Central integriert. Da dort auch alle weiteren Sicherheitsmodule erreichbar sind, lässt sich leicht zwischen den verschiedenen Sicherheitsmodulen interagieren. Unternehmen müssen daher keine Server einrichten oder pflegen, sondern melden sich einfach online an und laden die Agenten auf die einzelnen Endpunkte oder lassen sie ausrollen. Auf diese Weise profitiert auch der klassische Endpoint-Schutz für Exploits und andere Malware von EDR-Funktionen.

Ein installiertes Intercept X Advanced mit EDR übernimmt laut Sophos die Arbeit von geschultem Fachpersonal und Unternehmen erhalten mehr Know-how, ohne weitere Mitarbeiter einzustellen Die EDR-Lösung nutzt zur Analyse des Netzwerks und des Verkehrs Machine Learning und aktuelle Bedrohungsdaten aus den Sophos Labs.

Mit dem Produkt bekommen Administratoren einen detaillierten Überblick über einen vom System gemeldeten Vorfall: Wo hatte der Angriff seinen Ursprung, welche Bereiche sind betroffen und welche Maßnahmen sollten ergriffen werden? Diese Daten sind auch wichtig für eine Beweissammlung bei einem meldepflichtigen DSGVO-Fall. Eine Analyse stellt den Ablauf eines Angriffs immer auch visuell dar. Zudem gibt das System Empfehlungen für die nächsten Schritte.

Trend Micro Apex One Endpoint Security mit EDR: Der Anbieter Trend Micro stellt EDR gleich in mehreren Produktpaketen für den Endpoint-Schutz in Unternehmen bereit. In der web­basierten Oberfläche Apex Central fasst Trend Micro die Verwaltung aller verfügbaren Pakete zusammen. Unter dem Namen Apex One bündelt Trend Micro nur die Technologie-Funktionen von Next-Gen-Security. In den Paketen Smart Protection Complete Suite oder Smart Protection for Endpoints stecken dann die einzelnen Next-Gen-Module. Beide Varianten lassen sich sowohl über die Cloud managen als auch vor Ort auf einem Server betreiben.

Nutzer der Smart-Protection-Suiten können ihren Schutz zudem gezielt um das Tool-Paket Endpoint Detection & Response (EDR) erweitern. Managed Detection & Response (MDR) bietet einen gemanagten Schutz rund um die Uhr und die Verfügbarkeit von Threat-Hunting-Experten an. Für die erweitere Analyse beziehungsweise Forensik lässt sich auch noch Sandbox as a Service hinzubuchen.

Die gezielte EDR-Analyse erfolgt durch die Aufzeichnung von Systemereignissen und Verhaltensweisen und der anschließenden Untersuchung der Daten. Unternehmen haben zwei Optionen. Im normalen EDR-Paket stecken Sensoren für alle Endpunkte. Dabei können dann interne Fachleute mit Gefährdungsindikatoren (Indicators of Compromise, IOCs) nach komplexen Bedrohungen oder mit Angriffsindikatoren (Indicators of Attack, IOAs) nach potenziellen Angriffen suchen.

Hat ein Unternehmen keine Fachleute zur Auswertung, so empfiehlt Trend Micro den erwähnten Service Managed Detection and Response (MDR). Dieser bietet eine 24/7-Alarmüberwachung, Alarmpriorisierung, Untersuchung und Threat Hunting. Der MDR-Service erfasst Daten zu Endpunkten, Netzwerksicherheit und Server-Sicherheit zum Korrelieren und Priorisieren von Alarmen und Systeminformationen sowie eine Ursachenanalyse. Die Trend-Micro-Bedrohungsforscher untersuchen dann im Auftrag den Vorfall und stellen einen Maßnahmenplan bereit.

Wie wichtig EDR im Unternehmensbereich ist, haben inzwischen fast alle Hersteller registriert und entsprechende Produkte oder integrierte Module in ihren Lösungen im Angebot. Dazu gehören neben den vorgestellten Herstellern auch Panda Security, McAfee oder Malwarebytes.

Einige weitere Anbieter wie FireEye, Carbon Black, Tanium, RSA oder Cisco sind in Deutschland noch nicht so etabliert. Aber eines ist sicher: Produkte ohne EDR werden es schwer haben, für echte Next-Gen-Lösungen ist EDR einfach unverzichtbar.