EDR-Käuferleitfaden

In den letzten Jahren haben wir einen rasanten Anstieg der Verbreitung und Vernetzung von Endpunkten und Daten sowie eine Zunahme böswilliger Aktivitäten durch Bedrohungsakteure erlebt. Diese Variablen stellen eine erhebliche Gefahr für die Geschäftskontinuität sowohl großer als auch kleiner Unternehmen dar. Cyberkriminelle und staatlich geförderte Organisationen zielen zunehmend auf Unternehmen ab.

Herkömmliche Schutzansätze bekämpfen bekannte Bedrohungen, sind aber anfällig für ausgeklügelte und unentdeckte Angriffsstrategien und bieten keinen Einblick in die Vermögenswerte, was eine große Hürde für den Schutz dieser Systeme darstellt. Experten für Endpunktsicherheit sind oft nur den größten oder finanzstärksten Unternehmen zugänglich. In Kombination mit der Tatsache, dass viele Angriffe heute mit Maschinengeschwindigkeit und mehreren beweglichen Teilen erfolgen, können menschliche Teams, die auf herkömmliche Endpunktsicherheitslösungen angewiesen sind, nicht mithalten.

Eine Endpoint Detection and Response (EDR)-Lösung verhindert und isoliert Malware und stellt Sicherheitsexperten gleichzeitig die Tools zur Verfügung, die sie benötigen, um diese Bedrohungen effektiv zu bekämpfen. Ein moderner EDR kann die Geschäftskontinuität sicherstellen, indem er schnell wachsende, automatisierte und komplexe Bedrohungen wie Ransomware oder dateilose Angriffe erfolgreich bekämpft, ohne den Arbeitsaufwand der Analysten zu erhöhen oder hochqualifiziertes Sicherheitspersonal zu benötigen.

Automatisierung und Benutzerfreundlichkeit

Da die Zahl der komplexen Bedrohungen und Angriffsflächen im Jahr 2022 und darüber hinaus voraussichtlich zunehmen wird, haben viele Unternehmen Mühe, mit den Hackern Schritt zu halten. Ein moderner EDR sollte den Bedarf an hochqualifiziertem Sicherheitspersonal reduzieren, indem er die steigende Belastung durch intelligente Automatisierung verringert.

Der Schlüssel zur schnellen Wertschöpfung aus einem EDR für Käufer liegt in der Automatisierung und Vereinfachung. Die KI-Automatisierung delegiert den Großteil der Arbeit an Algorithmen und reduziert gleichzeitig den menschlichen Eingriff. Das Programm wird durch solche KI-Techniken einfacher zu verwenden, und Teams können sofort loslegen, ohne dass eine langwierige Aktivierung erforderlich ist.

Bei einem Angriff sind Reaktionszeiten wichtig: Die Untersuchungszeit sollte deutlich unter einer Minute liegen, um fortgeschrittene Bedrohungen zu entfernen, bevor sie Ihrer Infrastruktur Schaden zufügen können.

Käufer sollten nach einem EDR suchen, der in sich geschlossen ist und über automatisierte Erkennungs- und Reaktionsfunktionen verfügt. Dies gibt Analysten eine klare Momentaufnahme eines Angriffs in Echtzeit und kann ihnen eine gezielte Behebung ermöglichen, damit sie schnell zur Normalität zurückkehren können.

Verwaltung von Warnmeldungen

Der Hauptunterschied zwischen einem EDR und herkömmlichen Antivirenlösungen (AV) besteht darin, dass ein AV zur Erkennung auf vorhandene Signaturen angewiesen ist und eine Bedrohung erkennen muss, um sie zu unterbinden. Im Gegensatz dazu verwendet ein EDR einen verhaltensbasierten Ansatz, um Malware und andere mögliche Risiken anhand ihrer Wirkung auf einem Endpunkt zu erkennen. Darüber hinaus ist ein EDR im Gegensatz zu einem Antivirenprogramm leichtgewichtig und benötigt keine regelmäßigen Updates.

Um die Anzahl der Warnmeldungen und die Arbeitslast der Analysten auf ein Minimum zu reduzieren, muss die in einem modernen EDR verwendete KI eine schnelle Erkennung, hervorragende Präzision und hohe Wiedergabetreue bieten. Käufer sollten sich über die verwendeten KI- und maschinellen Lernmethoden informieren. Im Vergleich zu KI-Engines, die für die Erkennung auf vorab trainierte Modelle und Analysen angewiesen sind, bietet ein EDR, der ein anfängliches Lernmodell verwendet, um das übliche Verhalten jedes Endpunkts zu definieren, eine verbesserte Genauigkeit bei der Erkennung und Warnungen, wenn Abweichungen vom Normalen auftreten.

Ein moderner EDR sollte mit einem leistungsstarken, KI-gesteuerten Alarmmanagementsystem ausgestattet sein, das vom Analysten lernen und dann die Entscheidungen des Analysten autonom in die tägliche Alarmbehandlung umsetzen kann, um die Reaktionszeit zu verbessern und Alarmmüdigkeit bei Analysten zu lindern. Der Einsatz einer vollständig automatisierten, KI-gesteuerten Alarmmanagementlösung ist entscheidend, um Alarmmüdigkeit zu bekämpfen, die Personalfluktuation zu senken und die Kontrolle zurückzugewinnen.

Bedrohungserkennung

Die Bedrohungssuche ist eine Schlüsselkomponente eines modernen EDR-Systems und ist erforderlich, um die Umgebung sauber und frei von Bedrohungen zu halten. Mit der Bedrohungssuche können neue Bedrohungen schnell erkannt und Schwachstellen in einem Ökosystem aufgedeckt werden. Data Mining ermöglicht es Ihnen, latente Risiken zu erkennen und zu beseitigen, die andernfalls nicht gemeldet würden, aber möglicherweise monate- oder sogar jahrelang in einer Umgebung vorhanden sind und darauf warten, von einem Angreifer ausgenutzt zu werden.

In-Memory- und dateilose Angriffe sind von Natur aus schwer zu verfolgen und werden noch schwieriger, wenn Angreifer mehrere Varianten verwenden, während sie eine große Infrastruktur durchqueren. Ein moderner EDR sollte den Suchprozess automatisieren und Data Mining einsetzen, damit Sicherheitsteams automatisch nach Risiken suchen können, die verhaltens- und funktionsmäßige Ähnlichkeiten mit vergangenen Ereignissen aufweisen, und Ergebnisse in Sekundenschnelle liefern.

Bei der Suche nach Bedrohungen ist es wichtig, flexibel zu sein. Käufer sollten nach einem EDR suchen, der nicht nur eine große Bibliothek vorgefertigter Erkennungs-Playbooks bietet, die sofort implementiert werden können, sondern auch maßgeschneiderte Playbooks, die ohne Skripting-Erfahrung problemlos für besondere Umstände generiert werden können, die den Sicherheitsanforderungen eines Unternehmens entsprechen.

Die Suche nach der Nadel im Heuhaufen ist ein gängiges Beispiel für die Suche nach Bedrohungen. EDR-Suchen müssen vollständige und detaillierte Ergebnisse in Echtzeit liefern können, indem sie bestimmte Suchkriterien detailliert aufschlüsseln und diese Parameter inklusiv oder exklusiv kombinieren. Um Analysten noch mehr zu unterstützen und ihnen Zeit zu sparen, sollten die Ergebnisse in einer benutzerfreundlichen grafischen Benutzeroberfläche (GUI) angezeigt werden, damit Analysten jederzeit und von jedem Endpunkt aus einfach und intuitiv nach jedem Ereignis suchen können.

Laden Sie das Whitepaper von IBM herunter, um mehr über die Einführung des EDR-Käuferleitfadens im Whitepaper „Einführung in Whitepapers Online“ zu erfahren.