Eine Endpoint-Detection-und-Response-Lösung ist für die Unternehmenssicherheit essenziell. So finden Sie zur besten EDR-Software für Ihre Zwecke. EDR-Software verhindert Endpunkt-Sicherheitsdebakel. Die richtige Lösung vorausgesetzt.SvetaZi | shutterstock.com Software im Bereich Endpoint Detection and Response (EDR) erfreut sich weiterhin steigender Beliebtheit – und wird mit zunehmender Reife immer effektiver. EDR-Lösungen bieten Realtime-Einblicke in die Endpunkt-Aktivitäten und ermöglichen es, Mobiltelefone, Workstations, Laptops, Server und andere Devices vor Cyberangriffen zu schützen. In diesem Kaufratgeber erfahren Sie: wie sich Endpoint Detection and Response definiert, welche Fähigkeiten EDR-Tools an Bord haben sollten, welche Anbieter und Lösung in Sachen Endpunkt-Sicherheit tonangebend sind, und welche konkreten Fragen vor einer Investition relevant sind. Endpoint Detection and Response erklärt EDR-Tools erfassen Verhaltensdaten aus diversen Endpunkt-Quellen. Dazu gehören herkömmliche Computing Devices wie Windows- oder Mac-Rechner genauso wie Peripherie- und IoT-Geräte, beispielsweise Drucker oder Controller. Um IT-Profis auf verdächtige Aktivitäten oder laufende Cyberangriffe aufmerksam zu machen, analysieren Endpoint-Security-Lösungen zudem auch Signale aus: Netzwerk-Traffic-Mustern, Cloud-Computing-Anwendungen und Systemprotokollen. Das deckt die „Detection-Seite“ ab. Mit Blick auf die „Response-Seite“ sind EDR-Lösungen auch in der Lage, Schaden zu begrenzen und zu beheben. Zum Beispiel, indem sie auffällige Devices isolieren oder problematische Netzwerksegmente mit einer Firewall absichern. Je nachdem, wie das jeweilige Tool funktioniert, können diese Prozesse mehr oder weniger manuellen Aufwand erfordern. Schwierig ist hingegen mittlerweile, EDR von anderen Detection-Produktkategorien zu unterscheiden. Das beste Beispiel ist Extended Detection and Response (XDR): Inzwischen haben viele EDR-Lösungen deutlich an Umfang und Funktionen zugelegt, was dazu geführt hat, dass sie teilweise zu XDR „umetikettiert“ wurden. Das lässt die Grenzen zwischen den Kategorien immer weiter verschwimmen. Die zunehmende Verschmelzung von EDR und XDR ist mit Blick auf den Detection-Gesamtmarkt jedoch nur ein Aspekt. Die Produkte in diesem Bereich laufen unter anderem auch unter folgenden Bezeichnungen: Network Detection and Response (NDR), Managed Detection and Response (MDR), oder Application Detection and Response (ADR). Was EDR-Tools leisten sollten Folgende Funktionen sollte eine hochwertige Endpoint-Security-Lösung mitbringen: Fortschrittliche Threat-Detection-Funktionen: Effektive Endpoint-Detection-and-Response-Lösungen sind in der Lage, Events zu beobachten und in Echtzeit darauf zu reagieren. Sie sollten außerdem automatisch mit einer wachsenden Zahl von Netzwerken und Anwendungen skalieren können. Support für tiefgehende Untersuchungen: So können Security-Teams potenzielle Bedrohungen verstehen und möglichst zeitnah entsprechende Gegenmaßnahmen einleiten. Integrationsfähigkeit: EDR-Tools sollten sich mit diversen anderen Sicherheitslösungen integrieren lassen – etwa Firewalls, SIEM, SOAR und Incident-Response-Tools. Das ermöglicht Anwenderunternehmen, Bedrohungsinformationen über APIs und Konnektoren systemübergreifend zu teilen. Zentralisierte Management-Funktionen und Analytics-Dashboards: Um ausufernde Schulungen zu vermeiden und jederzeit den Überblick über den aktuellen Status aller Endpunkte im Unternehmen zu wahren, sollte EDR-Software eine zentrale Konsole und Datenanalysen bereitstellen. Lückenloser Support für die fünf wesentlichen Endpoint-Betriebssysteme: Windows-, macOS-, Android-, iOS- und Linux-Devices sollten im Idealfall abgedeckt sein. Die 6 wichtigsten Endpoint-Security-Lösungen Der Endpoint-Detection-and-Response-Markt hält unzählige Lösungen diverser Anbieter bereit. Um Sie nicht zu erschlagen, stellen wir Ihnen an dieser Stelle sechs bewährte und empfehlenswerte Lösungen namhafter Anbieter vor. CrowdStrike Falcon Insight EDR Die Crowdstrike-Lösung kombiniert XDR- und EDR-Funktionen und soll (Advanced) Threats auf Android-, Chrome-OS-, iOS-, Linux-, macOS- und Windows-Geräten automatisch identifizieren und priorisieren. Zudem stellt Falcon Insight EDR Echtzeit-Response-Funktionalitäten zur Verfügung, um auf Endpunkte zuzugreifen, während sie untersucht werden. Um schadhafte Aktivitäten automatisch zu identifizieren und zu klassifizieren, nutzt die Crowdstrike-Software KI-gestützte Angriffsindikatoren. Die automatisierte Alert-Priorisierung verspricht, manuelle Suchen und zeitaufwändige Recherche-Arbeiten überflüssig zu machen. Dank der integrierten Threat-Intelligence-Funktion kommt auch der übergeordnete Kontext von Cyberangriffen nicht zu kurz – inklusive Attribution. Microsoft Defender for Endpoint Ransomware, Fileless Malware und weitere raffinierte Angriffsmethoden verspricht Microsoft mit Defender for Endpoint den Wind aus den Segeln zu nehmen. Das Tool funktioniert auf Android, iOS, Linux, macOS und Windows. Die integrierten Threat-Analytics-Reportings sollen Unternehmen in die Lage versetzen: sich schnell einen Überblick über neu aufkommende Bedrohungen verschaffen zu können; ihre Gefährdungslage evaluieren zu können; sowie geeignete Gegenmaßnahmen zu definieren. Darüber hinaus überwacht Defender for Endpoint die Sicherheitskonfigurationen von Microsoft- und Drittanbieter-Produkten. Sollte die Software fündig werden, ergreift sie automatisiert Maßnahmen, um Risiken zu minimieren. Palo Alto Networks Cortex XDR Cortex wurde von Palo Alto ursprünglich als EDR-Tool vermarktet. Inzwischen wurde die Lösung allerdings zu einem XDR-Produkt erweitert. Die Palo-Alto-Endpunktlösung deckt alle relevanten Betriebssysteme ab und integriert mit zahlreichen anderen Palo-Alto-Tools – etwa XSOAR. Auch diese Endpoint-Detection-and-Response-Lösung deckt automatisch Angriffsursachen und -sequenzen auf. Sie verspricht Anwendern außerdem, Fehlalarme zu reduzieren und damit der gefürchteten „Alert Fatigue“ ein Schnippchen zu schlagen. SentinelOne Singularity Diese cloudbasierte Plattform von SentinelOne kombiniert EDR-Funktionen mit Workload Protection und Identity Threat Detection. Sie funktioniert mit Android-, iOS-, Linux-, macOS- und Windows-Geräten, sowie Kubernetes-Instanzen. Die Singularity-Plattform verspricht darüber hinaus: optimierte Bedrohungserkennung, verkürzte Reaktionszeit bei Cybervorfällen sowie eine effektive Risikominimierung. Darauf zahlen unter anderem auch die transparente Ausgestaltung der Plattform, ihre performanten Analytics-Funktionen sowie automatisierte Reaktionsfähigkeiten ein. Zu guter Letzt ist die Endpoint-Lösung von SentinelOne auch noch einfach zu implementieren, skalierbar und mit einem benutzerfreundlichen Interface ausgestattet. Sophos XDR Diese Endpoint-Security-Lösung nutzt Telemetriedaten verschiedener Sophos- und Secureworks-Produkte und kombiniert diese mit weiteren Daten anderer, externer Tools. Im Ergebnis steht eine Software, die EDR- und XDR-Funktionalitäten zusammenbringt. Auch mit Blick auf die Integrationsfähigkeit überzeugt Sophos XDR. Das Tool integriert mit: Firewall-Produkten, Identity-Lösungen, Netzwerksicherheits-Tools, Productivity-Apps, E-Mail-Security-Lösungen, Backup- und Recovery-Software sowie Cloud-Instanzen. Mit seinen Generative-AI-Funktionen will Sophos XDR Security-Profis ermöglichen, Angreifer schneller zu neutralisieren. In Kombination mit dem Echtzeit-Schutz, der laufende Angriffe erkennt und automatisiert Abwehrmaßnahmen ergreift, steigt die Wahrscheinlichkeit, Cyberattacken abwehren zu können. Trend Micro Apex One Die Trend-Micro-Lösung Apex One ist in die Vision-One-Plattform des Sicherheitsanbieters integriert. Auch dieses Produkt bietet sowohl EDR- als auch XDR-Features und unterstützt Android, iOS, macOS und Windows. Linux-Systeme bleiben leider außen vor. Apex One verspricht, vor Zero-Day-Bedrohungen schützen zu können – und zwar mit Hilfe einer Kombination aus Antimalware-Techniken und virtuellem Patching. Ransomware, Malware und bösartige Skripte sollen so keine Chance mehr haben, Endpunkte heimzusuchen. Um Security-Tools von Drittanbietern zu integrieren, bietet die Trend-Micro-Lösung eine Vielzahl von APIs. 4 Fragen vor dem EDR-Investment Bevor Sie eine Kaufentscheidung in Sachen EDR treffen, sollten Sie sich, beziehungsweise dem Anbieter Ihrer Wahl, einige Fragen stellen: Mit welchen anderen Sicherheits-Tools ist die Lösung integriert und wie wird das erreicht? Wie unterscheidet die betreffende Lösung zwischen verdächtigen und böswilligen Verhaltensmustern? Deckt die Software sämtliche relevanten Endpunkte ab und lässt sie sich auch auf größere Netzwerke skalieren? Wie gut identifiziert das Tool Fehlalarme? Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren