Managed EDR
Überall sicher arbeiten
Auch ohne Pandemie-Zwang: Das Homeoffice hat sich etabliert, und die meisten von uns arbeiten gerne mal in den eigenen vier Wänden. Aber sind die Daten der Unternehmen eigentlich sicher, wenn Firmen-Notebooks zu Hause genutzt werden? Bedrohungen erkennen und vor allen Dingen schnell reagieren - das machen wir mit Managed Endpoint Detection & Response (EDR) für Sie.
Was ist EDR?
EDR steht für Endpoint Detection & Response und ist ein software-basiertes Technologiekonzept, das in der Regel auf Maschinellem Lernen/Künstlicher Intelligenz basiert. Ziel ist es, Endgeräte wie Notebooks, PCs und Server vor Schadsoftware - z.B. Ransomware, Spyware und Viren - zu schützen. Dafür werden sämtliche Hintergrundprozesse und Aktivitäten auf den Geräten überwacht: Dateiausführungen und -modifikationen, Registrierungsänderungen, Netzwerkverbindungen und Binärausführungen werden gefahndet, sobald sie verdächtig erscheinen. Wird beispielsweise aus einem vermeintlich sauberen Word-Dokument eine Verbindung ins Internet oder gar zu einem bekannten Command & Control-Server innerhalb eines Botnetzes hergestellt, wird dies von guten EDR-Lösungen erkannt, alarmiert oder je nach Setup direkt unterbunden.
Detect: Unbekanntes entdecken
Egal ob vor Ort im Unternehmen oder im Homeoffice: Mit den EDR Tools werden auffällige Schadcodes auf den Arbeitsgeräten Ihrer Mitarbeiter erkannt, auch wenn sie noch gar nicht offiziell als solche erfasst sind. Dafür kommt Machine Learning zum Einsatz. Künstliche Intelligenz kennt die Muster der bekannten Viren und stellt Eindringlinge unter Quarantäne, die in Teilen an diese Muster erinnern und deshalb als bösartig identifiziert wurden. Sogenannte Software-Agenten detektieren die Angreifer innerhalb der Betriebssysteme Windows, Linux und MacOS, und zwar auch in Virtual Desktop Infrastructures (VDI). Die Agents werden lokal auf den zu schützenden Endgeräten installiert und holen sich ihre Konfiguration, etwaige Updates und die jeweils aktuellste Version des KI-Modells von der Cloud-Plattform ab.
EDR berücksichtigt dabei zahlreiche Eigenschaften, wie z.B. die Größe, bestimmte Inhalte, verwendete Importe, Zugriffsberechtigungen, eingesetzte Packer, Programmiersprachen, Headerdetails oder Compiler-Eigenschaften. Neue, unbekannte Dateien werden dann vor deren Ausführung in Echtzeit gegen dieses Modell verglichen und entsprechend eingestuft.
Unsere Lösung erkennt Bedrohungen außerdem direkt im Speicher, ohne dass Dateien oder Festplattenzugriffe beteiligt sind. Hierzu wird das Verhalten von Prozessen beobachtet. Skriptsprachen wie JScript, Werkzeuge wie PowerShell oder Makros in Office-Dokumenten (VBScript) werden häufig bei Angriffen eingesetzt. Unsere Managed EDR-Lösung erkennt bösartiges oder unerlaubtes Verhalten, indem es den jeweiligen Skript-Interpreter überwacht. Bei Auffälligkeiten wird sofort alarmiert.
Response: sofort handeln
Threats erkennen ist das Eine - sofort handeln das Andere:
Bei Malware-Vorfällen löst EDR entsprechend Ihren Anforderungen automatisierte Aktionen aus, zum Beispiel die Abkopplung des gefährdeten Hosts vom Netzwerk. Dabei werden die Endpoints aber nicht einfach abgestellt, sondern es wird ein sicherer Kanal vom Server aufgebaut, während alle weitere Kommunikation um das Gerät herum abgestellt wird. Für jeden Sicherheitsvorfall gilt: Je schneller er erkannt und behoben wird, umso weniger Schaden richtet er an. Durch die Automatisierung steigern Sie Ihre IT-Sicherheit deshalb effizient um ein Vielfaches.
Ihre Vorteile
- Ihre Endgeräte in Homeoffice und Unternehmen werden zuverlässig geschützt
- Sie sorgen für die Abwehr von Ransomware, Powershell-, Makro oder sonstigen Skript-basierten Angriffen
- EDR erkennt Malware, bevor sie ausgeführt wird - unabhängig vom ausgehenden Dateiformat
- Stichwort fileless: Angriffsaktivitäten werden im Speicher erkannt und verhindert
- EDR reagiert automatisiert und nach gemeinsam definierten Vorgaben auf erkannte Bedrohungen (z.B. selektive Netzabkopplung)
- Sie nutzen vorhandenes Wissen: EDR unterstützt forensische Analysen
- Transparente Lizenzkosten: pro Monat pro Endgerät
- Bestätigter Notfall (True Positive)? Wir helfen mit Incident Response.
Betrieb und Monitoring im SOC
Unsere Lösung besteht aus schlanken, performanten Agents, die auf Ihren Endgeräten betrieben werden, und aus einer zentralen, multimandantenfähigen und in Europa betriebenen Cloud-Plattform. Als Ihr IT-Dienstleister übernehmen wir die Verwaltung der Endpoint Detection & Response komplett für Sie in unserem zertifizierten Security Operations Center (SOC). Wir sorgen u.a. für die Konfiguration sowie regelmäßige Ergänzungen um weitere Systemgruppen und Agent-Richtlinien. Auch um regelmäßige Wartungsarbeiten brauchen Sie sich nicht zu kümmern: Ihre Endgeräte werden zuverlässig sowohl vor gängigen bekannten als auch vor neuartigen Angriffen geschützt.
Profitieren Sie außerdem von einem professionellen Reporting bei Malware-Erkennung. Selbstverständlich werden Sie sofort alarmiert, sobald Auffälliges passiert, das vom System als kritisch klassifiziert wird. Die Auswertung leisten unsere Sicherheits-Experten, die entsprechend geschult sind und verlässlich beurteilen können, ob ein Vorfall relevant ist. Wir geben konkrete Empfehlungen, wie Sie die Sicherheit Ihrer Endpoints weiter verbessern können.
Unsere Leistungen für Sie
- Aufbau eines eigenen Mandanten
- maßgeschneiderte Konfiguration und Implementierung
- Plattformverwaltung (Updates, User Management, Konfigurationsanpassungen)
- Alarmierung und fundierte Unterstützung bei Malwarefunden
- Reporting (Dashboard, Bericht über Funde)
- Incident Management mit qualifizierten Handlungsempfehlungen
Auf dem Weg zu XDR
XDR - dahinter verbirgt sich Extended Detection & Response, d.h. die allumfassende Erkennung von Angriffen und eine schnelle Antwort darauf. Hierfür nutzt man die Kombination verschiedener existierender Bausteine in einer ganzheitlichen Lösung. Grundlage bildet typischerweise ein SIEM (Security Incident & Event Management) System, das um EDR (Endpoint Detection & Response) und NDR (Network Detection & Response) erweitert wird.
Die für Ihre spezifische Situation passende Lösung bekommen Sie von uns – als Managed Service im dacoso Security Operations Center mit 24/7 Hotline. Damit setzen Sie auf die ganzheitliche Erkennung von Vorfällen in Ihrem gesamten Netzwerk und gezielte Reaktion darauf.