Jonathan Crowe

Was ist EDR? Eine klare Definition des heißesten Schlagworts der Sicherheitsbranche

what is edr

Die Sicherheitsbranche ist nicht unbedingt bekannt für ihre Transparenz und ihr eindeutiges Messaging. Es ist ein überfüllter und wettbewerbsintensiver Markt, voll von Anbietern, die den Druck spüren sich von der Masse abzuheben, um mit der Konkurrenz Schritt halten zu können. Heutzutage tendiert die Mehrheit dazu, mehrschichtigen oder "All-in-one" Schutz in Anspruch zu nehmen. Woraus dieser jedoch im Einzelnen besteht, kann stark variieren und der Vergleich verschiedener Angebote führt oft zu Verwirrung.

Es ist auch nicht wirklich hilfreich, dass Sicherheitsterminologien nicht immer leicht zu verstehen sind.

Eines der Akronyme, welches in der letzten Zeit häufig zum Einsatz kommt, ist EDR, Kurzform für Endpoint Detection & Response. Mittlerweile bietet fast jeder Sicherheitsdienstleister eine Form des EDR an, weshalb wir darstellen wollen, was EDR genau ist und welche Funktionen es im Vergleich zu anderen Produkten in Ihrem Sicherheitspaket ausüben kann.

Was ist EDR?

Endpoint Detection and Response (EDR) bezeichnet eine Software, die dafür entwickelt wurde, Unternehmen dabei zu helfen Bedrohungen zu identifizieren, welche andere Abwehrmaßnahmen überwinden konnten, diese zu stoppen und auf sie angemessen zu reagieren.

Ebenso wie andere Endgeräte-Schutz Software wird auch EDR anhand der Installation eines Agenten auf den Endgeräten bereitgestellt. Die Verwaltung erfolgt über ein Cloud-basiertes SaaS-Portal.

Hinweis: Dieser Blogbeitrag berührt die Thematik des EDR nur an der Oberfläche. Sollten Sie jedoch daran interessiert sein, noch mehr über die Thematik zu erfahren und zu lernen, wie man EDR-Produkte analysiert und beurteilt, dann werfen Sie doch einmal einen Blick in unseren neuen MSP's Hype freien Guide zu EDR. Er umfasst 26 Seiten, vollgepackt mit Recherchearbeit und Informationen, die wir Ihnen kostenfrei zur Verfügung stellen.

Was leisten EDR Tools?

Im Allgemeinen sammeln EDR-Lösungen Daten von Endgeräten, verwenden diese um potenzielle Gefahren zu identifizieren und liefern hilfreiche Möglichkeiten, um diese potenziellen Bedrohungen zu untersuchen und auf sie zu reagieren.

what does edr do

In der Vergangenheit waren diese Funktionen lediglich großen Wirtschaftsunternehmen vorenthalten, die es sich leisten konnten, ein Team aus erfahrenen Sicherheitsexperten von einem Security Operations Center (SOC) aus für sie arbeiten zu lassen. Dabei erfordert das Sortieren von Datenbeständen, das Identifizieren verdächtiger Aktivitäten und die Fähigkeit schnell und adäquat auf auftretende Vorfälle zu reagieren, eine große Menge an Zeit, Arbeit und Know-how.

Um diese Fähigkeiten auch der breiten Masse zugänglicher zu machen, haben Sicherheitsanbieter an der Einführung weniger komplexen EDR-Lösungen gearbeitet, die sich mehr auf die Optimierung von Workflows und Automatisierungen fokussieren. Das Ziel dieser „EDR-Lite“ Lösungen ist es, die Einstiegshürde zu senken und EDR-Funktionen einem Marktsegment zugänglich zu machen, welches diese dringen nötig hat: kleine bis mittelständige Unternehmen. .

Wie passt EDR in ein modernes MSP Sicherheitspaket?

Als eine Funktion ist EDR den präventiv ausgerichteten Sicherheitslösungen untergeordnet. Seine primäre Aufgabe besteht darin, Bedrohungen zu erkennen, welche andere Sicherheitsmaßnahmen wie Firewalls oder Antivirus (AV) überwunden haben und auf diese angemessen zu reagieren.

EDR-Funktionen werden nur noch selten alleinstehend verkauft. Stattdessen werden sie häufig in Kombination mit Technologien wie NGAV angeboten, die ihren Fokus auf die Fehlerprävention legen, um somit einen ganzheitlichen Endgeräteschutz anzubieten. Während “EDR” sich auf eine klar definierte Reihe von Funktionen bezieht, sind die Grenzen zwischen EDR Werkzeugen und anderen Endgeräteschutz Werkzeugen mittlerweile etwas verschwommen.

edr-security-stack

Wie Gartner im Berich Competitive Landscape: Endpoint Protection Platforms, Worldwide, 2019 beschreibt:

“On the marketing front, many of the providers in the [endpoint security] market now look drastically similar to each other, touting machine learning and behavior-based analysis concepts — making it harder for organizations to make informed product decisions. Gartner believes that this is causing some confusion in the market.”

 

Es ist kein Witz.

Insbesondere die Zusammenführung von AV/NGAV- und EDR-Produkten zu einem einzigen Angebot, hat zu der (verständlicherweise) verwirrenden Annahme geführt, EDR Tools seien das bessere AV. Das stimmt jedoch so nicht. Auch wenn mittlerweile viele EDR Werkzeuge über NGAV-Fähigkeiten verfügen, ist EDR nicht dafür entwickelt worden, um Bedrohungen abzuwehren, sondern vielmehr um Sie zu alarmieren, wenn ein Angriff ihr Abwehrsystem überwunden haben könnte und um dann adäquat auf diesen Vorfall zu reagieren.

Die Wahrheit ist, dass EDR-Anbieter nicht sehr motiviert sind, finanzielle Mittel in die Transparenz Ihrer Angebote zu stecken. Sind potenzielle Kunden jedoch daran interessiert, Angriffe effektiver abwehren zu können, werden sie sich dennoch für diese Funktionen entscheiden. Das macht die Recherche und Beurteilung von EDR-Lösungen etwas kompliziert. Aus genau diesem Grund haben wir einen Guide zusammengestellt, der die Thematik in einfache und klare Begrifflichkeiten aufschlüsselt.

Sie wünschen sich noch mehr Faktenwissen über EDR und Tipps für die Beurteilung verschiedener Lösungen?

Dann laden Sie unseren 26-seitigen MSP's Hype freien Guide zu EDR herunter. Er beantwortet Ihnen alle Fragen, die man im Zusammenhang mit EDR stellen sollte. Seien sie damit auf alle Fragen vorbereitet, die Ihnen Ihr Kunde, Ihr Chef oder ein Interessent zu diesem Thema stellen könnte.

endpoint-detection-and-response-guide