Home
Wozu Endpoint Detection and Response (EDR)?
Sophos Central

Wozu Endpoint Detection and Response (EDR)?

David - 17. Juni 2019

Sophos bietet sowohl für Intercept X Advanced , wie auch für Intercept X Advanced for Server noch eine teurere Variante mit dem Zusatz "EDR" an. Da wir bei Kaufberatungen sehr häufig danach gefragt werden, was dieses "EDR" denn genau bedeutet und ob sich der Aufpreis überhaupt lohnt, möchte ich in diesem Artikel etwas genauer auf den Funktionsumfang von EDR und den Nutzen eingehen.

Die EDR Funktionalität, zusätzlich zu Intercept X Advanced, gibt es bereits seit längerem für Workstations. Seit dem 9. Mai ist das Produkt auch für Server verfügbar.

Womit EDR helfen kann

Etwas einfach erklärt, könnt ihr mit Intercept X Advanced mit EDR zwei essenziellen Dingen genauer auf den Grund gehen: Was ist nach einem Angriff genau passiert und besteht die Gefahr, dass in nächster Zeit noch etwas vorfallen könnte.

1. Was ist passiert?

Um herauszufinden, was nach einem Angriff passiert ist, braucht ihr auf den ersten Blick nicht unbedingt den Aufpreis für EDR zu bezahlen. Sophos bietet euch dazu schon länger die Funktion Root Cause Analysis (RCA), welche im Funktionsumfang von Intercept X enthalten ist. Die Möglichkeiten zur Analyse eines Angriffs werden durch ein Upgrade auf Intercept X Advanced mit EDR allerdings entscheidend erweitert.

Mit EDR kannst du herausfinden,

  • was nach einem Angriff wirklich passiert ist
  • ob sich eine Bedrohung ausgebreitet hat
  • was die SophosLabs bei allen Sophos Kunden für Erkenntnisse über ein bestimmtes Programm gesammelt haben
  • ob es noch schlafende Malware in deinem Unternehmen gibt
  • ob du deinem Chef Entwarnung geben kannst, dass keine Daten gestohlen wurden

Mit EDR bekommt ihr Zugriff auf Methoden der künstlichen Intelligenz, um einen Prozess oder Dateien mit maschinellem Lernen noch genauer analysieren zu lassen. Ihr könnt zudem während einer Analyse den betroffenen Computer vorübergehend isolieren, um euch genügend Zeit zu verschaffen.

2. Wird noch etwas passieren?

Eine gängige Taktik von Angreifern ist es, auf eurem Computer irgendwo ein kleines Programm abzulegen, welches vorerst nichts Böses macht und deswegen auch nicht verdächtig erscheint. Durch dieses harmlose Verhalten können bestimmte Sicherheitsmechanismen erst einmal ausgehebelt werden. Irgendwann wird dieses Programm aber aufwachen und einen Schaden anrichten.

Durch die erweiterten Suchmöglichkeiten von Intercept X Advanced mit EDR, kann nach solchen "schlafenden Bedrohungen" unternehmensweit gesucht werden. Oft haben sich solche Programme bereits auf etlichen Systemen ausgebreitet und verstecken sich hinter falschen Dateinamen. Sophos bietet mit EDR die hilfreiche Funktion, alle Geräte im Unternehmen nach Hashwerten zu durchsuchen. Dadurch findet ihr sehr schnell heraus, auf welchen Geräten im Unternehmen ein Programm bereits gesichtet wurde und mit wem es kommuniziert hat. Auf diese Weise könnt ihr z. B. Command and Control Server erkennen oder Server ausfindig machen, zu denen eventuell Daten abgeflossen sind.

Wo liegt der Mehrwert bei EDR

Wenn in einem Unternehmen ein Angriff stattfindet, vertraut man in erster Linie auf die Schutzmechanismen von Sophos Intercept X Advanced. Danach sollte man sich die gesammelten Daten des Angriffs aber genauer anschauen und herausfinden, ob irgendwelche Daten gestohlen wurden oder sich die Bedrohung beispielsweise noch auf anderen Systemen ausgebreitet hat. Dafür bräuchte es normalerweise eine Horde von Forensikern, die den ganzen Tag nichts anderes machen, als Logs zu durchsuchen, um daraus dann irgendwelche Schlussfolgerungen zu ziehen. Sophos hingegen setzt bei ihrer EDR-Lösung auf Methoden der künstlichen Intelligenz. Prozesse im Netzwerk werden also mit maschinellem Lernen und der Hilfe von SophosLabs analysiert und nicht mehr von Menschen. Dadurch kann dieser Job nun theoretisch von einer Person durchgeführt werden, die kein IT-Forensiker sein muss. 😎

Brauche ich jetzt EDR oder nicht?

Die Antwort auf die Frage, ob ihr den Aufpreis für EDR nun bezahlen soltet oder nicht, hängt von zwei Faktoren ab:

Faktor 1: Interesse

Gehört ihr zu den Leuten, denen es ausreicht, wenn Intercept X Advanced nach einem Angriff ins Log schreibt, dass die Gefahr aufgehalten werden konnte und alle Daten bereinigt wurden? Dann braucht ihr EDR eher nicht.

Würdet ihr allerdings den Angriff schon gerne noch etwas genauer unter die Lupe nehmen und den Ablauf genauer analysieren? Möchtet ihr wissen, ob noch mehr bösartige Programme auf Computern oder Serven im Unternehmen herumliegen, die sich bisher einfach noch nicht bemerkbar gemacht haben? Dann würde ich sagen, dass ihr den Aufpreis für EDR in Betracht ziehen solltet.

Faktor 2: Compliance-Vorgaben

EDR-Werkzeuge werden spätestens dann gebraucht, wenn ein Unternehmen nach einem Angriff beweisen muss, dass keine Daten gestohlen wurden. Wir sprechen hier von Compliance-Vorgaben, die in bestimmten Bereichen, wie z. B. PCI (Payment Card Industry) oder dem Gesundheitswesen gewährleistet werden müssen. Ebenfalls in diesen Bereich fällt die DSGVO (Datenschutzgrundverordnung), die besagt, dass man seine vertrauenswürdigen Daten entsprechend dem Stand der Technik schützen muss.

Ein solches Gesetz macht ein Unternehmen natürlich verwundbar. Anstatt, wie bei einem Ransomwareangriff, Lösegeld zur Entschlüsselung der Firmendaten zu verlangen, können Firmen nun mit noch grösseren Summen wegen einem Verstoss der DSGVO oder Compliance-Vorgaben erpresst werden.

Die EDR-Funktionen von Sophos helfen euch dabei, Compliance-Vorgaben einzuhalten und im Ernstfall nachzuweisen, ob Daten abhandengekommen sind oder nicht. Wenn ihr ein solches Hilfsmittel für euer Unternehmen als sinnvoll erachtet, dann wäre hier die Investition in Sophos Intercept X Advanced mit EDR definitiv nicht fehl am Platz.

Sophos Intercept X Advanced mit EDR testen

Wenn ihr noch keinen Sophos Central Account habt, könnt ihr euch auf der Sophos Webseite einen erstellen und alle Funktionen, inklusive "Sophos Intercept X Advanced mit EDR" für Computer und Server, kostenlos 30 Tage lang testen.

Falls ihr bereits einen Sophos Central Account besitzt und die 30 Tage Testlaufzeit abgelaufen sind, könnt ihr euch eine Lizenz für "Sophos Intercept X Advanced mit EDR" in unserem Shop bestellen:

Senden Sie Ihr Feedback

Teilen Sie uns Ihre Gedanken zu diesem Artikel mit, Ihre persönlichen Rückfragen sind immer willkommen und werden sehr geschätzt.

Feedback senden
Alle Informationen sind vertraulich
Newsletter

Auf unserem Blog publizieren wir regelmässig Artikel über diverse Themen rund um Sophos. Damit du keinen Artikel verpasst, kannst du dich in unseren Newsletter eintragen und bekommst einmal pro Monat eine Zusammenfassung aller Artikel der letzten 30 Tage per E-Mail zugestellt.

Knowledge Base

Du brauchst Hilfe zu einem Sophos Produkt? Dann kann dir vielleicht unsere kostenlose Knowledge Base weiterhelfen. Wir versuchen, die meisten Supportanfragen in einem Artikel zu dokumentieren, um möglichst vielen Menschen damit zu helfen.