Skip to main content

Signatur-basierte Antivirus Lösungen sind altes Eisen – XDR sowie EDR Lösungen gehört die Zukunft.

Was macht der AV-Nachfolger EDR besser? Und welche Besonderheiten müssen Sie beim Wechsel zu EDR im Auge behalten? ensec hat die Antworten hierauf für Sie.

Endpoint Security: So geht Schutz von Servern und Endgeräten heute

Was unterscheidet EDR (Endpoint Detection & Response) von klassischer Antivirus (AV)-Software? Während AV eine Malware erkennt, blockiert und dann Alarm schlägt, liefern moderne EDR-Lösungen zusätzlich detaillierte Reports über den Angriffsverlauf, IoC (Indicator of Compromise) und eine Einschätzung der Kritikalität.

Die AV-Nachfolger zeigen also Vorgänge – Download eines E-Mail-Anhangs durch Microsoft Outlook, speichern der Datei durch Anwender:innen, öffnen des Files in Microsoft Excel, ausführen eines Makros, nachladen von Schadsoftware – in Gänze und im Kontext an. Dies macht Sicherheitsvorfälle deutlich besser lesbar, das Tool unterstützt die Prozesse der Security Operation Center unmittelbar und entlastet die Mitarbeiter:innen. Weitere Details zu EDR-Lösungen liefert unser Fachartikel zum Thema.

Wichtig ist auch zu verstehen, dass die Definition von «Endpoint» im Fall von EDR weit gefasst ist. Neben klassischen Windows- und Mac-Clients deckt EDR-Software auch Windows- und Linux-Server ab. Diese Liste weist bereits auf eine der Herausforderungen beim Einführen von EDR hin – neben den Sicherheitsspezialisten im Unternehmen müssen auch die jeweiligen Verantwortlichen für die Client- und Server-Infrastruktur mit an den Tisch. Ohne teamübergreifende Zusammenarbeit ist die Migration von AV zu EDR nicht zu bewerkstelligen.

Und genau hier kommt ensec ins Spiel: Wir haben die nötige Expertise, um Sie bei der Integration der notwendigen Prozesse zu unterstützen. Typischerweise betreiben die Sicherheitsfachleute unserer Kunden ihre EDR-Umgebungen später selbst. Bei der erstmaligen Integration hingegen stehen wir Ihnen von Beginn an zur Seite. Nebst der Unterstützung in der eigentlichen Implementation und Konfiguration gerne auch in der Funktion der Projektleitung. Hier holen wir alle relevanten Fachabteilungen – Clients, Server, Security, Recht, Change-Management, SoC – mit ins Boot und stellen das Etablieren der nötigen Prozesse sicher.

Wie geht der Einstieg der EDR-Welt vonstatten?

Die eigentliche Einführung einer EDR-Software ist technisch weniger aufwändig als es dies bei Antivirus-Lösungen der Fall ist: Nach der Installation verbinden sich die Agents auf den Endpunkten mit dem in der Cloud oder On-Prem betriebenen Management-Server und lassen sich fortan zentral von dort steuern.

Bevor die Software scharf geschaltet wird, passiert das Erstellen einer Baseline. Also ein Erfassen des Normalbetriebs, um später falsch-positive Alarme zu vermeiden. ensec übernimmt diese Aufgabe für Sie- wir beobachten eine mit Ihnen abgestimmte Anzahl an Endpunkten und prüfen jede Meldung, ob sie falsch-positiv war. Wir beraten Sie beim Festlegen des Zeitpunkts, ab dem die Lösung dann vom reinen Detection- in den Response-Betrieb wechselt.

Darüber hinaus unterstützen unsere Fachleute, wie Ihre Sicherheitsteams die von der Software erzeugten Meldungen korrekt interpretieren. Schulungen der Betriebs- und Anwendungsverantwortlichen gehören ebenfalls zu unseren Leistungen.

Ist die Endpoint Detection & Response-Lösung einmal in Betrieb, stehen wir Ihnen künftig mit unseren Support-Services zur Seite. Sie wünschen ein Servicelevel, das über den reaktiven Support hinausgeht? Dann lassen Sie uns über ein Managed-Service-Angebot sprechen.

XDR

Während EDR sich auf das Geschehen auf den Endpunkten beschränkt, erweitern XDR Lösungen diese Sicht um Informationen von Netzelementen oder Cloud-Anwendungen. Bei einem Incident werden all diese Informationen zu einem grossen Ganzen korreliert, wodurchsich klareres Bild des Angriffsvektor ergibt. Dies erleichtert die Arbeit zum Beispiel der SOC Spezialist:innen erheblich.

Aus Sicht des Business

EDR senkt Ihre Betriebskosten gleich an mehreren Stellen.

Im Vergleich zu Antivirenlösungen sind EDR-Systeme günstiger zu betreiben. Sie verlangen keine aufwändige Wartung, benötigen keine Aufmerksamkeit in Sachen Signatur-Downloads und verkürzen dank kontext­basierter Reports die Problemsuche, sollte es wider Erwarten zu einer Infektion kommen.

Diese Reports sparen nicht nur einfach interne Personenstunden. Sie beantworten oft auch die Frage, ob externe Forensikfachleute anzuheuern sind. Oder ob interne Spezialist:innen die infizierten Komponenten sowie mögliche Datenlecks auch alleine dank des im Vergleich zu Antiviren-Lösungen besseren Lagebilds zielsicher identifizieren können.

Und auch im Kontext einer Datenpanne gilt: Zeit ist Geld. EDR-Software lässt Sie die Lücke schneller und passgenauer identifizieren. Dieser Zeitvorteil kann entscheidend dazu beitragen, die durch die Datenpanne verur­sachten finanziellen Verluste kleiner zu halten.

Endpoint Security im Detail

EDR

Felxibles Arbeiten, örtlich unabhängig und dies auch nicht immer in Verbindung mit dem Firmennetz. Dies erfordert nicht nur Schutz am Perimeter sondern di­rekt am Endpunkt. Intel­ligente Mechanismen erken­nen und melden Angrif­fe binnen Millisekunden.

XDR

Extended Detection and Response verknüpfen die Endpunkte mit Netzele­menten und Cloud-Anwen­dungen mit dem Ziel, die Analysen weiter zu korrelier­en und zu automatisieren. Also eine Erweiterung des EDR.

Mobile Security

Mobile Geräte ermöglichen einen einfachen Zugang zu Cloud-Diensten, wie Microsoft 365 etc. Geschäftsdaten und -ressourcen müssen auch dort geschützt werden. Dies kann z.B. mit einem mobilen Sicherheitscontainer ge­währ­leistet werden, welcher einen geschützten Unter­neh­mens­bereich auf per­sön­lichen Geräten schafft.

Dürfen wir Ihnen persönlich Argumente für ensec liefern? Kontaktieren Sie uns.

Oder rufen Sie uns an:

+41 44 711 11 44