Kontakt

Endgeräte besser schützen

Auch ohne Pandemie-Zwang: Das Homeoffice hat sich etabliert, und die meisten von uns arbeiten gerne mal in den eigenen vier Wänden. Aber sind die Daten der Unternehmen eigentlich sicher, wenn Firmen-Notebooks zu Hause genutzt werden? Bedrohungen erkennen und schnell reagieren - das machen wir mit Managed Endpoint Detection & Response (EDR) für Sie. 

Was ist EDR? 

EDR steht für Endpoint Detection & Response und ist ein software-basiertes Technologiekonzept, das in der Regel auf Maschinellem Lernen/Künstlicher Intelligenz basiert. Ziel ist es, Endpoints wie Notebooks, PCs und Server vor Schadsoftware - z.B. Ransomware, Spyware und Viren - zu schützen. Dafür werden sämtliche Hintergrundprozesse und Aktivitäten auf den Geräten überwacht: Dateiausführungen und -modifikationen, Registrierungsänderungen, Netzwerkverbindungen und Binärausführungen werden gefahndet, sobald sie verdächtig erscheinen. Wird beispielsweise aus einem vermeintlich sauberen Word-Dokument eine Verbindung ins Internet oder gar zu einem bekannten Command & Control-Server innerhalb eines Botnetzes hergestellt, wird dies von guten EDR-Lösungen erkannt, alarmiert oder je nach Setup direkt unterbunden.

Der Unterschied zu Anti-Malware und Antivirus

So ausgereift klassische, signaturbasierte Anti-Malware-Software heute ist: Nach wie vor funktioniert sie nur im Hinblick auf Bedrohungen, die schon bekannt sind. Selbst die Next Generation Anti-Virus-Konzepte, die mit differenzierten Score-Werten arbeiten und auch für dateilose Attacken besser gerüstet sind, reichen für die Security auf den Endpoints im Homeoffice nicht aus. Denn Hacker entwickeln nahezu stündlich neue Schadcodes, während die gängigen Tools für Anti-Malware nur zeitverzögert für die Erkennung der Angriffe sorgen. 

EDR: Der Antimalware-Schutz für Unbekanntes

Egal ob vor Ort im Unternehmen oder im Homeoffice: Mit Managed EDR werden auffällige Schadcodes auf den Arbeitsgeräten Ihrer Mitarbeiter erkannt, auch wenn sie noch gar nicht offiziell als solche erfasst sind. Dafür kommt Machine Learning zum Einsatz. Künstliche Intelligenz kennt die Muster der bekannten Viren und stellt Eindringlinge unter Quarantäne, die in Teilen an diese Muster erinnern und deshalb als bösartig identifiziert wurden. Sogenannte Software-Agenten detektieren die Angreifer innerhalb der Betriebssysteme Windows, Linux und MacOS, und zwar auch in Virtual Desktop Infrastructures (VDI). Die Agents werden lokal auf den zu schützenden Endgeräten installiert und holen sich ihre Konfiguration, etwaige Updates und die jeweils aktuellste Version des KI-Modells von der Cloud-Plattform ab.

EDR berücksichtigt dabei zahlreiche Eigenschaften,  wie z.B.  die Größe, bestimmte Inhalte (Strings), Icons, verwendete Importe, Zugriffsberechtigungen, eingesetzte Packer, Programmiersprachen, Headerdetails oder Compiler-Eigenschaften. Neue, unbekannte Dateien werden dann vor deren Ausführung in Echtzeit gegen dieses Modell verglichen und entsprechend eingestuft.

Unsere Lösung erkennt Bedrohungen außerdem direkt im Speicher, ohne dass Dateien oder Festplattenzugriffe beteiligt sind. Hierzu wird das Verhalten von Prozessen beobachtet.  Skriptsprachen wie JScript, Werkzeuge wie PowerShell oder Makros in Office-Dokumenten (VBScript) werden häufig bei Angriffen eingesetzt. Managed EDR identifiziert bösartiges oder unerlaubtes Verhalten, indem es den jeweiligen Skript-Interpreter überwacht. Bei Auffälligkeiten wird sofort alarmiert.

Automatisiert handeln - Endpoints besser schützen

Threats erkennen ist das Eine - Handeln das Andere: Bei Malware-Vorfällen löst Managed EDR entsprechend Ihren Anforderungen automatisierte Aktionen aus, zum Beispiel die Abkopplung des gefährdeten Hosts vom Netzwerk. Dabei werden die Endpoints aber nicht einfach abgestellt, sondern es wird ein sicherer Kanal vom Server aufgebaut, während alle weitere Kommunikation um das Gerät herum abgestellt wird. Für jeden Sicherheitsvorfall gilt: Je schneller er erkannt und behoben wird, umso weniger Schaden richtet er an. Durch die Automatisierung steigern Sie Ihre IT-Sicherheit deshalb effizient um ein Vielfaches.

Antivirus

EDR

 
  • signaturbasierte Erkennung von Malware: bekannte Codes werden identifiziert
 
 
  • eigenschaftsbasierte Erkennung: Angriffsmuster auch unbekannter Malware werden identifiziert
 
 
  • prüft Dateien
 
 
  • prüft Hintergrundaktionen und Prozesse
 
 
  • schadhafte Dateien werden gemeldet und gelöscht oder in Quarantäne gestellt
 
 
  • nach der Erkennung der Malware werden automatisiert Aktionen gestartet
 
 
  • wenige Informationen über die schadhaften Dateien
 
 
  • detaillierte Forensik über Ursprung und Verbreitungswege der Malware möglich
 

Betrieb und Monitoring im SOC

Unsere Lösung besteht aus schlanken, performanten Agents, die auf Ihren Endgeräten betrieben werden, und aus einer zentralen, multimandantenfähigen und in Europa betriebenen Cloud-Plattform. Als Ihr IT-Dienstleister übernehmen wir die Verwaltung der Endpoint Detection & Response komplett für Sie in unserem BSI-zertifizierten Security Operation Center (SOC). Wir sorgen u.a. für die Konfiguration sowie regelmäßige Ergänzungen um weitere Systemgruppen und Agent-Richtlinien. Auch um regelmäßige Wartungsarbeiten brauchen Sie sich nicht zu kümmern: Ihre Endgeräte werden zuverlässig sowohl vor gängigen bekannten als auch vor neuartigen Angriffen geschützt.

Profitieren Sie außerdem von einem professionellen Reporting bei Malware-Feststellungen. Selbstverständlich werden Sie sofort alarmiert, sobald Auffälliges passiert, das vom System als kritisch klassifiziert wird. Die Auswertung leisten unsere Sicherheits-Experten, die entsprechend geschult sind und verlässlich beurteilen können, ob ein Vorfall relevant ist. Wir geben konkrete Empfehlungen, wie Sie die Sicherheit Ihrer Endpoints weiter verbessern können.

Unsere Leistungen für Sie

  • Mandantenerfassung
  • maßgeschneiderte Konfiguration und Implementierung
  • Plattformverwaltung (Updates, User Management, Konfigurationsanpassungen)
  • Alarmierung und fundierte Unterstützung bei Malwarefunden
  • Reporting (Dashboard, Bericht über Funde)
  • Incident Management / qualifizierte Handlungsempfehlungen

Ihre Vorteile

  • Erkennung von Malware vor deren Ausführung, unabhängig vom ausgehenden Dateiformat
  • präventiver Schutz vor Ransomware sowie neuartigen Angriffen wie z.B. Zero Days
  • Erkennung und Verhinderung von Angriffsaktivitäten im Speicher; Stichwort fileless
  • Schutz vor Powershell-, Makro- oder sonstigen Skript-basierten Angriffen
  • Ergänzung oder vollständiger Ersatz herkömmlicher Lösungen für Anti-Malware / Anti-Virus
  • automatisierte Reaktion auf erkannte Bedrohung gemäß definierbarer Richtlinien (z. B. selektive Netzabkopplung o.ä.)
  • Unterstützung forensischer Analysen
  • transparentes Lizenzierungsmodell: pro Monat pro Endgerät
  • im bestätigten Notfall (True Positive) unterstützen wir mit Incident Response

Wie können wir helfen?