ChannelPartner
Alternatives Drucklayout:
› reiner Text
Link: https://www.channelpartner.de/a/darum-geht-es-bei-endpoint-detection-and-response-edr,3333456

IT-Security-Markt

Darum geht es bei Endpoint Detection and Response (EDR)

Datum:15.03.2018
Autor(en):Peter Marwan
Endpoint Detection and Response (EDR) soll Unternehmen Schutz vor modernen Cyber-Gefahren bieten. Analysten prognostizieren diesem Segment in den nächsten Jahren überdurchschnittliche Wachstumsraten. ChannelPartner gibt einen Überblick über den Markt.

Der Markt für IT-Sicherheit ist von der kontinuierlichen Reaktion der Anbieter auf die neuesten Kniffe und Schliche der Angreifer bestimmt. Die Massenangriffe der Vergangenheit mit Viren, Würmern und Trojanern ließen sich mit Signaturen, Regeln und Einschränkungen durch Sicherheits-Software ganz gut abwehren. Die fortschreitende Professionalisierung der Cyberkriminellen hat aber dazu geführt, dass sie Opfer, bei denen es wirklich etwas zu holen gibt, nicht mehr mit billigen Malware-Attacken belästigen. Die dienen höchstens noch der Ablenkung.

Wenn es, wie bei Angriffen auf Unternehmen, wirklich um Geld oder wertvolle Informationen geht, dann sind die Kriminellen auch bereit, etwas zu investieren - vorrangig Zeit und Wissen - um ans Ziel zu kommen. Der Angriff wird dann in mehreren Stufen und über einen längeren Zeitraum vorgetragen. Oft werden Strukturen des Unternehmens ausgespäht und in der Firma unverdächtige Aktivitäten für die Zwecke der Angreifer missbraucht. Das macht es ausgesprochen schwierig, solche Angriffe zu entdecken, denn es stürzen weder Rechner ab, noch werden Schwellwerte überschritten, die sich durch herkömmliche Sicherheits-Tools überwachen lassen.

Die Einschätzung der Anbieterlandschaft im Bereich "Endpoint Protection Platforms" durch die Analysten von Gartner, Stand Januar 2018. Hier kommen besonders Anbieter gut weg, die neben Schutz der Endpunkte auch Reaktionsmöglichkeiten anbieten.
Foto: Gartner

Das führt dazu, dass die IT-Security-Anbieter sich intensiv mit künstlicher Intelligenz und Maschinenlernen beschäftigen. Doch noch ist es nicht soweit, dass die daraus hervorgegangenen Produkte die silberne Kugel sind, mit der sich alle Probleme aus der Welt schaffen lassen. Noch müssen Menschen eingreifen, nach Auffälligkeiten Ausschau halten und ungewöhnliche Aktivitäten genauer unter die Lupe nehmen. Ein großer Teil der dafür erforderlichen Tätigkeiten fällt in den Bereich Endpoint Detection and Response (EDR), der sich in den vergangenen Jahren herausgebildet hat.

Was zeichnet Endpoint Detection and Response aus?

Im Marktsegment Endpoint Detection and Response (EDR) werden generell Systeme zusammengefasst, die Aktivitäten (also PCs, Notebooks, Tablets, Smartphones, etc) und Ereignisse (also Anmeldung von Nutzern, Öffnen von Dateien, Registry-Zugriffe, Speicherzugriffe und aufgebaute Netzwerkverbindungen) auf den Endgeräten aufzeichnen. Diese Daten werden dann entweder auf den Geräten oder in einer zentralen Datenbank gespeichert und mit Hilfe weiterer Datenbanken zu Schwachstellen und Cybergefahren kombiniert. Anhand von Verfahren zur Verhaltensanalyse werden diese Daten anschließend daraufhin abgeklopft, ob es Anzeichen für ein mögliches Eindringen Unbefugter oder unzulässige Aktivitäten interner Täter gibt.

[Hinweis auf Bildergalerie: Die 20 besten Internet-Security-Suiten für Windows 10] gal1

Sobald diesbezüglich etwas festgestellt wird, kommt die "Response"-Komponente der EDR-Suiten zum Einsatz. Sie erlaubt es , schnell, zielgerichtet und angemessen zu reagieren und das Ausmaß des Angriffs zu erfassen. Mitdefiniert haben das Segment Firmen wie Check Point mit SandBlast1, Cisco mit Cisco AMP for Endpoints2, McAfee3, Panda Security4, Symantec5, Trend Micro6. Kaspersky hat im September 2017 ein eigenes EDR-Angebot7 vorgestellt, F-Secure im Frühjahr 2018. Außerdem drängen in Deutschland neue Spezialisten wie Tanium8 auf den Markt. Einige weitere werden in den USA und US-Medien bereits intensiv besprochen, spielen aber hierzulande noch keine oder kaum eine Rolle.

EDR und Next Gen Endpoint Security

"Bisherige, weitgehend reaktive Security-Konzepte werden nach und nach überarbeitet und gezielt um proaktive Ansätze ergänzt", führte Matthias Zacher, Manager Research & Consulting bei IDC Central Europe, im Abschlussbericht der Multi-Client-Studie "Next Gen Endpoint Security in Deutschland9" 2017 aus. "Der Absicherung der Endpoints, das heißt PCs, Laptops und Multifunktionsgeräte in den Unternehmensnetzwerken, kommt dabei eine besonders wichtige Rolle zu. Denn Endpoints sind die zentrale Schnittstelle zwischen den Anwendern und der Informationstechnologie innerhalb der Organisation", so der IDC-Experte weiter.

IDC hat 2017 festgestellt, dass sich der Fokus bei IT-Sicherheit von Prävention und Abwehr auf Entdecken und Ergreifen von Gegenmaßnahmen verlagert.
Foto: IDC

Daher würden etablierte Lösungen zum Schutz der Endgeräte immer häufiger durch Produkte erweitert, die dem Feld "Next Gen Endpoint Security" zuzuordnen sind. Zacher begründet den Bedarf nach solchen Lösungen folgendermaßen: "Durch die proaktive Vorgehensweise können Schwachstellen und Vorfällen auf den Endpoints erkannt und frühzeitig entsprechende Maßnahmen durchgeführt werden, um eine moderne und ganzheitliche IT-Security im gesamten Unternehmen zu gewährleisten."

IDC-Analyst Matthias Zacher beschreibt Endpoints als die zentrale Schnittstelle zwischen den Anwendern und der Informationstechnologie innerhalb der Organisation und sieht für sie deshalb erhöhten Schutzbedarf.
Foto: IDC Central Europe GmbH

IDC definiert Next Gen Endpoint Security" als "Erweiterung etablierter Lösungen zum Schutz der Endpoints um neue Advanced-Security-Technologien und Security-Architekturen sowie proaktive Vorgehensweisen zum Erkennen und Beseitigen von Schwachstellen und Vorfällen auf den Endpoints." Damit meinen die Analysten letzendlich also dasselbe wie ihre Kollegen von Gartner, die das Segment seit 201310 unter dem Begriff "Endpoint Detection and Response" und seit 2015 unter dem Kürzel EDR betrachten.

Lesetipp: Empfehlungen zur Absicherung von BYOD-Umgebungen11

Links im Artikel:

1 https://www.checkpoint.com/products/sandblast-agent/
2 https://www.cisco.com/c/en/us/products/security/amp-for-endpoints/index.html
3 https://www.mcafee.com/us/technologies/endpoint-detection-response.aspx
4 https://www.pandasecurity.com/germany/intelligence-platform/solutions.htm
5 https://www.symantec.com/products/endpoint-detection-and-response
6 https://www.symantec.com/products/endpoint-detection-and-response
7 https://www.kaspersky.com/about/press-releases/2017_kaspersky-lab-enters-endpoint-detection-and-response-market
8 https://www.channelpartner.de/a/tanium-gewinnt-erfahrenen-manager,3332650
9 http://idc.de/de/research/multi-client-projekte/next-gen-endpoint-security-in-deutschland-2017
10 https://blogs.gartner.com/anton-chuvakin/2013/07/26/named-endpoint-threat-detection-response/
11 https://www.channelpartner.de/a/empfehlungen-zur-absicherung-von-byod-umgebungen,3332493

Bildergalerien im Artikel:

gal1 Die 20 besten Internet-Security-Suiten für Windows 10

Kaspersky Lab
Schutzwirkung: 6,0 Systemlast: 6,0 Benutzbarkeit: 6,0
Foto: AV-Test

PC Pitstop
Schutzwirkung: 5,5 Systemlast: 6,0 Benutzbarkeit: 4,0
Foto: AV-Test

Avira
Schutzwirkung: 5,5 Systemlast: 6,0 Benutzbarkeit: 6,0
Foto: AV-Test

Bitdefender
Schutzwirkung: 6,0 Systemlast: 6,0 Benutzbarkeit: 5,5
Foto: AV-Test

Eset
Schutzwirkung: 5,5 Systemlast: 4,0 Benutzbarkeit: 5,5
Foto: AV-Test

AhnLab
Schutzwirkung: 6,0 Systemlast: 6,0 Benutzbarkeit: 5,5
Foto: AV-Test

Microworld
Schutzwirkung: 4,5 Systemlast: 6,0 Benutzbarkeit: 6,0
Foto: AV-Test

Trend Micro
Schutzwirkung: 6,0 Systemlast: 5,5 Benutzbarkeit: 6,0
Foto: AV-Test

K7 Computing
Schutzwirkung: 5,0 Systemlast: 4,5 Benutzbarkeit: 6,0
Foto: AV-Test

McAfee
Schutzwirkung: 6,0 Systemlast: 6,0 Benutzbarkeit: 6,0
Foto: AV-Test

VIPRE Security
Schutzwirkung: 6,0 Systemlast: 6,0 Benutzbarkeit: 6,0
Foto: AV-Test

Symantec
Schutzwirkung: 6,0 Systemlast: 5,0 Benutzbarkeit: 5,5
Foto: AV-Test

AVG
Schutzwirkung: 6,0 Systemlast: 5,5 Benutzbarkeit: 5,5
Foto: AV-Test

Microsoft
Schutzwirkung: 6,0 Systemlast: 5,5 Benutzbarkeit: 4,0
Foto: AV-Test

Bullguard
Schutzwirkung: 5,5 Systemlast: 5,0 Benutzbarkeit: 5,5
Foto: AV-Test

F-Secure
Schutzwirkung: 6,0 Systemlast: 5,5 Benutzbarkeit: 5,0
Foto: AV-Test

Comodo
Schutzwirkung: 6,0 Systemlast: 4,5 Benutzbarkeit: 5,5
Foto: AV-Test

Panda
Schutzwirkung: 6,0 Systemlast: 3,5 Benutzbarkeit: 6,0
Foto: AV-Test

G DATA
Schutzwirkung: 5,0 Systemlast: 5,0 Benutzbarkeit: 5,5
Foto: AV-Test

Avast
Schutzwirkung: 6,0 Systemlast: 5,5 Benutzbarkeit: 5,5
Foto: AV-Test

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.