Was ist ein EDR?
Innerhalb Ihres Computersystems bietet jedes vernetzte Endgerät ein potenzielles Angriffspotential und jede Verbindung stellt einen Eingangspunkt zu Ihrem Informationssystem und Ihren sensiblen Daten dar. Anti-Viren-Technologien sind bei hochentwickelten Cyberangriffen begrenzt wirksam. Grenzen, die die EDR-Lösungen (Endpoint Detection and Response) erfüllen können.
Diese EDR-Lösungen erhöhen die Sicherheit von Terminals mit Hilfe von Echtzeit-Überwachung, intelligenter Angriffserkennung (Intrusion Detection) und rascher Abhilfe sowie kontinuierlicher Verbesserung des Schutzes.
Überwachung der Terminals in Echtzeit
Die EDR-Technologie basiert auf der Erfassung von Daten, die über Endgeräte, Netzwerkverbindungen über verschiedene Prozesse bis hin zu offenen Dateien, dem Laden von Treibern, der Nutzung von Speicher und Festplatte oder durch den Zugriff auf die zentrale Datenbank übertragen werden. Danach werden alle diese Daten an eine EDR-Analysemethode übermittelt, die verdächtige und anormale Verhaltensweisen erkennt. Das Ergebnis ist eine Abbildung der gesamten Aktivitäten der Terminals in Echtzeit, wodurch eine schnelle Erkennung bösartiger Aktivitäten möglich ist.
Intelligente Erkennung und schnelle Behebung
EDR-Technologien nutzen die Verhaltensanalyse, um diese verdächtigen und anormalen Verhaltensweisen zu erkennen. Die zentrale Datenanalysephase ist von entscheidender Bedeutung, da sie zur Erhärtung von Informationen beiträgt, aus denen Angriffsschemata, einschließlich Zero-Day-Cyberattacken, abzuleiten sind. Im Falle der Erkennung einer Cyber-Bedrohung oder eines versuchten Angriffs empfiehlt die EDR Abhilfemaßnahmen wie die Einstellung eines laufenden Prozesses, die Blockierung einer Ausführung, die Quarantäne einer Datei oder die Isolierung infizierter Endgeräte... Administratoren und Sicherheitsanalysten können dann anhand der Analyseergebnisse ermitteln und die am besten geeigneten Abhilfemaßnahmen durchführen.
Kontinuierliche Verbesserung des Schutzes
Angesichts einer ständigen Weiterentwicklung der Betriebsweise unterstützt die EDR-Lösung das Verständnis und das Lernen der Sicherheitsteams. Dank der in den Untersuchungsphasen gesammelten und analysierten Daten sind sie für die Bekämpfung zukünftiger Cyber-Angriffe besser gerüstet. Die Incident Response ermöglicht es, frühere Aktionen besser zu verstehen, z. B. durch die Darstellung der Kausalzusammenhänge einer Angriffskette und die kontinuierliche Verbesserung des Schutzes durch die EDR-Lösung.
Stormshield Endpoint Security Evolution, Ihre zertifizierte EDR-Lösung
Mit der Stormshield Endpoint Security Evolution (SES) erhöhen Sie das Schutzniveau Ihrer Arbeitsplätze mit einer proaktiven EDR-Lösung. Basierend auf einer signaturlosen Analysetechnik erkennt die SES-Lösung Angriffe und Cyber-Bedrohungen und reagiert angemessen darauf. Unsere vertrauenswürdige EDR-Lösung hat die Sicherheitszertifizierung der ersten Stufe (CSPN) erhalten, die von der ANSSI für die Kategorie Intrusion ausgestellt wurde.
Entdecken Sie eine EDR-Lösung zum Schutz der Endgeräte und Server der nächsten Generation. Und mit seinen Funktionen Cyber Threat Intelligence und Threat Hunting verfügen Sie über eine fortgeschrittene Technologie, um selbst ausgeklügelte Cyberangriffe zu erkennen.
Q&A: Wie funktioniert ein EDR? Zur Erkennung ausgeklügelter Cyberangriffe erkennt die EDR verdächtige und anormale Verhaltensweisen anhand von bestimmten Anhaltspunkten (IoC - Indicators of Compromise). Dabei handelt es sich nicht immer um außergewöhnliche Ereignisse, sondern auch um banale Aktionen wie das Öffnen einer Verbindung auf einem externen Server. Sobald diese verdächtigen Verhaltensweisen festgestellt wurden, empfiehlt die EDR-Lösung schnelle Abhilfemaßnahmen und ermöglicht eine spätere Untersuchung anhand der Analyseergebnisse.
Q&A: EDR oder XDR? Für Tools zum Schutz der Endgeräte ist es unerlässlich, eine Detektion und Incident Response zu integrieren. Zusätzlich zur EDR-Informatik will die XDR-Plattform (eXtended Detection and Response) alle internen und externen IT-Vermögenswerte (Netzwerk, Verzeichnisse, Cloud-Ressourcen, Firewalls etc.) sammeln, um einen Überblick über die Ereignisse des Informationssystems zu geben.