Bei der Evaluierung ihrer Cybersicherheitsanforderungen und Optionen fragen sich viele Unternehmen vielleicht:
Was ist besser – eine Plattform für Endgeräteschutz (EPP) oder eine Lösung für Endpunktbasierte Detektion und Reaktion (EDR)?
Tatsächlich gibt es hier kein Oder. EPP und EDR sind zwei wichtige und unterschiedliche Komponenten einer umfassenden Cybersicherheitsstrategie. Sie hängen zusammen, sind aber nicht untereinander austauschbar – und die Implementierung einer der beiden Lösungen macht die andere nicht weniger notwendig.
Nachfolgend gehen wir auf die Beziehung zwischen diesen beiden unerlässlichen Cybersicherheitskomponenten ein und räumen einige der häufigsten Missverständnisse zur komplexen und mit Lösungen überladenen Sicherheitslandschaft aus dem Weg.
Was ist eine Endgeräteschutz-Plattform (EPP)?
Eine Endgeräteschutz-Plattform (EPP) kombiniert mehrere Endgerätesicherheitstechnologien (z. B. Virenschutz, Datenverschlüsselung und Datenverlustprävention), um Sicherheitsbedrohungen wie dateibasierte Malware-Angriffe und andere schädliche Aktivitäten zu verhindern. Sie bietet mitunter Funktionen für Untersuchung und Behebung als Reaktion auf dynamische Sicherheitszwischenfälle. Erweiterte EPP-Lösungen verwenden mehrere Erkennungstechniken, werden vorwiegend in der Cloud verwaltet und stützen sich auf Cloud-Daten.
Endgerätschutz-Plattformen verhindern Sicherheitsverletzungen, indem sie große Mengen an Endgerätedaten erfassen und diese mit erstklassigen Tools sowie Methoden (einschließlich künstlicher Intelligenz (KI), Verhaltensanalysen, Bedrohungsanalysen und menschlichen Threat Huntern) verarbeiten. Effektive Lösungen müssen mithilfe dieser Datenflut ständig und rechtzeitig antizipieren, wo die nächste ernste Bedrohung auftreten wird.
FÜNF UNVERZICHTBARE FUNKTIONEN FÜR MODERNE ENDGERÄTESICHERHEIT
Laden Sie dieses E-Book herunter, um mehr über die fünf unverzichtbaren Funktionen zu erfahren, die Sie für einen modernen Ansatz für Endgerätesicherheit benötigen.
Jetzt herunterladenWas ist endpunktbasierte Detektion und Reaktion (EDR)?
Die endpunktbasierte Detektion und Reaktion (EDR) wird auch als Endgeräte-Erkennung und Bedrohungsreaktion (Endpoint Detection and Threat Response, EDTR) bezeichnet und ist eine Endgerätesicherheitslösung, die Endbenutzergeräte und Workloads kontinuierlich überwacht, um stets einen umfassenden Echtzeit-Überblick über Ereignisse auf Endgeräten zu bieten. Dadurch können Cybersicherheitsteams Cyberbedrohungen wie Ransomware und Malware schnell und effektiv erkennen und abwehren.
Ein EDR-Tool sollte erweiterte Funktionen für die Erkennung und Untersuchung von Bedrohungen sowie für die Reaktion auf Bedrohungen bieten. Dazu gehören beispielsweise Ermittlung und Untersuchung von Zwischenfalldaten, Triagierung von Warnmeldungen, Validierung verdächtiger Aktivitäten, Bedrohungssuche sowie die Erkennung und Eindämmung schädlicher Aktivitäten.
Oftmals dient EDR als Sicherheitsnetz zur Erkennung von Bedrohungen, die von klassischer Virenschutzsoftware übersehen werden, und zum Aufdecken von Vorfällen, die ansonsten unbemerkt bleiben würden.
| EPP | EDR |
|---|---|
| Suite aus Technologien für Endgerätesicherheit, die zusammen Sicherheitsbedrohungen vermeiden, erkennen und beheben | Einzelne Lösung, die einen Überblick über Endgeräteaktivitäten bietet, um die Erkennung und Reaktion zu verbessern |
| Übergeordneter Abwehrmechanismus, einschließlich (Virenschutz der nächsten Generation (NGAV)), Erkennung (EDR), Bedrohungssuche, Bedrohungsanalysen und Schwachstellenverwaltung | Ein Sicherheitsnetz zur Identifizierung und Behebung von Bedrohungen, die Präventionsmaßnahmen umgehen |
| Grundlegendes Element für den Aufbau und die Einführung weiterer Sicherheitsfunktionen | Wichtige Komponente und Funktion innerhalb der Sicherheitsplattform |
Die Definitionen oben zeigen, dass endpunktbasierte Detektion und Reaktion nur eine Komponente einer Endgeräteschutz-Plattform ist. Zudem setzt eine EPP sich aus vielen weiteren Cybersicherheitstechnologien über die Erkennung hinaus zusammen, z. B. Virenschutz der nächsten Generation (NGAV), Bedrohungssuche, Bedrohungsanalysen und Schwachstellenverwaltung.
Eine erweiterte EPP oder eine EPP mit vollem Funktionsumfang kann eine EDR-Lösung integrieren, um robuste Erkennungs- und Reaktionsfunktionen bereitzustellen. Durch die Einbindung der EDR kann die Endgeräteschutz-Plattform nicht nur anormale Ereignisse identifizieren, sondern auch festgestellte Kompromittierungen untersuchen und beheben. Dies könnte eine Isolierung der betroffenen Endgeräte sein, um den laufenden Angriff zu stoppen. Auf diese Weise kann die Korrektur stattfinden, bevor Schaden entsteht.
Drei häufige Missverständnisse in Sachen EPP und EDR
Nachdem wir die Grundlagen von EPP und EDR und deren Beziehung besprochen haben, ist es an der Zeit, die häufigsten Missverständnisse rund um diese Sicherheitslösungen auszuräumen.
Missverständnis 1: Unternehmen müssen zwischen EPP und EDR wählen
Tatsache: Unternehmen müssen sich nicht entweder für EPP oder für EDR entscheiden. Es handelt sich hier um zwei unterschiedliche Lösungen, die einzeln nur begrenzten Nutzen bieten. In gewisser Weise kann EPP als Fahrzeug und EDR als Motor betrachtet werden: Das Eine ist ohne das Andere praktisch nutzlos.
Missverständnis 2: EPP ist eine passive Form der Prävention
Tatsache: EPP ist eine Endgeräteschutz-Plattform und bietet nicht nur passive Prävention. Die Prävention ist eine wichtige EPP-Funktion, aber die Plattform bietet noch weitere Formen von Schutz. Neben der Prävention umfasst eine echte EPP auch Erkennung, Bedrohungssuche, Bedrohungsanalysen und Schwachstellenverwaltung.
Missverständnis 3: Eine EDR allein ist ausreichend.
Tatsache: Eine EDR-Lösung hilft Sicherheitsteams, sich ein Bild von den Vorgängen im Netzwerk auf Endgeräteebene zu machen, was wiederum der Identifizierung und Beseitigung eines Angriffs zugutekommen kann. Um die meisten aktuellen Cyberangriffe abwehren zu können, müssen jedoch weitaus breitere und umfassendere Funktionen zum Schutz des Unternehmens zum Einsatz kommen, darunter Funktionen, die sich auf menschliche Intelligenz und ergänzende Technologien stützen.
Was sind die Kernelemente einer umfassenden EPP-Lösung?
EDR ist eines der grundlegenden Elemente innerhalb einer EPP. Um Schutz vor aktuellen Bedrohungen und sich schnell weiterentwickelnden Vorgehensweisen von Bedrohungsakteuren sicherzustellen, müssen Unternehmen jedoch noch verschiedene weitere Komponenten in ihre Cybersicherheitsstrategie aufnehmen. Dazu gehören:
- Prävention, um so viele Schadelemente wie möglich abzuwehren
- Erkennung, um Angreifer aufzuspüren und auszuschalten
- Verwaltete Bedrohungssuche, um die Erkennung über die Automatisierung hinaus zu implementieren
- Integration der Bedrohungsanalyse, um Angreifer zu verstehen und ihre Techniken vorauszusehen
- Schwachstellenverwaltung und IT-Hygiene, um die Umgebung auf Bedrohungen und Angriffe vorzubereiten und zu stärken
Dementsprechend sollte eine EPP vielfältige Cybersicherheitsfunktionen umfassen, die über Prävention hinausgehen. Tatsache ist jedoch, dass die meisten Menschen mit „Prävention“ in der Regel nur die NGAV-Komponenten einer EPP meinen.
Zudem gilt, dass EDR innerhalb der kompletten EPP-Service-Suite nur die Erkennung übernimmt.
TATSÄCHLICHE KOSTEN VON LEGACY-LÖSUNGEN FÜR ENDGERÄTESICHERHEIT
Laden Sie dieses Whitepaper herunter und erfahren Sie, warum Legacy-Lösungen für Sicherheitsteams unzureichend sind.
Jetzt herunterladenWorauf sollten Unternehmen bei einer EDR-Lösung achten?
Um mit den Angreifern von heute und ihren sich stets weiterentwickelnden Vorgehensweisen Schritt halten zu können, sollte eine EDR-Lösung Folgendes ermöglichen:
- Erfassung aller relevanten Aktivitäten auf sämtlichen Endgeräten und Workloads
- Ergänzung von Netzwerk-, Endgeräte- und Benutzerdaten mit Bedrohungsanalysen, um den erforderlichen Kontext bereitzustellen und anormale Aktivitäten und Ereignisse zu identifizieren
- Nutzung der Automatisierung zum schnellen Skalieren und Gewährleisten einer niedrigen False-Positive-Rate
- Erkennung von Schadaktivitäten und echten Angriffen (keine harmlosen Aktivitäten), ohne dass Sicherheitsteams zuvor Regeln für die Erkennung schreiben und feinabstimmen müssen
Fazit: Eine umfassende Cybersicherheitsstrategie und -lösung
Unternehmen sollten nicht den Fehler machen, zwischen einer Plattform für Endgeräteschutz und einer Lösung für endpunktbasierte Detektion und Reaktion zu wählen. Stattdessen sollten sie den Fokus auf die Integration von EDR- und anderen Sicherheitslösungen innerhalb der EPP legen, um die allgemeine Sicherheit zu verbessern und in einer immer schwierigeren Bedrohungslandschaft umfassenden Schutz zu gewährleisten.
Bei der Evaluierung von Cybersicherheitsanbietern und -lösungen sollten Sie sich für einen Partner entscheiden, der umfassenden, durchgängigen Schutz sowie eine breite Palette an Services bietet.
CrowdStrike-Plattform für Endgeräteschutz
CrowdStrike hat den Begriff Sicherheit mit der weltweit fortschrittlichsten cloudnativen Plattform neu definiert. Sie schützt und unterstützt Ihre Mitarbeiter, Prozesse und Technologien, die das moderne Unternehmen ausmachen.
Die CrowdStrike Falcon®-Plattform nutzt die CrowdStrike Security Cloud, um Echtzeit-Angriffsindikatoren, Bedrohungsanalysen, veränderte Vorgehensweisen von Angreifern sowie angereicherte Telemetriedaten aus dem gesamten Unternehmen auszuwerten. Dadurch kann die CrowdStrike-Plattform äußerst präzise Bedrohungen erkennen, automatisierte Schutz- und Behebungsmaßnahmen bereitstellen, zuverlässige Bedrohungssuchen durchführen und Schwachstellen priorisieren.
Mit CrowdStrike profitieren Kunden von besserem Schutz, besserer Leistung und sofortiger Wertschöpfung durch die cloudnative Falcon-Plattform.
KÄUFERLEITFADEN FÜR ENDGERÄTESCHUTZ
In unserem Käuferleitfaden für Endgeräteschutz erfahren Sie mehr über die unverzichtbaren Funktionen einer EPP-Lösung.
Jetzt herunterladen