Bedrohungen für Endgeräte in der Netzwerkumgebung
Cisco erklärt Cyberbegriffe - das ABC der Endpunktsicherheit
Lösungen zum Schutz von Endpunkten wie PCs, Laptops, Smartphones oder Druckern werden meist unter dem Begriff "Endpoint Detection and Response" (EDR) zusammengefasst
Im Bereich Cybersicherheit tummeln sich zahlreiche Abkürzungen, die oft nur Experten verständlich erklären können. Doch Security geht heute jeden Mitarbeiter etwas an. Daher sollten alle im Unternehmen – vom Office Worker bis zum CEO – zumindest grundlegend wissen, was hinter den Begriffen steckt. Denn Verständnis ist der erste Schritt hin zum aktiven Gebrauch der Lösungen. Im Fokus heute: Endpunkt-Sicherheit.
Lösungen zum Schutz von Endpunkten wie PCs, Laptops, Smartphones oder Druckern werden meist unter dem Begriff "Endpoint Detection and Response" (EDR) zusammengefasst. Alternativ und eigentlich richtiger ist der Begriff Endpoint Threat Detection and Response (ETDR), da ja nicht so sehr die Endgeräte, sondern vor allem Bedrohungen auf ihnen entdeckt werden sollen.
>> Endpoint Detection and Response (EDR) ist der aktuell geläufige Begriff für ein Produkt, das Bedrohungen für Endgeräte in der Netzwerkumgebung erkennt, analysiert und auf sie reagiert. EDR-Lösungen erreichen dabei eine hohe Sichtbarkeit über alle Vorgänge an den Geräten – bis in die Nutzer- und Prozessebene. Klassisch besteht eine EDR-Gesamtlösung aus einer Client-Software auf den Endgeräten und der zentralen Auswertung auf Seiten der IT-Abteilung des Unternehmens. Letztere installiert, konfiguriert und verwaltet die Lösung. Angesichts des Fachkräftemangels und der immer komplexeren Bedrohungslandschaft greifen Unternehmen immer häufiger jedoch auf Lösungen von Dienstleistern zu, die EDR als Service anbieten.
>> Managed Endpoint Detection and Response (MEDR) ist ein solcher verwalteter Dienst, der von einem Drittanbieter betrieben wird und Bedrohungen für Endgeräte in der Netzwerkumgebung des Kunden überwacht und erkennt. Durch den Einsatz von Automatisierungstechnologien sind MEDR-Dienste in der Lage, auf Angriffsversuche binnen weniger Minuten zu reagieren. Die Überwachung von Endpunkten ist zwar ein wichtiger Teil der Cybersicherheit, reicht aber zunehmend nicht mehr aus. Hier spielt die Tatsache eine Rolle, dass Entwickler von Crimeware ihre Angriffs-Software speziell auch an EDR-Lösungen austesten. Denn sollte es ihnen gelingen, eine solche Lösung erst einmal zu übernehmen, benötigen sie keine weiteren Exploits mehr: Die EDR-Lösung verfügt bereits über weitreichende Rechte auf dem System.
>> Managed Detection and Response (MDR) ist ein verwalteter Dienst, der von einem Drittanbieter betrieben wird und die gesamte Netzwerkumgebung überwacht und auf Bedrohungen reagiert. Das SOC-Team (Security Operations Center) des Dienstleisters ermittelt Auffälligkeiten im Netzwerktransfer und schlägt bei Bedarf Alarm. Durch die Korrelation aus Endpunkt- und Netzwerkdaten lassen sich Auffälligkeiten, die beispielsweise am Endpunkt keine besondere Aufmerksamkeit hervorrufen würden, besser in den Kontext setzen. Auch ermöglicht sie, Fehlalarme, so genannte "False-Positiv-Meldungen", besser auszusortieren. Mit einem erfahrenen Security-Dienstleister an Bord, bieten MDR-Lösungen ein ausreichend hohes Schutzniveau für Unternehmen.
>> Extended Detection and Response (XDR) sammelt und korreliert zusätzlich Daten über E-Mail, Endgeräte, Server, Cloud-Workloads und Netzwerke hinweg. Dies ermöglicht einen Einblick in fortschrittliche Angriffe und deren Kontext. XDR ist eine Sicherheitsplattform, die Bedrohungen in der gesamten Netzwerkumgebung mit konsolidierter Telemetrie, einheitlicher Transparenz und koordinierter Reaktion erkennt, analysiert und darauf reagiert. XDR-Lösungen verwaltet das Unternehmen selbst. Es stehen zudem auch verwaltete Dienste dieser Art zur Verfügung (MXDR). Je nach Sicherheitsanforderungen, vorhandenem Know-how und Aufwand können Unternehmen die ideale Lösung für ihren Schutz wählen. (Cisco Systems: ra)
eingetragen: 04.01.23
Newsletterlauf: 15.02.23
Cisco Systems: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.