14.03.2022

Was macht Endpoint Detection and Response (EDR) mehr als Anti-Virus (AV) ?

EDRvsAV.jpg

In allen Unternehmen gibt es heute mehr Endpoints als jemals zuvor. Die Tatsache, dass Mitarbeiter mehrere Geräte haben und von überall auf Netzwerkressourcen zugreifen müssen, erhöht das Sicherheitsrisiko. Zusätzliche Zugriffspunkte, bedeutet aber auch, dass es mehr Möglichkeiten für Angreifer gibt, sich Zugang zu verschaffen.

Das Arbeiten von überall aus hat nicht nur die Zahl der firmeneigenen Endpunkte erhöht, sondern auch die BYOD-Mentalität (Bring your own device) und die entsprechenden Richtlinien. Die Kontrolle der Sicherheit auf Unternehmensebene ist schwierig, aber alles zu kontrollieren, was die Mitarbeiter auf ihren persönlichen Geräten tun, die sie zufällig auch für die Arbeit nutzen, ist nahezu unmöglich.

Wie können Unternehmen, die viele Endgeräte verwalten, ihr Risiko reduzieren? Wenn die Anzahl der Endgeräte steigt, müssen fortschrittlichere Maßnahmen ergriffen werden, um die Geräte und die Benutzer selbst zu schützen - hier kommt Endpoint Detection and Response ins Spiel.

Was tun Antivirus und EDR?

Endpoint Detection and Response (EDR) überwacht Ihr Netzwerk, um Bedrohungen zu erkennen, einzudämmen und zu beseitigen, sobald sie auftreten. Nicht alle EDR- und AV-Lösungen sind gleich - aber es gibt einige grundlegende Komponenten, die in der Regel in jeder zu finden sind. Je nach dem Anbieter, den Sie wählen, kann es zusätzliche Vorteile geben.

Antivirenlösungen verlassen sich traditionell sehr stark auf einen Signaturabgleich, um Bedrohungen für das Gerät zu ermitteln. Wenn eine Übereinstimmung gefunden wird, wird die Datei als Bedrohung erkannt. AV-Software kann auch Heuristiken - Vorhersagen basierend auf dem Verhalten - verwenden, um das Verhalten einer Datei oder eines Prozesses zu untersuchen, aber die primäre Methode zur Erkennung/Schutz ist die Signaturdatenbank.

EDR-Software kehrt dieses Modell um und verlässt sich in erster Linie auf die Verhaltensanalyse dessen, was auf dem Endpunkt passiert. Wenn zum Beispiel ein Word-Dokument einen PowerShell-Prozess startet und ein unbekanntes Skript ausführt, ist das bedenklich. Die Datei wird markiert und unter Quarantäne gestellt, bis die Gültigkeit des Prozesses bestätigt ist.

Da sich die EDR-Software nicht stark auf Signaturdateien verlässt, kann sie besser auf neue und fortschrittliche Bedrohungen reagieren. Ohne jedes einzelne EDR- und Antivirus-Angebot zu vergleichen, sind hier einige gemeinsame Unterschiede zwischen den meisten AV- und EDR-Lösungen aufgeführt.

EDR:

  • 1. EDR umfasst die Überwachung und Erkennung von Bedrohungen in Echtzeit - einschließlich solcher, die von Standard-Antivirenprogrammen nicht einfach erkannt oder definiert werden können. Außerdem ist EDR verhaltensbasiert, d. h. es kann unbekannte Bedrohungen aufgrund eines nicht normalen Verhaltens erkennen.
  • 2. Die Datensammlung und -analyse ermittelt Bedrohungsmuster und warnt Unternehmen vor Bedrohungen
  • 3. Forensische Fähigkeiten können dabei helfen, zu ermitteln, was während eines Sicherheitsereignisses passiert ist
  • 4. EDR kann verdächtige oder infizierte Elemente isolieren und unter Quarantäne stellen. Es verwendet oft Sandboxing, um die Sicherheit einer Datei zu gewährleisten, ohne das System des Benutzers zu stören.
  • 5. EDR kann eine automatische Behebung oder Entfernung bestimmter Bedrohungen beinhalten

Antivirus:

  • 1. Antivirus ist signaturbasiert, erkennt also nur bekannte Bedrohungen.
  • 2. AV kann geplante oder regelmäßige Scans der geschützten Geräte beinhalten, um bekannte Bedrohungen zu erkennen
  • 3. Hilft bei der Entfernung von einfacheren Viren (Würmer, Trojaner, Malware, Adware, Spyware usw.)
  • 4. Warnungen vor möglicherweise bösartigen Websites

Vorteile des Einsatzes eines EDR

EDR-Systeme sind für alle modernen Unternehmen zu einem Muss geworden, um ihren digitalen Perimeter vor sich entwickelnden Cyber-Bedrohungen und Sicherheitsproblemen zu schützen. Die wichtigsten Vorteile des Einsatzes eines EDR-Systems in Ihrem Unternehmen werden im Folgenden erläutert:

Umfassende Datensammlung und Überwachung

EDR-Lösungen sammeln umfassende Daten über potenzielle Angriffe. Sie überwachen kontinuierlich alle Endpunkte Ihres digitalen Perimeters, sowohl online als auch offline. Die gesammelten Daten erleichtern die Untersuchungen und die Reaktion auf Vorfälle. Die Daten werden auf den Endpunkten gesammelt und gespeichert und mit den Sicherheitsbedrohungen abgeglichen, um Bedrohungen zu erkennen.

Sie erhalten tiefe Einblicke und Erkenntnisse über die Anomalien und Schwachstellen Ihres Netzwerks und können bessere Strategien zum Schutz vor Cyberkriminellen vorbereiten.

Erkennung aller Endpunkt-Bedrohungen

Einer der größten Vorteile des Einsatzes von EDR-Sicherheitssystemen ist die Fähigkeit, alle Endpunkt-Bedrohungen zu erkennen. Es bietet Ihnen Sichtbarkeit auf allen Endpunkten Ihres digitalen Perimeters.

Es ist herkömmlichen Antiviren- oder anderen Tools, die signaturbasierte oder perimeterbasierte Lösungen verwenden, in Bezug auf die Erkennung potenzieller Bedrohungen überlegen. Es kann Ihren IT-Teams helfen, die Art potenzieller Angriffe besser zu verstehen und die entsprechende Reaktion darauf vorzubereiten.

Bietet Reaktion in Echtzeit

EDR-Lösungen können eine Echtzeit-Reaktion auf verschiedene potenzielle Bedrohungen bieten. Sie können mögliche Angriffe und Bedrohungen sehen, während sie sich in den Netzwerkumgebungen entwickeln, und können diese in Echtzeit überwachen.

Diese Echtzeit-Reaktionsfunktion von EDR-Lösungen ist sehr nützlich und kann den Angriff bereits im Anfangsstadium abwehren, bevor er für das Netzwerk kritisch wird. Sie können verdächtige und unautorisierte Aktivitäten in Ihrem Netzwerk erkennen und der Ursache der Bedrohung auf den Grund gehen, wodurch eine bessere Reaktion Ihrerseits ermöglicht wird.

Kompatibilität und Integration mit anderen Sicherheitstools

EDR-Systeme sind mittlerweile sehr fortschrittlich und werden so entwickelt, dass sie mit anderen Sicherheitstools kompatibel sind und sich in diese integrieren lassen. Dieser integrierte Ansatz bietet ausgezeichnete Sicherheit für das Netzwerk vor potenziellen Cyber-Bedrohungen und Angriffen. Es ermöglicht Ihnen, Daten zu korrelieren, die das Netzwerk, den Endpunkt und SIEM betreffen. Dadurch können Sie ein besseres Verständnis der Techniken und Verhaltensweisen entwickeln, die von Cyberkriminellen verwendet werden, um in Ihr Netzwerk einzudringen.

Fazit

Wir empfehlen unseren Kunden, sowohl eine Anti-Virus-Lösung, wie auch eine EDR-Lösung «on-top» einzusetzen, da sich die beiden Technologien ergänzen und somit zu einem umfassenden Endpunkt-Schutz beitragen.

 

Gerne stellen wir Ihnen unsere EDR-Lösungen in einem persönlichen Gespräch vor.

 

Quellen:

https://cybriant.com/antivirus-vs-edr/
https://thinkadnet.com/2021/03/edr-vs-antivirus-whats-the-difference/

 

 

Die letzten Beiträge:

bw digitronik in Liquidation / wichtige Informationen für Kunden / important information for customers
Incident Response Retainer vs. Incident Support Service
Inside bw digitronik - Heute: Toby

bw digitronik ag | Uster West 30 | CH-8610 Uster
Telefon +41 44 905 48 48 | Fax +41 44 905 48 88 | Mail

Unsere verlässlichen Partner:

bw-digitronik – IT-Security Lösungen für die Schweiz

Anmelden

Datenschutz

powered by webpresso