Swisscom bringt mit Managed Endpoint Detection & Response mehr Sicherheit in Unternehmen

Endpoint Detection & Response (EDR) ist dazu in der Lage. Im Gegensatz zu signaturbasierter Antivirensoftware analysieren sie das Verhalten des Endgerätes und suchen nach Anomalien. "Unsere Kunden können alles in Echtzeit auf einem Dashboard verfolgen", sagt Peter. "So sind potentielle Sicherheitslücken über alle Endgeräte hinweg sichtbar. Sicherheitsmeldungen werden automatisch untersucht und wenn möglich behoben, dadurch wird das Security Betriebsteam entlastet."

EDR bedeutet aber nicht, dass alle Angriffe automatisch erkannt und abgewehrt werden. EDR benötigt die Integration in weitere Security-Lösungen, die Einbindung in ein Security Operation Center (SOC) und oftmals die abschliessende Bewertung von verdächtigem Endpoint-Verhalten durch erfahrene Security-Analysten. Diese können sich dank EDR auf wenige, mögliche Angriffe (aufbereitete Alerts) konzentrieren und müssen nicht Tausende von Events und Logs auswerten. Dadurch werden sie massiv entlastet. Kommt es zu einem Vorfall, kann das Security Team über EDR einen schnellen Überblick über die überwachte IT-Infrastruktur erlangen und umgehend über alle Endpoints hinweg reagieren - zum Beispiel mit der Isolation eines von Malware befallenen Endpoints oder dem Verschieben verdächtiger Dateien in ein Quarantäne-Verzeichnis.

EDR ist somit keine Standalone-Lösung, sondern sollte in bestehende Security-Lösungen und Prozesse der Security eingebunden werden. Bei Swisscom lässt sich EDR zum Beispiel mit SOC as a Service oder CSIRT as a Service kombinieren. Dadurch können sich Swisscom Kunden effizient gegen dateilose Angriffe wie Malware, bösartige Software und Zero-Day-Exploits zur Wehr setzen.