Über den Endpunkt hinaus:Breiterer EDR-Ansatz bringt effektivere Sicherheit
6. Oktober 2020
Eine Ansammlung von Punktlösungen hilft nur bedingt, um Netzwerk und Daten in Unternehmen wirksam zu schützen. Gefragt ist eine umfassende Lösung, die die gesamte IT-Umgebung einbezieht – Stichwort: „Multi-Vector EDR“.
Die Welten der Technologie und der Cyber-Sicherheit entwickeln sich ständig weiter. Die Angreifer werden nicht müde, innovative neue Exploits und Techniken auszuklügeln. Die Cyber-Sicherheitsbranche bemüht sich, diesen Bedrohungen Kontra zu bieten – oder ihnen sogar einen Schritt voraus zu sein.
Dafür indem entwickelt sie immer neue Tools zur Erkennung und Abwehr von Angriffen. Aber: Was Unternehmen heute brauchen, ist keine willkürliche Ansammlung von Punktlösungen. Um ihr Netzwerk und ihre Daten wirksam zu schützen, benötigen sie eine umfassende Lösung, die die gesamte IT-Umgebung einbezieht.
Die Herausforderungen bei EDR
In den letzten Jahren sind EDR-Tools (Endpoint Detection & Response) auf den Markt gekommen, die den Schutz an den Endpunkten verstärken und effektivere Reaktionen auf neuere und sich entwickelnde Bedrohungen ermöglichen sollen. EDR hat die Endpunktsicherheit für viele Unternehmen verbessert. Jedoch können EDR-Lösungen auch neue Schwierigkeiten für das IT-Sicherheitsteam mit sich bringen und als Verteidigung gegen raffiniertere Angriffe möglicherweise unwirksam sein.
Der Grund: Herkömmliche EDR-Lösungen konzentrieren sich ausschließlich auf die Aktivitäten auf den Endpunkten. Dadurch fehlt der nötige Kontext zur genauen Analyse von Angriffen. Es werden zahlreiche Fehlalarme ausgegeben. Das kann die Incident-Response-Teams unnötig belasten und dazu führen, dass zahlreiche punktuelle Lösungen eingesetzt werden müssen, um Licht ins Dunkel zu bringen.
Das Ziel von EDR ist die Erkennung und Reaktion – doch um Bedrohungen effektiv finden und beseitigen zu können, brauchen Sie eine ganzheitliche Sicht. Wenn eine Bedrohung oder verdächtige Aktivität entdeckt wird, müssen Sie schnell handeln, um festzustellen, was die Information oder der Indikator bedeutet und mit welchen Maßnahmen Sie weitere Kompromittierungen verhindern können.
Multi-Vector EDR
Viele Angreifer setzen heute Automatisierungstechniken ein. Das wirft für die IT-Sicherheit ein neues Problem auf. Um die nötige Skalierbarkeit zu gewährleisten, müssen auch die Sicherheitsteams automatisierbare Aktionen automatisieren – seien es Konfigurationsänderungen, die Implementierung von Patches und Updates oder das Blockieren des Datenverkehrs einer bestimmten IP-Adresse. Das verkürzt die Reaktionszeit und verringert die Belastungen für die IT-Mitarbeiter. Darüber hinaus müssen die Teams aber auch schnell und einfach feststellen können, welche anderen Systeme im Netzwerk anfällig sind, und Korrekturmaßnahmen in der gesamten Umgebung automatisieren.
Qualys Multi-Vector EDR wurde entwickelt, um die Stärken von EDR wirksam einzusetzen, zugleich aber die Sichtbarkeit und die Funktionalitäten über den Endpunkt hinaus zu erweitern und dadurch umfassenderen Schutz zu bieten. Qualys Multi-Vector EDR macht sich die native Leistungskraft, Skalierbarkeit und Präzision der Cloud-Plattform zunutze. Dadurch kann die Lösung Unternehmen umfassende Übersicht vermitteln und Telemetriedaten aus ihrer gesamten Umgebung verfügbar machen.
Beim Qualys Multi-Vector EDR handelt es sich um einen neuen Ansatz für EDR. Das Unternehmen geht dabei vom herkömmlichen EDR-Konzept aus – also von einer Lösung, die speziell auf den Schutz von Endpunkten zugeschnitten ist – und weiten dieses Konzept auf das übrige Netzwerk aus. Der Grund dazu ist, dass viele Angriffe heute mehrschichtig sind.
Die verdächtige oder böswillige Aktivität, die am Endpunkt entdeckt wird, ist oft nur ein kleiner Teil eines größeren, komplexeren Angriffs. Sie brauchen deshalb Übersicht über Ihre gesamte Umgebung, um den Angriff und seine Auswirkungen auf den Endpunkt sowie die möglichen Folgen an anderen Stellen Ihres Netzwerks wirklich vollständig zu verstehen. Ein Eckpfeiler ist dabei die Fähigkeit, über Qualys Global IT Asset Inventory die Kontextdaten zu jedem Asset zu erfassen und zu bewerten.
Die Lösung erweitert den umfassenden Schutz, der über die Qualys Cloud-Plattform geboten wird. Sie liefert wichtigen Kontext und Überblick über die gesamte Angriffskette und verringert gleichzeitig drastisch die Zahl der False Positives und False Negatives im Vergleich zu herkömmlichen EDR-Tools. Dank der Integration mit der Qualys Cloud-Plattform kann Qualys Multi-Vector EDR enorme Mengen an IT-, Sicherheits- und Compliance-Daten erfassen und korrelieren und den Threat Huntern und Incident-Response-Teams wichtige Echtzeit-Erkenntnisse über das Geschehen am Endpunkt vermitteln.
Ein gutes Sicherheitsgefühl
Zudem verringert Qualys Multi-Vector EDR die Komplexität. Wer versucht, mehrere Punktlösungen so zu integrieren, dass sie alle gut zusammenarbeiten, sieht sich mit einer Herkulesaufgabe konfrontiert. Das Unternehmen setzt einen einzigen Agenten ein, der eine Vielzahl wichtiger Sicherheitsfunktionen unterstützt: Asset-Inventarisierung, Schwachstellenmanagement, Konfigurationsmanagement, Überwachung der Dateiintegrität, Patchmanagement und jetzt auch EDR. Unsere cloudbasierte Anwendung macht die Bereitstellung und Verwaltung mehrerer Agenten überflüssig, reduziert die Komplexität und senkt die Kosten. Die Reaktions- und Problembehebungszeiten werden verkürzt, und die Analytiker können sich auf die vordringlichen Aufgaben konzentrieren, da sie alle wichtigen
Informationen zur Hand haben.
Bei der Implementierung von Cyber-Sicherheitsmaßnahmen geht es darum, Ihre Netzwerkressourcen und Daten so gut wie nur möglich zu schützen und Ihnen letztlich etwas Seelenfrieden zu verschaffen. Sie sollten Vertrauen in Ihren Sicherheitsstatus setzen können und nachts ruhig schlafen oder am Wochenende Zeit mit Ihrer Familie verbringen können, ohne sich ständig Sorgen um den nächsten Exploit oder Angriff machen zu müssen.
Jörg Vollmer ist General Manager Field Operations DACH und CEE bei Qualys.
