Endpunkt-Erkennung und Reaktion

Sind Endpunkte ein Problem für die Sicherheit? Endpunkte sind oft die schwächsten Glieder in einem Netzwerk und bieten die Angriffsfläche, über die Hacker Malware-Angriffe starten, Daten stehlen, die Kontrolle über Netzwerkressourcen übernehmen oder wichtige Geschäftsprozesse unterbrechen können.

Von Diana Mourad, Product Manager

24. März 2021

Reden wir über Anti-Virus?

Nein. Endpunktsicherheit ist der wahre Nachfolger des herkömmlichen Virenschutzes für die Cybersicherheit in Unternehmen. Erstens bietet sie deinem IT-Sicherheitsteam ein zentrales Verwaltungsportal, mit dem es den Überblick über alle Endpunkte behält und den Überblick behält. Es ermöglicht ihnen auch, Problembereiche und verdächtige Datenverkehrsbewegungen zu überwachen. Außerdem kannst du durch die zentrale Verwaltung auch die Endpunkte von Mitarbeitern an anderen Standorten schützen. Antivirus kann das nicht leisten.

Zweitens kann die Endpunktsicherheit auch einschränken, welche Geräte sich mit deinen Endpunkten verbinden können und welche nicht. So kannst du verhindern, dass ein USB-Stick, der eine bösartige Malware enthält, unerlaubt an bestimmten USB-Ports installiert wird. Antivirus bietet solche Möglichkeiten nicht.

Wie kann man Endpunkte am besten schützen?

Während die heutigen Antivirenlösungen viele neue Arten von Malware erkennen und blockieren können, entwickeln Hacker ständig neue. Viele Arten von Malware sind mit Standardmethoden nur schwer zu erkennen. So arbeitet zum Beispiel dateilose Malware - eine neuere Entwicklung - im Arbeitsspeicher des Computers und entgeht so den Scannern für Malware-Unterschriften.

Um die Sicherheit zu erhöhen, kann eine IT-Abteilung im Laufe der Zeit eine Reihe von Sicherheitslösungen für Endgeräte und andere Sicherheitsanwendungen einführen. Mehrere eigenständige Sicherheitstools können jedoch die Erkennung und Abwehr von Bedrohungen erschweren, insbesondere wenn sie sich überschneiden und ähnliche Sicherheitswarnungen ausgeben. Ein besserer Ansatz ist eine integrierte Endgerätesicherheitslösung.

Was ist EDR und was sind seine Hauptfunktionen?

Endpoint Detection and Response (EDR), auch bekannt als Endpoint Threat Detection and Response, ist eine integrierte Endpunktsicherheitslösung, die eine kontinuierliche Überwachung und Sammlung von Endpunktdaten in Echtzeit mit regelbasierten automatischen Reaktions- und Analysefunktionen kombiniert. Der Begriff beschreibt ein Sicherheitssystem, das verdächtige Aktivitäten auf Hosts und Endpunkten erkennt und untersucht und dabei einen hohen Automatisierungsgrad einsetzt, damit Sicherheitsteams Bedrohungen schnell erkennen und darauf reagieren können.

Die wichtigsten Funktionen eines EDR-Sicherheitssystems sind:

Aktivitätsdaten von Endpunkten überwachen und sammeln, die auf eine Bedrohung hinweisen könnten
Analysieren Sie diese Daten, um Bedrohungsmuster zu erkennen
Automatisch auf erkannte Bedrohungen reagieren, um sie zu beseitigen oder einzudämmen, und das Sicherheitspersonal benachrichtigen
Forensik- und Analysetools zur Untersuchung identifizierter Bedrohungen und zur Suche nach verdächtigen Aktivitäten

EDR als Managed Service

Die Einführung von EDR ist für viele Unternehmen eine Herausforderung. Einerseits ist die Integration in ein SOC, in eine SIEM (Security Information and Event Management)-Lösung und in SOAR (Security Orchestration, Automation and Response)-Prozesse nicht trivial, sondern sogar sehr anspruchsvoll. Andererseits muss das nötige sicherheitsrelevante Fachwissen vorhanden sein, um die EDR-Warnungen zu interpretieren und das EDR und das Sicherheitskonzept kontinuierlich auf dem neuesten Stand zu halten. Es reicht nicht aus, EDR einmal einzurichten; die Konfigurationen, Erkennungsregeln, Richtlinien und Verfahren (Playbooks) der Lösung müssen ständig aktualisiert werden, um SOAR-Prozesse zu automatisieren. Der Fachkräftemangel stellt in dieser Hinsicht ein Problem dar. Bis 2026 werden in der Schweiz 40.000 IKT-Fachkräfte fehlen. Viele Unternehmen verfügen nicht über die nötige Sicherheitskompetenz, um EDR selbst zu betreiben. Deshalb könnte es sich für sie lohnen, die Option der Managed Services für EDR zu prüfen.

Der Ansatz von Swisscom für EDR

Der EDR von Swisscom bietet End-to-End-Transparenz über alle Endpunkte, z. B. Client, Server und mobile Geräte, um fortgeschrittene Angriffe zu erkennen. Die automatisierte Untersuchung und Behebung von Sicherheitswarnungen entlastet das Sicherheits- und Betriebsteam des Kunden. Der Service umfasst die folgenden Funktionen:

Endpoint Detection & Response (EDR) ist der Dienst, der fortgeschrittene Angriffe aufspürt
Die EDR-Cloud-Plattform ist die Plattform, die Sicherheitstelemetriedaten von den Endpunkten empfängt und diese verwendet, um Sicherheitswarnungen zu generieren
Das EDR Cloud Dashboard bietet einen Überblick über erkannte Sicherheitswarnungen
Der Endpunktschutz schützt Endpunkte vor Malware, Angriffen und bösartigen Aktivitäten

Der Service wird gemeinsam mit dem Kunden im Rahmen eines Projekts und in den folgenden vier Phasen umgesetzt:

Erstellung eines Standardlösungsdesigns
Implementierung der Best-Practice-Konfiguration
Onboarding des EDR-Dienstes und der Endgeräte
Kurze Einführung in das EDR-Dashboard

Die enthaltenen Swisscom Service Management Services Incidents, Service Requests, Maintenance und Monitoring bieten dem Kunden folgenden Mehrwert:

Support und Anfragen über den Swisscom Service Desk
Ausführung der im Katalog definierten Serviceanfragen
Kontinuierliche Aktualisierung der Best-Practice-Regelsätze und Sicherheitsrichtlinien
Integration neuer Funktionen in die EDR-Plattform und das Dashboard
Lebenszyklusmanagement (Agent)
Überwachung von Diensten und Endpunkten

Der Dienst kann zudem mit SOCaaS, CSIRTaaS und Microsoft 365 Management von Swisscom kombiniert werden.

Diana Mourad

Product Manager

Mehr getIT-Beiträge

Bereit für Swisscom

Finde deinen Job oder die Karrierewelt, die zu dir passt. In der du mitgestalten und dich weiterentwickeln willst.

Was du draus machst, ist was uns ausmacht.